cccc cc

c
Proteger una red Wi-Fi (inalámbrica)
Publicado:c 3/11/2006c
Escrito por d
  y  c

ccc c ccActualizado:c3/11/2006c c
c
c c

c
c

x
 c
c ½

  cc
c cc


c
c cc
c 
c
c½ cc
c  
c
c


c
c
c½ cc
c  
 cc
cd 

c cc
c  
 ccc




c
 cc
c 
c
c

c
c


c  cc
c 

c
c

c cc
c ! c
cc½c 


  c
c 
"
cc

# cc
c 
c


c

 cc
c $ c
c
 
cc
c 
 

 cc
 
 c
cc cc
c
c
Do último en 

c

 son las 

c  basadas en tecnología . Tal es el O
con este tipo de redes,
c
que la mayoría de los ½ regalan con sus accesos a Internet por %, 


 con tecnología inalámbrica. c
El objetivo de este tutorial es aprender cómo podemos proteger nuestra red Wi -Fi, bien encriptando los datos que
circulan por ella, filtrando las  de los PC's que queremos que formen parte de nuestra red, ocultando nuestra
red o desactivando el servidor DHCP entre otras cosas. c
Mediante las encriptaciones (WEP o WPA) protegemos nuestra privacidad, codificando los datos que
recibimos/transmitimos. Con el filtrado de las MAC's o la ocultación de nuestra red impedimos que usuarios ajenos
se conecten a nuestra red (y con ello a Internet). Cada uno debe elegir q ué prefiere, si proteger su intimidad o
evitar que alguien se aproveche, por ejemplo, de su conexión a Internet. c
Puede que quizás quieras revisar otros tutoriales antes de continuar con éste: 
 c


c&c
c'

 , 
cc

 c
c
c'

 ó ½ 
c c
c cc
. c
’ 

 P’ c
Para poder proteger nuestra red Wi-Fi tendremos que acceder a la configuración de nuestro router ó punto de
acceso inalámbrico; además de configurar Windows o el software correspondiente. c
Para acceder a tu router, puedes consultar el tutorial:  
c

c(c'
cc
c


. c
Como recomendación, por sencillez y comodidad, es aconsejable usar Windows para establecer la configuración
inalámbrica. Para ello, ve a ½

 

 
  
 
   . Selecciona tu conexión
de red inalámbrica, y haz clic con el botón derecho, para darle a Propiedades. Pulsa sobre la pestaña de Redes
Inalámbricas, y asegúrate de tener marcada la opción "  

 O
 

 

   



O
": c
 c
’ ’ L’  ’
’
 FÁ ’ c
Ésta debería ser la primera acción a realizar, tanto si vas a emplear la conexión Wi -Fi como si no. Un producto de
fábrica viene con un perfil y una contraseña estándar, a fin de facilitar el acceso a su configuración inicial. Estos
datos son de sobra conocidos y están publicados en multitud de páginas Webs y foros y, por consiguiente, es fácil
encontrar en Internet listados en los que figuran los nombres de usuarios y contraseñas empleadas por los
fabricantes en cada modelo de router. Debes seguir cierta metodología a la hora de escoger la contraseña: c
c Evita escribir tu nombre o el de tu pareja, tu año de nacimiento, tu domicilio o teléfono y en general toda
aquella información que te identifique y que pueda ser fácilmente adivinable. c
c Intercala mayúsculas, minúsculas y números. c
c o introduzcas una secuencia de teclas correlativas como puede ser "abcdef", "45678", etc. cc

c

F’ L


c
El SSID es el nombre de tu red y si alguien lo conoce, es más fácil descubrirla y conectarse a ella. Dos fabricantes
normalmente comercializan sus enrutadores inalámbricos con el mismo SSID genérico, de esta forma los intrusos
pueden adivinar fácilmente cual es el nombre y registrarse. Por lo tanto, escoge un nombre con el que denominar a
tu red. Hazlo con uno que no resulte actractivo a ojos de un extraño, y a ser posible que dé indicios de un fallo
simulado, por ejemplo, "
iscconnected", "navailable", etc. c
L’  
 F’

 


c
El simple hecho de ocultar nuestra red a ojos curiosos puede ser un buen método de evitar intrusiones ajenas. Por
ejemplo, Windows XP, nos permite ver las conexiones de red inalámbricas a nuestro alcance, y conecta rse con un
simple clic en  . c
Para evitar en parte aparecer en las búsquedas de nuestros vecinos, podemos hacer que nuestra red "no se
publicite". Para ello tenemos que ir a nuestro router y marcar la casilla de ocultar nuestra red (dependiendo del
modelo de router o punto de acceso, habrá que marcar o desmarcar, habilitar o deshabilitar el ^^½  ): c

c
Es importante destacar que ocultar nuestra red no impide que determinados programa s como el )



 puedan
c
detectarla.

