El pasado 7 de noviembre, 3 colaboradores de Ubuntu León estuvieron auditando redes inhalámbricas y bebiendo vermouth a la par en la ciudad de León.
El experimento quería verificar la seguridad y solidez real de las redes inalámbricas en nuestra ciudad, para lo que se eligieron al azar 10 redes de diferentes puntos de la localidad. Para ello se utilizó un ordenador tipo (Core 2 Duo, 2 GB de RAM, tarjeta de red externa con chipset Realtek 8187L y antena de 18 dBi).
Los resultados obtenidos tras 2 horas de auditoría fueron los siguientes:
- Redes auditadas: 10
- Redes con seguridad WEP: 30%
- Redes con seguridad WPA: 70%
- Redes con SSID y Clave generada automáticamente: 80%
- Redes con tráfico en el momento de la auditoría: 80%
- Redes con seguridad WPS activa: 80%
- 80% de las redes examinadas fueron vulneradas.
- EL 60% de las redes fueron accedidas en los 15 primeros segundos de comenzar el ataque. El 20%, en los 2 minutos siguientes.
- Sólo el 20% de las redes no pudieron ser hackeadas en un período de 5 minutos (que fué le tiempo máximo que fijamos para el ataque). Lo que no quiere decir que su seguridad fuese fiable al 100%. Habría que verificar con un ataque de mayor extensión en el tiempo para comprobar su solidez real.
- 30% de las redes examinadas contaban con caracteres sólo alfabético en sus contraseñas.
- 50% de las redes examinadas contaban con caracteres alfa-numéricos pero sin caracteres especiales en sus contraseñas.
- 80% de las redes analizadas carecían de caracteres especiales en sus contraseñas.
Las conclusiones, muy sencillas.
- Con la seguridad actual con la que cuentan la mayoría de las redes inalámbricas en nuestra ciudad, es cuestión de segundos acceder a cualquiera de ellas.
- En el caso de redes de particulares, estas vulnerabilidades afectan a la posible difusión de material privado, números de tarjetas de crédito, cuentas bancarias y acceso al contenido almacenado en los pc´s conectados a la red.
- En los casos de organismos oficiales, empresas y otras instituciones, dichas vulnerabilidades afectan directamente al tratamiento de los datos de particulares de las personas físicas que confían este tipo de información a dichos organismos, por lo que desde aquí recomendamos encarecidamente la revisión de este tipo de infraestructuras a aquellas entidades que manejan informaciones de carcáter confidencial, para cumplir con la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Esto es todo. Muchas gracias por vuestra atención.