Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
13/10/2014
Una investigació de F-Secure demostra que els consumidors farien qualsevol cosa per Wi-Fi gratis
Una nova investigació d'F-Secure sobre xarxes Wi-Fi, duta a terme als carrers de Londres, va mostrar que els consumidors utilitzen el Wi-Fi públic sense prendre precaucions, i comprometen, d'esta manera, la seua privacitat personal. En l’experiment, que va implicar la creació d’un punt d’accés “infectat”, els usuaris desprevinguts van exposar les seues dades i els continguts de les seues adreces electròniques, i inclús van acceptar una exagerada clàusula que els obligava a renunciar al seu primer fill a canvi de l’ús del Wi-Fi.
La investigació independent la van dur a terme, a nom d'F-Secure, l’Institut d’Investigacions Cyber Security Research Institute i SyyS, una companyia alemanya de proves de penetració. Per a l’exercici, SyyS va construir un punt portàtil d’accés a partir de components amb costos al voltant de 200 euros i va requerir pocs coneixements tècnics.
Els investigadors van instal·lar el dispositiu en districtes polítics i zona de negocis de Londres. Després van observar com la gent es connectava sense importar que la seua activitat en Internet fóra espiada.
En un període de trenta minuts, 250 dispositius es van connectar al punt d’accés, probablement molts d’estos de manera automàtica, sense que els seus amos se n'adonaren. 33 persones van activar el tràfic d’Internet per mitjà de la realització de busques en la web i enviament de dades i correus electrònics.
32MB de tràfic van ser capturats (i destruïts ràpidament tenint cura de la privacitat dels consumidors). I en una troballa sorprenent, que emfatitza la necessitat d’encriptació, els investigadors van trobar que els textos de correus electrònics enviats a un servidor POP 3 poden ser llegits, així com les adreces del remitent i del destinatari, i inclús la contrasenya del remitent.
Durant un curt període, els investigadors van introduir una pàgina de termes i condicions (TiC) que necessitava ser acceptada per a utilitzar el punt d’accés. Els TiC incloïen una clàusula extravagant que obligava l'usuari a renunciar al seu primer fill o a la mascota més estimada a canvi de l'ús de la xarxa Wi-Fi pública. En total, sis persones van acceptar els TiC abans que la pàgina fóra deshabilitada. La clàusula demostra la falta d'atenció de les persones en general a pagar els TiC de les pàgines, que sovint són llargues per a llegir i difícils d’entendre.
“A tots ens agrada usar Wi-Fi gratis per a estalviar dades o les tarifes d'itinerància”, va dir Sean Sullivan, assessor de seguretat d'F-Secure, qui va participar en l’experiment. “Però com mostra el nostre exercici, és massa fàcil per a qualsevol que cree un punt d’accés donar-li un nom que pareix creïble i espiar l’activitat d’Internet dels usuaris”. Inclús quan es tracta de punts d’accés creats per una font legítima, no són segurs, va agregar. Inclús si no estan davant d’un punt d’accés, els criminals poden utilitzar ferramentes “detector” per a furgar en allò que es fa.
“Al Centre de Cibercrim Europeu (EC3) d’Europol, ens preocupa molt el problema de la seguretat de les xarxes Wi-Fi”, va assenyalar Troels Oerting, cap de l’EC3 d’Europol. “Donem suport, plenament, a les activitats que fan llum sobre el risc que els consumidors diàriament tenen”.
“La solució? Mantindre’s allunyat de les xarxes Wi-Fi públiques o utilizar-hi seguretat. Amb una solució de protecció per al Wi-Fi, la teua connexió és invisible en la xarxa Wi-Fi i les teues dades es fan il·legibles per encriptació. Així que, encara que algú ho intente, no podrà accedir a les teues dades”, escriu F-Secure, i esmenta de passada F-Secure Freedome, aplicació de seguretat per a xarxes sense fil, o VPN, que crea una connexió segura i encriptada per als teus dispositius, i protegix l’usuari d’espies vaja on vaja i sense que importe el Wi-Fi que utilitze.
Més detalls i estadístiques de la investigació en el report “Amor contaminat: com ens traíx el Wi-Fi”.?
F-Secure recalca que per a la realització de l’experiment, cap usuari va ser compromés en cap moment i les seues dades no van ser exposades a un mal ús. Tampoc es va emmagatzemar informació dels usuaris, i durant l’experiment un advocat va supervisar totes les activitats per a evitar violar alguna llei.