 P’ WP (Wired uivalent Privacy) c

Es la más conocida y utilizada, debido a que es el único método soportado por la mayoría de los dispositivos
ecónomicos disponibles en el mercado. Se basa en claves de 64 ó 128 bits. Puedes encontrarte con información
confusa y aparentemente engañosa cuando elijas el cifrado WEP. Algunos fabricantes de hardware ofrecen la opción
de cifrado de 40 bits y de 104 bits en lugar del cifrado de 64 ó 128 bits. En realidad, el cifrado WEP de 40 bits y el
de 64 bits son los términos para señalar lo mismo, así como el cifrado WEP de 104 bits y 128 también son términos
similares para lo mismo. Por lo tanto, algunos fabric antes se refieren al estándar como 40 bits y 104 bits y otros
como 64 bits y 128 bits. c
En el router o punto de acceso: tenemos que ir al apartado de Wireless, y elegir una autentificación abierta (open)
o compartida (shared). Después en la encriptación seleccionaremos WEP, escogemos una codificación de 64 ó 128
bits y nos pedirá de 1 a 4 claves (de 10 dígitos hexadecimales para 64 bits, 26 para 128). Funcionaría con 1 sola
clave siempre y cuando luego lo configuremos adecuadamente en el PC, pero si usamos las 4, la seguridad será
mayor. Do mismo ocurre si usamos una clave de 128 bits. c
En el PC: vamos a la ventana de Propiedades de la Red Inalámbrica, pulsamos sobre el botón ’ , y
configuramos los mismos parámetros que introdujimos en el router/punto de acceso: c
 c
Da encriptación WEP no es la opción más segura. Es útil porque por ejemplo viene pre -configurada en muchos
routers de determinados ISP, y para usuarios noveles puede ser un punto de inicio. Pero, hay que insistir, no es
100% segura. Si no puedes conseguir que funcione WEP, puede ser debido a problemas de autentificción.
Experimenta utilizando Abierta y Compartida en cada PC (selecciona esta opción desde la lista desplegable de
c
autentificación de red).

 P’ WP’ (Wi-Fi Protected ’ccess) c

Surgió como alternativa segura y eficaz al WEP, se basa en el cifrado de la información mediante claves dinámicas,
que se calculan a partir de una contraseña. Es precisamente aquí donde está el punto flaco, si no se emplea una
contraseña suficientemente larga y compleja, es posible que lleguen a desvelarla. c
En el router o punto de acceso: al igual que anteriormente, hay que ir al apartado de Wireless y seleccionar la
opción WPA. En este caso no tendremos una simple opción, pues habrá que escoger entre WPA -Radius o WPA-
PreSharedKey (WPA-PSK), como su propio nombre indica, su único requerimiento es compartir una clave entre los
diferentes clientes que se van a autentificar en un determinado punto de acceso o router que también la conoce.
Este método no es tan seguro como el uso de un servidor de autentificación central del tipo Radius, pero es
suficiente en entornos que necesiten conectar de forma segura a unos pocos equipos. Por sencillez es recomentable
el WPA-PSK, que simplemente pide escoger la encriptación ( o $*½) y una clave de, mínimo, 8 dígitos y de
máximo 63. P es el algorítmo aprobado y certificado para WPA, algunos productos son compatibles con el
cifrado avanzado (’
) pero no han sido certificados porque no funcionan con el hardware de distintos
suministradores. Así que selecciona TKIP para evitar que el router trabaje innecesariamente o bién la combinación
de los dos métodos disponibles (P+’
), así no tendrás problemas de compatibilidad. c
En el PC: vamos a la ventana de Propiedades de la Red Inalámbrica, pulsamos sobre el botón ’ , y
configuramos los mismos parámetros que introdujimos en el router/punto de acceso: c
 c
El único problema de este tipo de encriptación es que no todos los adaptadores de red inalámbricos o
routers/puntos de acceso lo soportan, aunque la tendencia actual es que el hardware sea compatible. En el caso de
que no lo sea, comprueba si existen actualizaciones disponibles, descárgalas e instálalas. También debes
asegurarte de que tu versión de Windows admite el cifrado WPA. Windows XP con Service Pack 2 (SP2) es
compatible, las versiones anteriores no lo son. Si no tienes instalado SP2, descarga el p arche desde d (. c
Aunque Windows XP también tiene soporte completo para +, la versión certificada final de WPA. Puedes
descargar el parche apropiado desde 


