Avast hackea el Wi-Fi del MWC 2016 para demostrar los peligros de las redes públicas
Las redes Wi-Fi abiertas o públicas suponen un peligro para los usuarios, aunque la mayoría hace uso de ellas libremente. No sabemos ni quién está conectado a la red ni qué tipo de acciones se están llevando a cabo en ella (por ejemplo, captura de paquetes), por lo que siempre que podamos es recomendable evitarlas, si queremos proteger de verdad nuestra privacidad o, de usarlas, debemos hacerlo aplicando las medidas de seguridad correspondientes. Avast ha querido demostrar lo fácil que es engañar a los smartphones modernos para tomar el control de las comunicaciones de los usuarios, y qué mejor para ello que aprovechar el MWC 2016.
Uno de los vectores de ataque más común, y que afecta a prácticamente todos los sistemas operativos móviles, es el permitir que el dispositivo se conecte automáticamente a redes conocidas. Si en el pasado nos hemos conectado, por ejemplo, a una red abierta llamada «RedesZone_Open», si un pirata informático crea un punto de acceso malicioso con el mismo SSID, el dispositivo se conectará a ella automáticamente simplemente con acercarnos. Os recomendamos leer nuestro tutorial sobre ver si mi vecino me roba el WiFi.
Para demostrar este fallo de seguridad, la empresa de seguridad Avast ha aprovechado el MWC 2016 para realizar un experimento y recopilar la información de todos los usuarios vulnerable. Para ello, cerca de la cabina de registro, habilitó varias redes Wi-Fi falsas con nombres comunes como «Starbucks», «Airport_Free_Wifi_AENA» y «MWC Free WiFi», comenzando a capturar todos los paquetes que pasaban a través de dichos puntos de acceso.
En tan solo 4 horas, el experimento de Avast capturó más de 8 millones de paquetes de un total de 2000 usuarios diferentes en la MWC 2016. Analizando todos estos paquetes, se han podido sacar las siguientes conclusiones:
- El 50.1% de los usuarios utilizaban dispositivos iOS, el 43.4% dispositivos Android y el 6.5% dispositivos con Windows Phone.
- El 61.7% hizo uso de los servicios de Google (búsquedas, Gmail, etc).
- El 14.9% se conectó a Yahoo!.
- El 2% de los usuarios se conectaron a Spotify.
- El 52.3% tienen instalada la aplicación de Facebook, y el 2.4% la de Twitter.
- El 1% utilizó aplicaciones de citas, como Tinder o Badoo.
Analizando en profundidad todos los paquetes, el 63.4% de todos ellos mostraba información sobre el dispositivo o el usuario.
Todos los paquetes capturados fueron eliminados una vez que escanearon para conocer su procedencia, de manera que la privacidad de todos los que se conectaron a dichas redes siga primando, dentro de lo que se puede esperar en una red Wi-Fi pública.
Ya sea en el MWC 2016 como en un aeropuerto o en la cafetería del barrio, lo mejor es evitar las redes Wi-Fi públicas
Avast es consciente de que las personas que viajan al extranjero (por ejemplo a las ferias o convenciones como MWC 2016) suelen conectarse muy a menudo a redes Wi-Fi públicas de manera que puedan ahorrarse el dinero de los servicios de itinerancia, que no es poco. Sin embargo, muchos se olvidan de los peligros de conectarse a estas redes sin las configuraciones ni medidas recomendadas. Debido a los peligros de este tipo de redes, recordamos que siempre que nos conectemos a ellas debemos utilizar un servidor VPN que se encargue de cifrar y proteger todos y cada uno de nuestros paquetes, evitando que estos puedan ser capturados y analizados (como ha hecho Avast) en estas redes y, sobre todo, que no puedan facilitar información sobre nosotros mismos.
Es recomendable, incluso aunque utilicemos conexiones VPN, evitar siempre que sea posible acceder a webs con información crítica, por ejemplo, webs bancarias o realizar transacciones desde estas redes abiertas. También debemos tener en cuenta que, a menudo, los paquetes que viajan sin asegurar por las redes públicas facilitan información sobre nuestro sistema operativo (tanto en smartphones como en ordenadores convencionales), lo que también puede permitir a piratas informáticos llevar a cabo ataques dirigidos contra nosotros aprovechando vulnerabilidades potencialmente conocidas.
¿Alguna vez te conectas a redes abiertas? ¿Cuentas con las medidas necesarias para navegar seguro por ellas?
Os recomendamos leer nuestro tutorial sobre cómo saber la IP pública y otra información a través del navegador.