Los riesgos de la Wi-Fi del hotel

A todo el mundo le encanta la Wi-Fi gratis. Es un factor importante para el viajero el estar conectado cuando elige un hotel, e incluso hay sitios web dedicados a la búsqueda de hoteles con Wi-Fi rápido y velocidades de prueba. Pero hay un problema: es intrínsecamente inseguro.

“La Wi-Fi del hotel está diseñada para un acceso fácil y sin fricción”, afirma Stephen Moody, director de soluciones de EMEA en ThreatMetrix. “Los dispositivos se conectan a redes Wi-Fi inseguras y no encriptadas”. La conclusión es la siguiente: si utiliza el Wi-Fi del hotel, es posible que esté abierto a estafas, hackers, virus y ataques de software malicioso.

¿Qué tiene de malo el Wi-Fi?

La naturaleza misma de la Wi-Fi, con el tráfico de todos los dispositivos móviles transmitiendo fuertemente sobre las ondas, hace que cualquier red pública Wi-Fi sea insegura. “Con un adaptador Wi-Fi barato y algo de software gratuito, cualquiera puede escuchar todas las conversaciones que un teléfono o portátil está teniendo con el mundo exterior“, dice Glenn Wilkinson, analista principal de seguridad de SensePost.

“En términos generales, los hoteles no han implementado una red con segmentación de clase empresarial”, dice Paul Leybourne, Director de Ventas de Vodat International. “Muchos hoteles tampoco restringen los sitios que los huéspedes pueden ver, lo que los deja abiertos para el acceso de personas externas”.

La Wi-Fi pública y del hotel no utiliza WPA. “Cualquier dispositivo que esté conectado al Wi-Fi del hotel envía efectivamente todos los datos en texto claro, lo que permite a un atacante remoto identificar y extraer información”, dice Adam Tyler, Director de Innovación del CSID.

¿Por qué la Wi-Fi del hotel se considera especialmente riesgosa?

“Los sofisticados sistemas de seguridad que se suelen instalar en las redes corporativas no están presentes en este tipo de conexiones”, afirma Moody, quien sostiene que es más fácil para los ciberdelincuentes ejecutar ataques Man-in-the-Middle (MitM) y Man-in-the-Browser (MitB) debido a la reducción del estándar de seguridad.

Un informe de Cylance del 2015 encontró una vulnerabilidad crítica en el producto ANTLABS InnGate utilizado por los hoteles, que afectó a 277 hoteles de 29 países. La vulnerabilidad permitió a los atacantes controlar y manipular el tráfico de datos desde las conexiones Wi-Fi y acceder a los sistemas de gestión de hoteles.

¿Quién está interceptando la Wi-Fi del hotel?

Los hoteles están “sucios” para quién se queda en ellos, y ese es Usted. “Las redes de hoteles son objetivos muy lucrativos para los ciberdelincuentes”, dice David Emm, investigador principal de Kaspersky Lab, que el año pasado publicó detalles de la campaña de espionaje de Darkhotel que apunta a los ejecutivos de C-Level mientras permanecían en hoteles de lujo.

“La banda criminal compromete las redes Wi-Fi de los hoteles y luego espera a que una víctima inicie sesión en la red, antes de engañarlos para descargar e instalar una puerta trasera, que a su vez infecta el dispositivo con software de espionaje”, dice Emm.

Este es el truco del “Evil Twin” (Gemelo Malvado). “Los hackers configuran una red falsa para reflejar la red real y gratuita, los usuarios se conectan sin darse cuenta a la red falsa y, a continuación, un hacker puede robar nombres de cuentas y contraseñas, redirigir a las víctimas a sitios de malware e interceptar archivos”, afirma Steve Fallin, director superior de productos de NetMotion Wireless.

El año pasado, el grupo de hackers del Darkhotel surgió con un nuevo ataque, cuyo objetivo era explotar la Wi-Fi del hotel para dirigirse a los viajeros de negocios que se alojaban en hoteles de lujo. Aunque desde hace mucho tiempo utilizan troyanos combinados con ataques de phishing dirigidos, sus últimos esfuerzos han evolucionado para utilizar el malware Inexsmar. Utilizan troyanos de etapas múltiples, y el grupo también se ha enfocado en figuras políticas usando estas técnicas.

Herramientas como el drone Snoopy y Mana pueden automatizar estos ataques y apuntar a un gran número de personas simultáneamente. “Ellos tienen la capacidad de perfilar su dispositivo y averiguar dónde vive y trabaja”, dice Wilkinson, que inventó el drone Snoopy para demostrar lo fácil que es emular una red Wi-Fi y engañar a los smartphones para que se conecten a ella, y luego robar datos.

“A menos que sus datos estén cifrados y el uso compartido esté desactivado, los hackers son libres de escudriñar todos los datos de su dispositivo o lo que esté pasando a través de su conexión”, dice Fallin. La lección es sencilla: suponga que todas las redes Wi-Fi ajenas son inseguras.

¿Son algunos hoteles más riesgosos que otros?

Absolutamente – cuanto más alta es la clase de invitados, mayor es la probabilidad de que los hackers están a punto. “El Wi-Fi del hotel viene con un riesgo particular, ya que es una probable concentración de objetivos valiosos como los viajeros de negocios”, dice David Chismon, investigador principal de MWR Infosecurity. “Los hoteles de lujo tienen aún más posibilidades de tener objetivos de alto valor, como ejecutivos, mientras que el Wi-Fi en los salones de clase ejecutiva es también un terreno de caza muy tentador para los atacantes”.

