¿Preocupado por tu Wi-Fi? Hay cosas peores
Éste no es el único año que quedará en la historia de la informática como particularmente oscuro. En 2000, por ejemplo, tuvimos el virus más destructivo de todos. En 2011 hackearon la compañía mejor blindada del mundo. Y sigue la lista: el Sasser, el Melissa, el Code Red.
Pero 2017 va siendo un año no sólo de cifras escalofriantes, sino también de una variedad que no recuerdo haber visto antes. En mayo nos cayó encima el WannaCry. En junio, el Petya. En septiembre, Equifax reveló que les habían robado los registros completos de 145,5 millones de ciudadanos estadounidenses. En esos días Verizon dio a conocer los resultados de una auditoría que hizo sobre Yahoo!; supimos así que los piratas se habían quedado con los registros de todos los usuarios de Yahoo!, unos 3000 millones.
Ahora, en octubre, un antiguo protocolo de cifrado que usan todas las redes Wi-Fi mostró que tenía una hilacha suelta. El equipo de investigadores belga que lo descubrió le puso un nombre divertido, si no fuera tan grave: Krack, siglas en inglés de Ataque de reinstalación de clave.
Poco antes del Krack se conoció otro desliz monumental. Uno de los chips de cifrado de la firma alemana Infineon, presente en numerosos productos de uso cotidiano, usaba una biblioteca de software que no hacía bien los deberes. ¿El resultado? A partir de la clave pública es posible deducir la clave privada. Malísimo. Lo llamaron ROCA, siglas de Return of Coppersmith’s Attack.
OK, está todo bien, pero levanten la mano los que no estén sintiendo que dejé de hablar en español y pasé al jónico de Halicarnaso. Exacto. Otro rasgo característico de 2017 es que estos megacasos de inseguridad informática son 99% opacos para el resto de nosotros.
Por eso, primero que nada hay que calmarse. Luego, admitir que lo que podemos hacer los particulares es bastante poco. Veamos. Krack
Esta falla afecta a todo dispositivo que use Wi-Fi. ¿Es el fin del mundo? No todavía.
Primero: un atacante debería tener acceso a tus dispositivos para ejecutar la intervención. Como WiFi tiene un alcance bastante escaso, tiene que estar físicamente cerca.
Segundo: ya hay parches para Windows 7 y 10, así como para Mac y iOS. Google prometió para noviembre parchar Android. Ubuntu, por su parte, ya corrigió la vulnerabilidad.
Tercero: si usás sitios cuyas direcciones empiezan con HTTPS(banca online, comercio electrónico, Facebook, Twitter, WhatsApp, Netflix), estás protegido.
Los verdaderos problemas aquí son tres, al menos desde la óptica de los particulares.
Uno: el router propiamente dicho. En general, actualizar su sistema operativo (llamado firmware) es más complicado que con Android, Linux, Mac o Windows. ¿Qué hacer? Leer la documentación o pedirle a un técnico de confianza que haga esa actualización.
Dos: la Internet de las Cosas. Tu smart TV también usa Wi-Fi, lo mismo que cámaras de seguridad, altavoces inteligentes y hasta las cafeteras geek. Actualizar todo eso va a ser una pesadilla. ¿Soluciones? Si es posible y no afecta su función (raro), desactivar Wi-Fi. Si no, consultar al fabricante.
Tres: los Wi-Fi públicos. A causa de Krack cualquier router Wi-Fi que no esté emparchado es potencialmente peligroso, aunque tenga contraseña. ¿Solución? Es preferible usar 4G. En caso de que no te quede más remedio que usar Wi-Fi, entonces que sea con sitios que usan HTTPS. ROCA
Tus opciones con ROCA son todavía más limitadas. Éste es un defecto de fabricación de chips que se usan para muchísimas transacciones cifradas. Así que casi la única defensa que tiene un usuario particular es actualizar sus equipos, cuando tales actualizaciones estén disponibles. Fujitsu, Google, HP, Lenovo y Microsoft han publicado parches para corregir esta vulnerabilidad. Hay que instalarlas, por supuesto, pero aquí se nos cruzan dos obstáculos.
Por un lado, la idea, instalada por técnicos no del todo honestos, que dice que no hay que instalar las actualizaciones “porque pueden volver más vulnerable al sistema”. Esto es 100% falso. Las actualizaciones deben instalarse siempre, especialmente las críticas.
El segundo obstáculo es el phishing. Las actualizaciones para Windows provienen de Microsoft. No llegan como un link por Facebook o por mail. Se instalan, además, sin que tengas que intervenir en absoluto. Con Linux ocurre lo mismo.
¿Y con Android? Si el teléfono está liberado te va a llegar de parte del fabricante y si se lo compraste a una operadora de telefonía, va a llegarte de parte de esa operadora. En cualquier caso –de nuevo– es un aviso del sistema que puede revisarse desde Ajustes Actualizaciones. Ninguna actualización del sistema de Android va a aparecer en la tienda de Google, en la Web, en Facebook, Twitter o WhatsApp. Nunca.
En estos escenarios es más importante saber lo que no podemos hacer