Cmo detectar y echar intrusos de tu red WiFi

Por Fabrizio Ferri el da 29 enero, 2010 La conexin es ms lenta que de costumbre, demasiado lenta para que la causa sea un fallo de tu operadora. Controlas la configuracin, haces unas cuantas pruebas... un momento: es posible que el vecino est conectado a tu router inalmbrico y use la conexin para descargar pelculas a destajo? Pues s. Las redes WiFi son particularmente vulnerables a intrusiones externas. Si tu seal carece de cifrado, o bien te has olvidado de activarlo o bien quieres compartirla con todo el mundo (en ese caso, slo te interesar echar a los abusones). Pero, aun con cifrado, es posible que alguien se cuele por los motivos ms diversos. En este tutorial te ensearemos a identificar los intrusos en tu red y a tomar medidas para expulsarlos definitivamente. De paso, aprovecharemos para comentarte cules son las protecciones ms eficaces y cules, por el contrario, slo hacen perder el tiempo.

Deteccin del intruso inalmbrico

Hay varios sntomas que indican la presencia de un intruso en una red WiFi domstica. Con todos tus ordenadores y dispositivos apagados o desconectados de la Red, mira las luces de actividad del router: un parpadeo rpido y continuado indica que hay dispositivos conectados y transmitiendo un gran flujo de informacin.

Un medidor de velocidad ayuda a confirmar la prdida de ancho de banda

La intrusin, en caso de que el vecino se porte mal, afectar tambin la velocidad de descarga a la que ests acostumbrado. Un usuario de MegaUpload, por ejemplo, puede encontrarse de repente con la IP bloqueada por una descarga que se est realizando desde su router... pero no desde su ordenador. La sensacin de prdida de ancho de banda es difcil de cuantificar: programas como BASpeed o NetWorx te ayudarn a confirmarla.

AirSnare acaba de encontrar varios "intrusos" (dispositivos desconocidos)

Hay herramientas dedicadas a la caza de intrusos. La primera y ms conocida es AirSnare, que lleva sin actualizarse unos cuantos aos, pero que en muchas mquinas funciona todava sin problemas. AirSnare escucha el trfico que pasa por el adaptador de red hasta obtener todas las direcciones MAC conectadas a la red local. Una utilidad similar, aunque en lnea de comandos, es la interesante Fing.

El sencillo -pero efectivo- Zamzom Wireless Network Tool

Zamzon Wireless hace lo mismo, mas carece de todas las opciones de AirSnare, como el envo de mensajes o el registro de eventos. AirSnare, adems, emite avisos acsticos cada vez que descubra una direccin desconocida. Quieres estar totalmente seguro de que lo que has detectado es un intruso? A veces, intentar el acceso a los recursos compartidos del ordenador ajeno puede quitarte de dudas. Ve a Inicio > Ejecutar y escribe \\ seguidas por la IP detectada. S bueno!

Si el intruso no tiene cortafuegos y comparte carpetas, esto ser divertido

Por ltimo, siempre te queda el panel de control del router: brelo escribiendo la direccin 192.168.1.1 o 172.168.0.1 en el navegador, introduce usuario y contrasea (si no las conoces, busca las de tu aparato en RouterPasswords.com o CIRT) y navega hasta un men llamado "Wireless Clients", "Connected Clients" o similar. Lo reconocers por una tabla en la que se muestran direcciones IP locales y direcciones MAC. Ten en cuenta que cada dispositivo que tengas en casa (como las consolas) tendr su propia IP.

Bien, no hay intrusos. Puedo dormir tranquilo.

El ltimo sistema consiste en ir tocando todos los timbres del vecindario, entrar en las casas y examinar los ordenadores hasta dar con el sospechoso. Un mtodo poco prctico...

Levantar las defensas: lo que sirve y lo que no

Has comprobado que alguien entr en tu red inalmbrica sin dificultad; ahora es el momento de reforzar las murallas y tapar agujeros para que eso no vuelva a pasar. Hay unas cuantas cosas que NO funcionan y que, por lo tanto, deberas evitar a la hora de proteger la red.

