Guía para proteger

la red inalámbrica
Wi-Fi de su empresa

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal promovida por el
Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del
Conocimiento a través de proyectos del ámbito de la innovación y la tecnología.

El Observatorio de la Seguridad de la Información es un referente nacional e internacional al servicio de

los ciudadanos, empresas y administraciones españolas para describir, analizar, asesorar y difundir la
cultura de la seguridad y la confianza de la Sociedad de la Información.

Datos de contacto:
Instituto Nacional de Tecnologías de la Comunicación (INTECO)
Observatorio de la Seguridad de la Información
Avda. José Aguado, 41. Edificio INTECO. 24005 León
Teléfono: +(34) 987 877 189 / Email: observatorio@inteco.es
www.inteco.es

Depósito Legal: LE - 368 - 2009

Imprime: gráficas CELARAYN, s.a.
Índice
1. ¿En qué consiste una red Wi-Fi?
¿En qué casos es recomendable instalarla? 5

2. ¿Cómo proteger la red Wi-Fi de su empresa? 8

Medidas Básicas 9

Medidas Avanzadas 13

3. Conceptos básicos de una red inalámbrica 18

(3
1. ¿En qué consiste una red Wi-Fi?
¿En qué casos es recomendable instalarla?

¿QUÉ ES Wi-Fi?

Es lo que comúnmente se conoce como red inalámbrica, y permite conec-

tar un equipo a una red con el fin de acceder a los diferentes recursos (im-
presoras, programas, servicios como Internet…) sin necesidad de cables.
Es decir, la transmisión de la información se realiza por ondas, al igual que
lo hace la radio o la televisión.

Las redes Wi-Fi cumplen con alguno de los estándares 802.11a/b/g/n.

¿EN QUÉ CASOS ES RECOMENDABLE INSTALARLA?

La utilización de este tipo de conexión ofrece innumerables ventajas aso-

ciadas a la movilidad, y está especialmente recomendado en las siguientes
situaciones:

• Cuando por motivos de infraestructura o coste no es posible ins-

talar cables de acceso a la red en su empresa/oficina.

• Cuando para realizar su trabajo necesita poder conectarse a la red

en distintos sitios de la oficina, a donde no siempre es sencillo
llevar cables.

• Cuando el número de visitas o empleados que entran y salen de

su empresa es superior al número de conexiones fijas disponi-
bles.

• Cuando necesita conexión y movilidad al mismo tiempo.

¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla? (5
Guía para proteger la red inalámbrica Wi-Fi de su empresa

En base a estas recomendaciones...

recomendaciones

¿Está seguro de que realmente necesita Wi-Fi?

Debido a los posibles riesgos de seguridad que

puede llevar consigo una red inalámbrica, se
recomienda que compruebe la necesidad de
disponer de este tipo de red. Si considera que
realmente es necesario, ¡adelante!. En esta
guía encontrará algunas recomendaciones para
hacer un uso seguro de su red WiFi.

¿QUÉ ELEMENTOS FORMAN UNA RED Wi-Fi?

Existen dos tipos de redes Wi-Fi en función de los componentes que la for-
men y el objetivo de la conexión:

• Redes AdHoc: son redes que se establecen entre dos equipos

(PC, PDA, impresora, cámaras, discos duros, etc.) sin ningún
elemento de interconexión ajeno a los propios dispositivos. Es
la red más simple y se usa para conectar dispositivos de forma
esporádica.

• Redes con infraestructura: son redes que tienen elementos de in-

terconexión inalámbricos. Suelen estar unidas a una red “cableada”
para extender la red principal. Los elementos de interconexión se
denominan genéricamente puntos de acceso (AP’s, Access Point).
Comercialmente podemos encontrar varios dispositivos con capaci-
dad de AP:

6) ¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla?
 Router inalámbrico: existen modelos específicos para conectarse
a Internet y cuentan con un punto de acceso inalámbrico incluido.
Disponen, al menos, de una entrada para teléfono (rj11) y/o un puerto
para redes ethernet (rj45).

Access Point: es el elemento de red inalámbrico que centraliza las

conexiones de los dispositivos o terminales.