. c
M ase tambi n c
c Para obtener instrucciones más detalladas sobre el uso de WPA, consulta el artículo " 

c
 
,cc


cc

" de PC Magazine.cc
c Para obtener más información consulta la base de conocimientos de Microsoft, 
( 
c-./0-/ 1cc

Tanto para WP’ como para WP, es recomendable cambiar su clave con regularidad ya que si alguien supervisa tu
red y captura los paquetes durante un largo periodo de tiempo, podría descifrar su cifrado. Si cambias
regularmente de clave, será mucho más dificil porque tendrá menos tiempo y datos para hacerlo. Asimismo,
habilitando éstos puedes reducir la velocidad de transmisión de datos significativamente. Esa es la razón por la que
es importante empezar con una señal potente, para que la pérdida de velocidad sea reducida. c
’M’ L FL’
 P
 
’s c
utra opción para proteger la red de visitantes externos es restringir las MAC's. Da MAC es, por decirlo en términos
c
sencillos, el identificador de nuestro adaptador de red. Estas direcciones son fijas, y están grabadas en la propia
tarjeta. Cada tarjeta tiene una distinta y están formadas por 12 dígitos hexadecimales y tiene este aspecto 00 -C0-
26-10-1E-C3. Da primera parte de la dirección identifica al fabricante de la tarjeta o dispositivo y la última es un
número asignado de forma secuencial. c
En el PC: lo primero que tenemos que averiguar es nuestra MAC. Para ello, vamos a ½

  

’ . En la ventana que nos aparece escribimos
 


y le damos a½  , nos saldrá algo similar a esto: c

 c
Hay que fijarse y tener cuidado. Como se puede ver en la captura, dos adaptadores de red, uno ethernet y otro
inalámbrico, montados en el mismo PC, tienen ’ diferente. Esto significa que si, por ejemplo, filtramos
nuestro router y ponemos la MAC del adaptador inalámbrico, no podremos conecta rnos a nuestra propia red si
optamos por usar el cable y el adaptador ethernet. c
En el router o punto de acceso: una vez apuntada nuestra MAC (o MAC's), tenemos que acceder al router o punto
c
de acceso para establecer el filtrado:

c
En este caso podemos establecer una lista a la que Mermitir (Allow) conectarse o a la que denegar (Deny) la
conexión. Este es uno de los métodos más efectivos para proteger la red y resulta prácticamente obligatoria su
activación.c


’M’ L
M

P c
El servidor DHCP integrado en el enrutador distribuye las direcciones IP siempre a cada PC. Por lo tanto, otro
método para deterner a los intrusos es limitar el número de direcciones IP al número de ordenadores que
realmente posees. Si decides mantener activado el DHCP restringiendo el rango de direcciones que asigna, no
tienes más que modificar los valores " ^½’ ", en donde debes introducir la primera dirección que debe
asignar el servidor, y " ½’ ", en donde debes indicar dónde termina el cojunto de direc ciones que puede
asignar el router, es decir, la última dirección IP válida. Para terminar, puedes especificar el tiempo de duración de
la asignación en   