Alternativas seguras

Su huella digital. “A los ciberdelincuentes no les interesa una computadora portátil o las direcciones de correo electrónico de forma aislada, sino robar la identidad en línea de una víctima y obtener acceso a todos los recursos con los que pueden conectarse”, afirma Emm. El objetivo no es la computadora portátil en sí misma, sino los servidores de la empresa, correos electrónicos y otros recursos remotos.

¿Estamos seguros con sitios web SSL?

No debe asumir que el uso de sitios web SSL (que utilizan’ https://’) significa que está protegido. “Puede que piense que está protegido si sólo utiliza sitios web SSL, pero más allá de la escucha pasiva, un atacante en otra habitación de hotel puede redirigir su tráfico a través de su máquina y fácilmente derrotar a SSL”, dice Wilkinson.

Los portales tampoco son seguros. “Las redes que tienen portales que requieren un nombre de usuario y contraseña también pueden ser interceptadas o manipuladas por un atacante”, dice Chismon.

¿Cómo puede mantenerse seguro en el Wi-Fi del hotel?

Las amenazas son muchas, pero la solución es sencilla: utilice una Red Privada Virtual (VPN). “Esto encriptará el tráfico que está viajando desde sus dispositivos hasta su servidor VPN”, dice Wilkinson. “La mayoría de los departamentos de Informática deberían tener uno para el uso de los empleados, o estos servicios pueden ser alquilados por una pequeña cuota”.

“Una VPN encripta los datos de tráfico, lo que hace mucho más difícil husmear”, dice Crocker, que aconseja a todos los viajeros de negocios desactivar el uso compartido de archivos, comprobar que los cortafuegos estén actualizados y parcheados, usar diferentes contraseñas, forzar HTTPS siempre que sea posible y desactivar Wi-Fi cuando no se está utilizando.

¿Existe una alternativa más segura a la Wi-Fi del hotel?

El Wi-Fi público y urbano es igual de arriesgado; considere peligrosas estas redes no codificadas y abiertas. Si eres un viajero que utiliza Wi-Fi público, estás poniendo en peligro su identidad y los datos corporativos.

La forma más segura para que las empresas y los viajeros internacionales frecuentes puedan conectarse a Internet mientras se encuentran en el extranjero es a través de la red móvil. En la medida de lo posible, se recomienda a los viajeros que utilicen conexiones móviles 4G, ya sea inmovilizando el teléfono o utilizando un dongle. Muchos proveedores ofrecen ahora roaming de datos gratuito en numerosos países, aunque los que buscan un punto de acceso Wi-Fi global “caja negra” para múltiples dispositivos también tienen opciones.

El Hotspot Goodspeed 4G está disponible por $149, ofreciendo una tarifa plana diaria de $8.50 por 250MB de datos en roaming, y tiene cobertura protegida por contraseña en 85 países. Otros operadores globales están empezando a ofrecer planes de datos ilimitados UE/global para clientes empresariales, mientras que los que visitan lugares remotos pueden alquilar un punto de acceso móvil de TEP o Vision Global WiFi.

¿Los datos móviles son tan buenos como la Wi-Fi del hotel?

“En muchas ubicaciones, las velocidades de carga y descarga son tan buenas, si no mejores que las de Wi-Fi”, dice Leybourne. “Los datos móviles son más seguros que los Wi-Fi gracias a la encriptación que los operadores móviles aplican automáticamente a las conexiones basadas en CDMA/LTE y HSDPA/3G”, añade Tyler. “Ya no hay excusa para no usarlas”.

“Una alternativa sería buscar productos como iPass o Skype Wi-Fi en el uso combinado con la tecnología VPN para proteger las conexiones utilizadas”, dice Moody.

¿Qué deben hacer los hoteles para proteger su Wi-Fi?

Esto parecería la opción más sensata, sobre todo porque hay implicaciones legales para los hoteles que ofrecen redes Wi-Fi que son pirateadas.

“Con la demanda de Wi-Fi gratis en aumento, los hoteles necesitan asegurarse de que están integrando las últimas soluciones que pueden ofrecer paquetes adaptados a las demandas de descarga de los huéspedes y a los requisitos de costes”, opina Lee Marsden, Presidente de ZyXEL Europa.

“Los proveedores de conectividad y seguridad están cada vez más interesados en ofrecer soluciones de Gestión Unificada de Amenazas (UTM= Unified Threat Management) tanto a los espacios públicos como a los hoteles”. UTM significa seguridad de red para los huéspedes y ayuda a satisfacer la creciente demanda de conexiones web de alta velocidad. Esto no sólo se aplica a los hoteles, sino también a las cafeterías, estaciones de tren y ciudades también necesitan tener en cuenta el UTM.

Con el tiempo, las cosas también deberían mejorar. Con el descubrimiento en 2017 de la vulnerabilidad KRACK, que aprovecha el handshake (apretón de manos) de cuatro direcciones para que un cliente se una a una red inalámbrica, la Wi-Fi Alliance anunció su nuevo protocolo de seguridad, conocido como WPA3 en CES 2018. Se espera que esté disponible en el 2018, las mejoras incluirán sesiones de seguridad cifradas incluso en puntos de acceso inalámbricos públicos.

En caso de duda, lo mejor es un enfoque de cinturón y tirantes – los viajeros de negocios deberían utilizar rutinariamente una VPN o su red móvil, ya que la Wi-Fi gratuita de un hotel podría resultar enormemente costosa.

Fuente: Techradar

Anuncios