Medidas intiles:
y

Cifrado WEP: es de sobra conocido que este tipo de cifrado se ha quedado obsoleto. La razn principal por la cual se sigue usando es la compatibilidad con adaptadores 802.11b, y es quiz por ello que muchos ISP lo activan por defecto. Que por qu es inseguro? Cada hijo de vecino mnimamente espabilado sabe usar Aircrack, un programa capaz de hallar claves WEP en poco tiempo. Filtrado MAC: restringir la navegacin a las direcciones MAC de tus ordenadores es tentador, pero intil. Con las direcciones detectadas por el intruso y utilidades como MacMakeUp, que cambian la direccin del dispositivo, el mac-spoofing se lleva a cabo en segundos. Lo que s podra ocurrir es que te quedaras fuera de tu red. Ocultar el SSID: ocultar el nombre de la red inalmbrica es como caminar detrs de una puerta y pretender que nadie te ve. S es interesante, por otro lado, cambiar el nombre del SSID por algo que no se parezca al nombre por defecto o se pueda

relacionar con tu ubicacin. Prueba con algo simptico como "GTFO" o "HolaPollo". Apagar el router: es cierto, un router apagado es un router a prueba de intrusos... y tambin un trasto intil. Apagar el router durante los periodos de inactividad es bueno para ahorrar energa y poco ms.

Son totalmente intiles esas medidas de seguridad? Depende del nivel de conocimientos de tus vecinos. El uso de AirCrack o programas parecidos no est tan difundido en determinados barrios; es improbable, por ejemplo, que una amable ancianita lo use para ahorrarse unos cuartos, aunque cosas ms raras se han visto. WEP, ocultar el SSID o filtrar las direcciones MAC tan slo impedirn conexiones casuales de quien busca redes abiertas.

Medidas que funcionan:

y

Cifrado WPA/WPA2: la tecnologa de cifrado WPA, compatible con adaptadores 802.11g o superiores, es mucho ms fuerte que WEP. Cualquier router dispone de WPA-PSK; en lugar de un cdigo hexadecimal, hay una frase de paso de longitud variable (que debe ser resistente a ataques de diccionario). Tienes WPA2-AES? Es la ms robusta. Cambiar la contrasea del router: es lo primero que debes hacer. El hipottico intruso querr abrir puertos en el router para usar su programa P2P favorito u ocultar sus movimientos. Cambia la contrasea del router para tener la ltima palabra sobre la conexin. Pintura Anti-WiFi: una solucin original consiste en cubrir las paredes de tu piso con una capa de pintura especial que impide el paso de seales WiFi. Lstima que no est en venta todava...

Y si lo dejo abierto?
Eres una persona generosa? Dejar el router abierto -con la contrasea de administracin cambiada- es una excelente forma de ganar amigos, aunque hay muchos motivos por los cuales no resulta recomendable, como la prdida de velocidad (causada por quien descarga datos a tope) o el uso de la conexin con fines ilegales (sean cuales sean). Una forma interesante de compartir y sacarle provecho a tu conexin es crear un FON Spot.

Bromas como sta slo son posibles con routers sofisticados

Si optas por compartir la conexin, asegrate de usar un router sofisticado y que te de pleno control sobre la red. Algunos modelos ejecutan su propia versin de Linux. Un ejemplo de las virgueras que pueden llegar a hacerse lo da Upside-Down-Ternet, un mtodo para que el intruso navegue, s, pero con las imgenes al revs. No es divertido? Otra idea interesante es configurar una pgina de inicio con NoCatSplash para saludar a los visitantes.

Para los nostlgicos...

...la red ms segura es la cableada. Cincuenta metros de cable Ethernet cuestan unos 25, aseguran una calidad de conexin mxima y son relativamente discretos, especialmente si los pasas por los conductos de servicio que se ven en los pisos de nueva construccin.

Lo difcil es aprender a "grimpar"(crimpar o corrugar) el cable, esto es, a insertar los numerosos cables coloreados en los conectores de plstico. Aqu tienes un tutorial con imgenes. Tender el cable es una pesadilla o lo ms divertido del mundo, dependiendo de lo mucho que te guste enredarte. Y vosotros? Cmo protegis vuestra red WiFi?