(hour), es decir, el tiempo durante el cuál una dirección pertenecerá a un cliente,
pasado el cuál podría ser asignada a otro. c
Para desactivar el servidor DHCP y configurar todas las direcciones de los dispositvos manualmente, marca la
casilla "
O
^  ", de este modo evitarás que el router conceda a un equipo externo los datos de
conexión de tu red, pasando a formar parte de ella. Desafortunadamente esto implica que tendrás que introducir la
dirección IP, la puerta de enlace y los DS directamente a mano en cada PC. c
 c
º’  L’ P (
  ) c
Dos diferentes rangos de direcciones IP son los que logran que los equipos se "vean" entre sí. ormalmente es un
valor que no se suele tener en cuenta, pero modificando la máscara de subred es posible restringir el número de
dispositivos máximo. Por ejemplo, cuando se usa una dirección del tipo 192.168.1.X la máscara 255.255.255.0
indica que pertenecen a la misma red lógica todos los dispositivos del rango, es decir, desde la IP 192.168.1.1
hasta la 192.168.1.255. Por ejemplo, si van a "convivir" d os dispositivos se puede restringir a un máximo de dos el
número de direcciones IP válidas y por tanto el número de equipos que pueden estar activos simultáneamente.
Para ello tendrás que emplear la máscara 255.255.255.252 y usar dos direcciones IP adecuad as. Para evitar
complicaciones puedes usar una de las calculadoras IP existentes en Internet disponible d (. De este modo,
lograrás que un posible "intruso" tenga muy complicado encontrar una dirección para comunicarse con tu router, ya
que no puede haber dos direcciones IP iguales en la misma red. Este método es para usuarios avanzados. c


’ L’ L’  F’ c
Si no vas a utilizar tu conexión Wi -Fi durante una temporada, por ejemplo cuando te vayas de vacaciones, o no
dispones de ningún dispositivo con este tipo de conexión lo mejor es que desactives la interfaz, ya que es la forma
más segura de evitar posibles "intrusos" y además ahorrarás al router trabajo innecesario. c

c
M’ 
P L’
c
Das redes inalámbricas vecinas pueden crear interferencias importantes en tu sistema Wi -Fi si funcionan en el
mismo canal o en uno cercano. Para evitar esto cambia de canal, deja al menos 5 canales entre tu red inalámbrica
y las "colindantes". Por ejemplo puedes tener dos redes sin problemas en los canales 1,6 y 11 o bien 1,7 y 13. c
 c
Con el programa etstumbler, Wi -Fi Defense o myWiFizone entre otros, puedes ver todas las redes en tu radio de
alcance y su número de canal. c
’ L  c
A pesar de todas estas precauciones, seguramente alguien podrá entrar en tu red o, al menos, descubrir
información sobre ella. Dos que se dedican a realizar expediciones en busca de redes inalámbricas normalmente les
dicen a todo el mundo que han encontrado redes sin proteger. Por lo tanto, existe la posibilidad de que la
información sobre tu red aparezca en un listado en un sitio Web disponible públicamente para que todo el mundo
c
pueda verla. Si éste es el caso, alguien puede utilizar dicha inform ación para intentar entrar en tu red.

Primero localiza la dirección MAC de tu router. ormalmente este dato aparece listado en una de las pantallas del
mismo, pero si no sabes cómo encontrarla dirígete a la línea de comandos ( ½

  
 ) y realiza un
c
ping a la dirección IP del router. Por ejemplo:

Ping 192.168.1.1 c
En realidad no necesitas realizar ningún ping, pero es recomendable porque al hacerlo, la información de la
dirección MAC se colocará en el protocolo de resolución (ARP) desde la cac hé de tu PC. Tras realizar el ping escribe
el siguiente comando: c
’rM -a c
Da dirección MAC aparecerá listada directamente debajo de la Dirección física. c
 c
Duego dirígete a la Web "

,22' 
1

. Haz clic en el ví nculo "^ 
" (buscar) que se encuentra en la parte
central de la pantalla. Tendrás que registrarte en el sitio pero es gratuito, así que hazlo antes de proceder a la
búsqueda. Tras registrarte inicia sesión y en el cuadro " ^^½ ’" escribe la dirección MAC, incluyendo dos
puntos (:) entre los números en lugar de los guiones ( -) mostrados por Arp. Por ejemplo: c
00:7b:db1a:7e:4g c
Haz clic en "§ " (consultar), si se abre una pantalla vacía no existe ninguna información sobre tu red. Pero si
aparece encontrarás una gran información sobre ella, incluyendo su SSID, el canal en el que emite y otra
información de identificación. c

c
 L
 
c
c Si tu hardware te lo permite, usa WPA. cc
c Si no te preocupa la privacidad de tus datos, solo que nadie se aproveche de tu red Wi -Fi, usa el filtrado
MAC. cc
c Procura esconder tu red para evitar tentaciones. cc
 c WEP es fácilmente atacable, úsala combinada con algún otro método de protección. cc
c

cc
c
  / $


 / 
 / 

/ 
' 
 / )

 / "
/ 


 / 3
( c

(
 / %  / 

 c
c