Para crear una red inalámbrica con infraestructura es necesario un elemen-

to concentrador (por ejemplo un router inalámbrico o un punto de acceso) y
un elemento receptor como los equipos y tarjetas de conexión inalámbricas
(muchos portátiles, las PDA, y teléfonos de gama alta ya incorporan de serie
el dispositivo Wi-Fi 802.11b/g). En caso de no tener este dispositivo integra-
do, hay disponible en el mercado tarjetas Wi-Fi con conectores USB, PCI,
PCMCIA, Expresscard, CF, SD... que ofrecen las mismas funcionalidades.

Ejemplo de Red Wi-Fi

¿En qué consiste una red Wi-Fi? ¿En qué casos es recomendable instalarla? (7
 2. ¿Cómo proteger la red Wi-Fi de su
empresa?

A la hora de instalar una red inalámbrica se debe tomar ciertas medidas para
reducir los riesgos de un incidente de seguridad en su negocio; como
puede ser que personas ajenas accedan a información de su empresa,
que sea víctima de un fraude, que utilicen su red para fines maliciosos
– con las consideraciones legales que esto puede suponer – o simple-
mente que terceros consuman ancho de banda afectando al rendimiento.

Podemos disponer de redes Wi-Fi con un nivel de seguridad más que acep-
table si se utilizan correctamente los medios de protección disponibles.

No proteger adecuadamente su red Wi-Fi puede provocar que personas

ajenas accedan a información de su empresa.

Para entender mejor cómo puede asegurar su red inalámbrica primero vere-
mos cómo se realiza la conexión de un dispositivo a la misma.

8) ¿Cómo proteger la red Wi-Fi de su empresa?

 Esquema de conexión WI-FI

Para asegurar la red se deberán proteger los diferentes pasos que se

realizan durante la conexión del dispositivo al punto de acceso o router.

De cara a facilitar la implantación de las medidas éstas se han dividido en

básicas y avanzadas en función de su necesidad y de la complejidad para
llevarlas a la práctica.

Medidas Básicas

Son aquellas medidas mínimas necesarias para disponer de una red Wi-
Fi segura. Se pueden abordar con unos conocimientos básicos y con los
manuales de uso de los dispositivos.

¿Cómo proteger la red Wi-Fi de su empresa? (9

Guía para proteger la red inalámbrica Wi-Fi de su empresa

PLANIFIQUE EL ALCANCE DE LA INSTALACIÓN

El objetivo de esta planificación es controlar el alcance de la red, ya que

cuanta menos difusión de las ondas fuera de sus instalaciones tenga, meno-
res serán las posibilidades de una intrusión en la red. Los puntos esenciales
a tener en cuenta son:
• Debe responder a las necesidades de su empresa (cobertura,
ubicación, etc.).

• No debe dejarlos al acceso directo de cualquier persona.

• Deben estar en lugares relativamente difíciles de acceder (techos,
falso techo, en cajas con cerradura, etc.).

CAMBIE LOS DATOS DE ACCESO A SU ROUTER

Los routers y puntos de acceso que recibe cuando contrata el servicio Wi-Fi
con algún proveedor suelen tener una contraseña por defecto para ac-
ceder a la administración y configuración del dispositivo. Esta contraseña,
a veces denominada “clave del administrador”, debe cambiarse cuanto
antes por otra contraseña que sólo Ud. conozca.

No olvide cambiar la contraseña de

administración de su punto de acceso
inalámbrico tras su instalación

Para mayor información sobre la creación y gestión de contraseñas puede

consultar el artículo de INTECO Recomendaciones para la creación y uso
de contraseñas seguras1.
1 Este documento lo puede encontrar en el siguiente link: http://www.inteco.es/Seguridad/Observatorio/Es-
tudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas

10 ) ¿Cómo proteger la red Wi-Fi de su empresa?

Con esta medida evitará que atacantes que hacen uso de esas contraseñas
por defecto puedan tomar el control del router desde fuera de sus instalacio-
nes vía Internet y modificar su configuración de seguridad.

OCULTE EL NOMBRE DE SU RED

Cuando usted intente conectarse a una red, le aparecerán todas las que se
encuentran a su alrededor, independientemente de si pertenecen o no a su
organización, y esto mismo le ocurrirá a cualquier persona ajena que esca-
nee en busca de redes inalámbricas.

