El Institute for International Research (IIR) organizó recientemente las jornadas “Seguridad en Wi-Fi”, en las que se profundizó sobre los problemas y riesgosde la utilización de LAN inalámbricas.
Carlos Marcos, del Colegio Oficial de Ingenieros de Telecomunicación, y uno de los ponentes del encuentro, analiza para nuestra revista algunas consideraciones sobre los entornos inalámbricos.


Pocos campos hay aparentemente más confusos en el panorama tecnológico actual que el de la seguridad en el entorno inalámbrico. Esta confusión ha provocado el paso, a modo de péndulo, de considerar estas tecnologías casi como “la solución universal” de conectividad de usuario a poner en entredicho su uso profesional.
Centrándose exclusivamente en las redes de área local inalámbrica (Wireless Lan, generalmente denominadas Wi-Fi), las noticias aparecidas en los medios de comunicación sobre los “vistosos” términos war driving, war chalking..., o en los medios más especializados sobre el “fracaso tecnológico” que supuso el protocolo inicialmente diseñado para securizar este tipo de comunicación (denominado pomposamente Wired Equivalent Privacy, WEP), han nutrido estas sensaciones.
Pero, quizá, “lo peor” sea la auténtica “sopa de letras” que rodea a los estándares, tanto de construcción de la red, como de las medidas de seguridad sobre ella. El IEEE y la WECA propagando diferentes acrónimos (punta del Iceberg de la batalla comercial), pueden desconcertar a quien no ha tenido el tiempo o las ganas suficientes para desenmarañar este embrollo.
Para clarificar un poco, lo primero que hay que indicar es que el medio inalámbrico es intrínsecamente menos seguro que el convencional cableado ¿Quiere esto decir que no es adecuado su uso en un entorno profesional? Sin duda, no; solamente quiere decir que habrán de tomarse una serie de medidas adicionales para adecuar su uso (podría compararse a Internet que, siendo intrínsecamente insegura, puede utilizarse con las medidas adicionales necesarias).
La siguiente cuestión que se plantea es precisamente el conocimiento de los métodos y herramientas para añadir la seguridad necesaria. Existen dos grandes visiones a la hora de aplicar seguridad en un entorno Wireless Lan:
• Por una parte, el enfoque que pudiéramos denominar “lateral” (que en muchos casos puede ser complementario del siguiente) mediante el uso de distintas estrategias generales aplicables a cualquier sistema de comunicación. Por ejemplo, IPSec en cuanto sistema de seguridad en el canal de comunicación.
• El enfoque mayoritario que usa sobre todo mecanismos que han sido desarrollados pensando en el entorno Wireless Lan.
Teoría y práctica
La siguiente cuestión lógica que se plantea, respecto a este enfoque mayoritario, es: ¿Garantizan la seguridad los mecanismos propuestos para superar los problemas de WEP?. La respuesta es: “aceptablemente”. Pero, ¿por qué no un rotundo “sí”? Porque, en primer lugar, la seguridad absoluta no existe; y, además, una cosa son los mecanismos teóricos propuestos (WPA, WPA2 / 802.11i) y otra la aplicación que se haga de ellos. Existen multitud de consideraciones de índole práctico que hacen que la aplicación de “la correcta teoría” a un sistema real en producción conduzca, o no, al éxito:
Desde recomendaciones generales a cualquier sistema, como eludir los valores “por defecto” (enter, enter,...), modificar los parámetros “de catálogo” (disponibles en Internet...), implementar distintos perfiles de usuario, desconectar los sistemas si no son usados (horarios...), comprobar logs, auditar en general, etc.; hasta recomendaciones específicas Wi-Fi, como atender a la seguridad “física”, a otros dispositivos que actúen en rangos similares de frecuencias (desde cámaras de vigilancia a hornos microondas), diseñar un despliegue “ajustado” (la sobreingeniería en el exceso de puntos de acceso, de potencia radiada o de direccionalidad de las antenas son, al revés que en otros entornos, contraproducentes), considerar la red inalámbrica como de distinto nivel de seguridad que la convencional y, por tanto, objeto de aplicación de procedimientos de defensa perimetral, usar las medidas para lo que fueron diseñadas (PSK para entorno SOHO...), etc.