Las redes wifi públicas pueden parecer un oasis en el desierto cuando uno necesita conectarse a Internet. Sin embargo, esconden varios peligros que, si no se tienen en cuenta, pueden derivar en el robo de datos personales, contraseñas e incluso fondos bancarios.
Sentarse a tomar un café, estar en un bus o esperar en una plaza pública son típicas situaciones en las que uno puede tomar su computadora o teléfono celular y matar el tiempo navegando en Internet. Y aprovechando que uno se encuentra en un lugar público, ¿qué mejor que utilizar las redes wifi gratuitas que suelen estar a disposición?
Ahora bien, como todo adelanto tecnológico, el wifi abierto también tiene sus costados oscuros. En ese sentido, un análisis de la compañía de seguridad informática ESET describe varias de las amenazas que pueden encontrarse detrás de ese tipo de conexiones.
«Si al visitar un lugar público no dejamos nuestras pertenencias en cualquier sitio porque conocemos los riesgos de hacerlo, ¿por qué lo haríamos con la información almacenada en nuestros dispositivos?», cuestiona el jefe de Laboratorio de ESET Latinoamérica Camilo Gutiérrez.
Bajo esa premisa, la compañía recuerda que al conectarse a este tipo de redes el usuario puede ser alcanzado por lo que se conoce como un ataque Man in the middle (‘Hombre en el medio’, en traducción libre). Se trata de una maniobra que consiste en colar un intermediario entre el usuario y el sitio que quiere visitar para interceptar los datos «mientras viajan».
Según ESET, son ataques «altamente efectivos y muy difíciles de detectar, dado que la información es interceptada sin que sea percibido». Asimismo, una red poco segura también puede dejar los datos del usuario demasiado expuestos sin necesidad de que haya un intermediario, dando lugar a que extraños puedan acceder a archivos personales o contraseñas.
Un riesgo que puede volverse grave si el usuario está accediendo desde un dispositivo de trabajo, con datos sensibles de empresas, o incluso si se encuentra realizando transacciones bancarias. «El uso de una red pública siempre representa un riesgo para realizar cualquier acción que involucre algún dato privado porque no se tiene conocimiento de si alguien está interceptando el tráfico», advierte ESET.
Pero esto no es todo. A veces existen redes falsas que intentan hacerse pasar por redes públicas. Si un usuario se conecta, «todos los paquetes de conexión que entren y salgan pasarán por el equipo atacante, quien podrá ver y modificar todo a voluntad».
Los propios routers pueden ser afectados: si uno de los dispositivos no tiene una correcta seguridad —al menos se debería modificar su contraseña predeterminada—, un atacante podría acceder a él y a cualquier dispositivo conectado y convertirlo en parte de una botnet, es decir, una red de dispositivos actuando de forma automática.
¿Qué se puede hacer para evitar los ataques?
Ante este panorama, ESET tiene cinco recomendaciones para evitar ser víctima de ataques al conectarse a una red pública:
- Mantener actualizados el sistema operativo y las aplicaciones del sistema, junto a los parches de seguridad elaborados por los fabricantes. La empresa recomienda instalar antivirus en todos los dispositivos, incluso en teléfonos móviles.
- Tener cuidado de los sitios a los que se accede desde redes públicas. Quizás no haya problema alguno en usar una red pública para navegar por sitios de noticias pero nunca será una buena idea acceder desde ella a sitios de homebanking, correo electrónico o redes sociales. En caso de tener que hacer una transacción de urgencia, la compañía recomienda utilizar el paquete de datos.
- Preferir siempre los sitios que utilicen el protocolo HTTPS en lugar de solo HTTP, lo que garantiza una transmisión cifrada de los datos entre el usuario y el sitio.
- Un consejo básico pero muy útil es configurar el dispositivo para que siempre pregunte al usuario antes de conectarse a una red, evitando conexiones automáticas que expongan al usuario.
- El uso del ‘doble factor de autenticación’ es también una herramienta muy útil para evitar ataques. Si bien puede parecer engorroso, ESET considera que es recomendable que el usuario utilice este mecanismo, que añade a la contraseña la exigencia de un código de seguridad que en general es enviado al usuario a través de un SMS o correo electrónico y corrobora su identidad.