Sólo podrán conectarse a su red aquellos

usuarios autorizados que conozcan el
nombre de red de su empresa

Para evitar esto, al configurar el SSID de su red en el router, o en el punto

de acceso, lo hará de forma que no se difunda el nombre de la red. De
esta manera, si alguien quiere conectarse a ella, solo podrá hacerlo si
conoce el SSID de antemano.
Con esta sencilla medida se asegura el punto 1 de la conexión, según el
esquema de la página 9.

¿Cómo proteger la red Wi-Fi de su empresa? ( 11

Guía para proteger la red inalámbrica Wi-Fi de su empresa

USE PROTOCOLOS DE SEGURIDAD

Mediante protocolos de seguridad que permiten el cifrado en función de

una contraseña conseguiremos proteger tanto el acceso a la red como las
comunicaciones entre dispositivos.

Recomendaciones de uso:
Utilice siempre un protocolo de seguridad, y en
lo posible el protocolo WPA. El uso de protocolos
evitará que personas no autorizadas puedan
acceder a su red.

Los dos sistemas más comunes para asegurar el acceso a la red Wi-Fi son
el procolo WEP (Wired Equivalent Privacy) y el protocolo WPA (Wi-Fi Pro-
tected Access).

El protocolo WEP es el más simple y lo implementan prácticamente to-

dos los dispositivos, pero han sido reportadas algunas vulnerabilidades
que permiten saltarse su protección.

En cambio, el protocolo WPA utiliza un cifrado más fuerte, que hace que
sea más robusto, aunque no todos los dispositivos ni los sistemas ope-
rativos lo soportan (debe consultar la documentación del dispositivo para
conocer este aspecto). También es posible implementar el protocolo WPA2
que es la evolución definitiva del WPA. Es el más seguro de los tres pero
tampoco todos los dispositivos lo implementan.

Use el protocolo que use, la forma de trabajo es similar: si el punto de acce-

so o router tiene habilitado el cifrado, los dispositivos receptores que traten
de acceder a él tendrán que habilitarlo también.

12 ) ¿Cómo proteger la red Wi-Fi de su empresa?

Cuando el punto de acceso detecte el intento de conexión, solicitará la con-
traseña que previamente habrá Ud. indicado para el cifrado.

Cómo configurar el protocolo

Para lograr una mayor seguridad se deben cambiar las contraseñas de ac-
ceso cada cierto tiempo y usar contraseñas fuertes.

Esto es una forma de asegurar el paso 2, comprobación de credenciales,

según el esquema de la página 9.

APAGUE EL ROUTER O PUNTO DE ACCESO CUANDO NO LO VAYA A

UTILIZAR

De esta forma se reducirán las probabilidades de éxito de un ataque contra

la red inalámbrica y por lo tanto de su uso fraudulento.

Medidas Avanzadas

Medidas a adoptar para tener una garantía “extra” de seguridad. Para imple-
mentarlas es necesario disponer de conocimientos técnicos avanzados
o contar con personal técnico adecuado.

¿Cómo proteger la red Wi-Fi de su empresa? ( 13

Guía para proteger la red inalámbrica Wi-Fi de su empresa

Recuerde que a veces no valoramos bien lo

crítica que es nuestra información. Piense en
lo que pasaría si la información de su empresa
estuviera a disposición de terceros. ¿Sería
entonces importante?

UTILICE LA LISTA DE CONTROL DE ACCESO (ACL) POR MAC

La lista de control de acceso consiste en crear una lista con las direccio-
nes MAC de los dispositivos que quiere que tengan acceso a su red. La
dirección MAC es un identificador único de los dispositivos de red de sus
equipos (tarjeta de red, móviles, PDA, router,...). Así que si cuando Ud. so-
licita la conexión su MAC está en la lista, podrá acceder a la Red; en caso
contrario será rechazado al no disponer de la credencial apropiada.

De esta forma se asegura el punto 2, comprobación de credenciales, según

el esquema de la página 9.

14 ) ¿Cómo proteger la red Wi-Fi de su empresa?

DESHABILITE EL DHCP EN EL ROUTER Y UTILICE IP ESTÁTICAS

Para dificultar la conexión de terceros a la Red se puede desactivar la

asignación de IP dinámica por parte del router a los distintos dispositivos
inalámbricos.

