El problema de la vulnerabilidad Wi-Fi KRACK de octubre de 2017 nos recordó a todos, una vez más, que la seguridad debe ser lo más importante para cualquier persona responsable de la seguridad de los dispositivos y las comunicaciones de red. KRACK(Key Reinstallation Attack) implicaba un problema con el protocolo WPA2, que encripta el tráfico Wi-Fi para una enorme mayoría de dispositivos y routers hoy en día. En otras palabras, este problema afectaba a casi todos los que tienen un ordenador.
¿Qué podemos aprender de esto?
Lección 1: Los fallos de seguridad no son una sorpresa
Por desgracia, estos problemas son de esperar, ya que son una realidad previsible en el mundo de las comunicaciones inalámbricas. Pero hay un resquicio de esperanza. Este conocimiento nos permite establecer y seguir las mejores prácticas. La lección clave aquí no es una noticia de que la seguridad es fundamental. Es simplemente un recordatorio: bajo ninguna circunstancia debe confiar en un solo método de seguridad para proteger su red de los ataques.
Una red típica sigue el modelo de comunicación de 7 capas OSI*, y cada una de estas capas puede emplear medidas de seguridad. Las capas incluyen:
- Capa física: Las funciones a nivel de hardware. El objetivo principal de esta capa es definir las señales físicas responsables de la transmisión a través del medio que soporta la comunicación.
- Capa deenlace de datos: La capa responsable de definir el protocolo para las transferencias de datos directas de nodo a nodo a nivel de bits. Los protocolos pueden incluir los protocolos inalámbricos 802.11 entre la estación y el punto de acceso. Los tipos de comunicación, como Wi-Fi o Ethernet, pueden variar en esta capa. La vulnerabilidad KRACK se produjo en esta capa.
- Capade red: La capa responsable de manejar los datos en una red de múltiples nodos y de gestionar las comunicaciones entre hosts que emplean varios protocolos. Un ejemplo de protocolo es el Protocolo de Internet (IP) versión 4.
- Capade transporte: La capa que maneja el control de flujo de datos. Normalmente se trata de la capa TCP.
- Capade sesión: La capa que maneja las sesiones de comunicación y la autenticación a través de protocolos de aplicación comunes.
- Capade presentación: La capa que convierte los datos entrantes y salientes en otro formato de presentación, y puede descifrar los datos cifrados. En esta capa es donde suelen producirse los flujos de cifrado SSL/TLS.
- Capade aplicación: La capa que maneja la entrada y salida de datos de aplicación con formato con aplicaciones como clientes de correo electrónico y navegadores web.
*Nótese que nos hemos tomado cierta libertad con la definición de los protocolos TCP/IP y el modelo OSI de 7 capas. TCP/IP no encaja bien en el modelo OSI. Sin embargo, consideramos que el uso del modelo OSI es fundamental a la hora de revisar la seguridad en redes y aplicaciones.
Lección 2: Emplear la mejor práctica de "seguridad en profundidad"
En una aplicación verdaderamente segura, la seguridad se produce en múltiples capas, y mínimamente en las capas de enlace de datos, transporte y presentación. La estrategia de seguridad de su aplicación no debe depender de una sola capa. Cada una de las capas de este modelo puede fallar y lo hará, a veces de forma espectacular.
Por lo tanto, una de las mejores prácticas es supervisar e implementar métodos de seguridad estándar de la industria en tantas capas de la red como sea posible. Cuando una vulnerabilidad o un ataque a la seguridad se dirija a una de las capas, dispondrá de otras medidas sólidas. Estas medidas son su tarjeta de "salida de la cárcel" cuando una capa se ve comprometida.
Veamos el Wi-Fi y las vulnerabilidades KRACK como ejemplo. Con el Wi-Fi, tus datos se transmiten desde tu dispositivo hasta el punto de acceso, y nadie puede leerlos o descodificarlos. En cambio, si todo el mundo está conectado con un concentrador de red, puede ver efectivamente el tráfico de los demás. La vulnerabilidad KRACK, que afectaba a todos los sistemas que implementaban el estándar WPA/WPA2, permitía que todos vieran efectivamente tu tráfico de la misma manera, como si estuvieran en la misma red cableada.
Con el Wi-Fi (en la capa de transporte), no se puede controlar a una estación deshonesta que escuche la señal de radio del Wi-Fi. Por este motivo, debes contar con protocolos de seguridad como el estándar WPA/WPA2 para cifrar el tráfico. Además, si también dispone de los protocolos más actualizados a nivel de sesión TLS, estará protegido incluso en caso de vulnerabilidad del Wi-Fi.
Lección 3: La vida útil de toda medida de seguridad es limitada
Los métodos de seguridad caducan. Dado que las vulnerabilidades de seguridad pueden producirse, y de hecho se producen, con frecuencia (normalmente se miden en meses, no en años), las normas de protección de nuestras redes y datos deben actualizarse periódicamente. El sector de las redes se ha visto afectado repetidamente por titulares, como el problema de POODLE que comprometió SSL y TLS 1.0, así como muchos otros ataques a los métodos de autenticación, certificación y verificación en múltiples capas y métodos de comunicación.
A medida que los protocolos y normas de seguridad cambian, corresponde a las empresas y a sus gestores de red emplear esas actualizaciones para proteger sus sistemas y redes.
Lección 4: Trabajar con proveedores de productos comprometidos con la seguridad
Dado que la seguridad requiere un enfoque múltiple, no sólo es importante asegurarse de que su política de redes es sólida, sino también de que los productos que incorpora a sus sistemas están diseñados para la seguridad.
Conozca a Digi TrustFence®.
- Desarrollar productos que incorporen funciones para mitigar las vulnerabilidades de seguridad y los ataques más comunes contra los dispositivos.
- Comprometerse a mantenerse al día en la mejora continua del ciclo de vida de la seguridad.
La elección de productos basados en este modelo le permite integrar fácilmente las funciones de seguridad, identidad de los dispositivos y privacidad de los datos en sus sistemas y diseños.
En resumen
Aunque ser "a prueba de balas" puede no ser un objetivo realista, es fundamental crear una estrategia sólida que le ayude a prepararse y responder a los problemas de seguridad, antes de que ocurran y cuando ocurran. Esto incluye el mantenimiento de estándares actualizados en las múltiples capas de la red y la incorporación de productos diseñados para adaptarse a las amenazas de seguridad a medida que evolucionan.