Cuando un equipo trata de conectarse a una red, ha de tener una dirección

IP que pertenezca al rango de IPs de la red a la que quiere entrar. El servi-
dor DHCP se encarga de dar una dirección IP adecuada, siempre y cuando
el dispositivo esté configurado para obtenerla en modo dinámico mediante
servidor DHCP.

Al deshabilitar el DHCP en el router cuando un nuevo dispositivo solicite una

dirección IP, éste no se la dará, por lo tanto, si quiere conectar deberá in-
dicar el usuario una dirección IP, una máscara de subred y una dirección
de la pasarela o gateway (dirección del router) de forma aleatoria, lo que
implica que las posibilidades de acertar con la IP de la red deberían ser casi
nulas.

De esta forma se asegura el punto 3, el DHCP asigna IP al equipo, según el

esquema de la página 9.

CAMBIE LA DIRECCIÓN IP PARA LA RED LOCAL DEL ROUTER

Para dificultar en mayor medida que personas ajenas se conecten a su red

inalámbrica de manera ilegitima también es recomendable cambiar la IP
interna que los router traen por defecto, normalmente 192.168.0.1. Si no
se realiza el cambio el atacante tendrá más posibilidades de acertar con una
IP valida y por lo tanto de comprometer la Red.

¿Cómo proteger la red Wi-Fi de su empresa? ( 15

Guía para un uso seguro en entornos WI-FI para pymes

AUTENTIQUE A LAS PERSONAS QUE SE CONECTEN A SU RED, SI LO

CONSIDERA NECESARIO

La autenticación de usuarios tiene sentido en entornos donde éstos sean

siempre los mismos. Si es el caso de su empresa, recomendemos optar
por la autenticación de personas.

En caso de necesidad de autenticar a las personas que se conectan a la red,

se recomienda la implementación del protocolo 802.1x (Contacte con
una empresa especializada si no tiene los conocimientos necesarios).

Quién puede conectarse a su red Wi-Fi

Si es necesario autenticar a las personas que

accedan a su red, se recomienda utilizar el
PROTOCOLO 802.1X

16 ) ¿Cómo proteger la red Wi-Fi de su empresa?

Este protocolo es complicado de implantar, pero es bastante seguro. Su
funcionamiento se centra en certificados digitales (como por ejemplo los
facilitados por la Fábrica Nacional de Moneda y Timbre FNMT o el recién
implantado e-DNI). Estos certificados se instalan en los ordenadores de los
usuarios, y cuando se quieren conectar a la red, los certificados se trans-
miten de forma segura hacia la entidad u organismo que ha firmado los
certificados y verifica que son válidos. A partir de ahí, los clientes pueden
acceder a la red (puesto que ya se han autenticado) y de forma segura (los
certificados ayudan a proporcionar un canal de comunicación seguro).

Configuración opciones inalámbricas

¿Cómo proteger la red Wi-Fi de su empresa? ( 17

 3. Conceptos básicos de una red
inalámbrica

• SSID:
Es el nombre de la red. Todos los paquetes de información que se envían
o reciben llevan esta información.

• WEP:
Sistema de cifrado para redes Wi-Fi. No es seguro, ya que han aparecido
vulnerabilidades que provocan que se pueda saltar fácilmente.

• WPA:
Sistema posterior a WEP que mejora notablemente la encriptación de
WEP, aunque la versión definitiva es WPA2.

• WPA2:
Sistema de cifrado, evolución del WPA, con contraseña de 128 bits. Se
considera seguro.

• IP:
Una dirección formada por una serie de números que identifica a nuestro
equipo de forma unívoca dentro de una red.

• MAC:
Es un valor que los fabricantes asignan a cada componente de una red, y
que los identifica de forma unívoca, es como el DNI del dispositivo. Tienen
dirección MAC las tarjetas de red, los routers, los USB Wi-Fi. En definitiva,
todos los dispositivos que puedan tener una IP.

• DHCP:
Tecnología utilizada en redes que permite que los equipos que se conec-
ten a una red (con DHCP activado) auto-configuren los datos de dirección
IP, máscara de subred, puerta de enlace y servidores DNS, de forma que
no haya que introducir estos datos manualmente.

18 ) Conceptos básicos de una red inalámbrica

www.inteco.es