Ya se hablo sobre los peligros de las Conexiones Inalambricas inseguras, y de hecho también de las supuestamente seguras, pero que en realidad no lo son. La realidad es que las redes Inalambricas son una comodidad que llegó para quedarse, pero al mismo tiempo son inherentemente inseguras, y no podemos permitirnos evitarlas y perdernos de sus ventajas por esto, pero tampoco podemos estar regalando nuestra información a cualquiera por tener que usarlas. Existen tecnologías que las hacen más seguras, como WPA, pero convengamos en que la verdadera utilidad en el uso cotidiano de Wi-Fi es poder ir a un café u otro lugar con un hotspot público para poder conectarnos, sin tener que vernos obligados a utilizar la conexión de nuestra casa u oficina, y en estos casos, por comodidad, y porque realmente no serviría de otra forma, las redes siempre serán abiertas, sin ningún tipo de cifrado.

Guia para mantenerse lo más seguro posible mientras utiliza un punto de acceso abierto en cualquier lugar, y utilizando herramientas y recursos.

Qué es verdaderamente importante proteger?

Para estructurar un poco los items que más importa proteger, veamos en una lista lo que normalmente haríamos cuando nos conectamos a Internet y que es importante que no sea interceptado por otros:

* Consultar email.
* Entrar a cuentas de servicios online de lo más variado, desde flickr hasta nuestro servicio de blogging.
* Mensajería instantánea.
* Otros servicios, incluyendo los más geek y específicos, como control remoto por VNC y otros.

Consultar email: por ejemplo Gmail.

No importa las cuentas de email que deseemos chequear, lo que más nos va a convenir es hacerlo a través de Gmail. Cualquier casilla de email que estemos chequeando por POP3 convencional es completamente capturable, y muchos servicios de Webmail implementados por ISP’s carecen de cifrado para el inicio de sesión, por lo que estamos en sumo peligro si los usamos en una conexión pública. En cambio, más allá de que Google tiene aún problemas serios de vulnerabilidades XSS en el acceso web a Gmail (las cuales se previenen no siguiendo ningún link mientras tengamos la sesión de Google abierta), el acceso SSL que nos brinda en sus servicios anda impecable, y esto nos garantiza que todas las conexiones que hagamos con sus servidores sean cifradas. Gmail por defecto encripta el inicio de sesión, por lo que siempre nuestro nombre de usuario y contraseña viajan seguros; pero luego vuelve a una conexión normal y de esa forma todos los mails que leamos o redactemos pueden ser vistos y almacenados por otros en las cercanías de la red Wi-Fi que usemos, e incluso pueden utilizarse ataques más recientes que permiten tomar el control completo de la cuenta. Afortunadamente la solución para esto es fácil: Siempre debemos ingresar a Gmail a través de la url https://mail.google.com De esta forma se mantiene la sesión cifrada en todo momento, y en el menos común caso de que un atacante nos quiera engañar enviándonos un certificado falso, cualquier navegador seguro como Opera o Firefox nos avisará que éste no es confiable (hay que estar atento a esto).

Cómo se ve un certificado válido en Opera.

Si lo que queremos es utilizar POP3 o el reciente soporte IMAP en Gmail, aún mejor, ya que Google provee estos servicios directamente con cifrado incluido.

Y para trabajar con otras cuentos de email, para quien no lo sepa, lo que hay que hacer es ir a la configuración de nuestra cuenta de Gmail, a la solapa Cuentas, y agregar las cuentas que usemos, tanto para que Gmail las chequee automáticamente por POP3 como para que envíe correo en nombre de ellas.

Otros servicios online: La clave está en el https

Con cualquier otro servicio online al que ingresemos, lo más importante es chequear que el protocolo es https, como mínimo en la página de inicio de sesión, para asegurarnos que nuestra contraseña no viaja al desnudo. Esto es ya estándar en sitios donde la seguridad es importante, como en sistemas de banca online, pero aún existen muchos otros que no lo soportan. También, como en el caso de Gmail, debemos estar atentos a si una vez iniciada la sesión volvemos a http, porque en ese caso hay que tener en cuenta que todo lo que visualicemos por el navegador otros también podrían hacerlo. Algo que siempre podemos intentar es ingresar al sitio utilizando https en lugar de http, y ver si así maneja toda la sesión con cifrado constantemente.

Y ya que estamos, que hacemos con el login a nuestro WordPress? En WordPress.com hay soporte https, pero si tenemos nuestro propio WordPress hosteado, la cosa cambia. Una opción fácil y simple es utilizar el plugin que liberó la gente del ElServer.com, el cual encripta de manera segura la contraseña cada vez que es enviada, pero ojo que no encripta ni el nombre de usuario ni la sesión. Aún así es una opción suficiente para al menos evitar que cualquiera tenga acceso a nuestro weblog.

Si sentimos que esto no nos alcanza, y estamos dispuestos a sacrificar velocidad, podemos optar por navegar toda la web desde el servicio de proxys anónimos de la red JAP, el cual, si es que confiamos en él, certifica que la información nuestra que viaja por sus nodos jamás es recolectada. De esta forma no sólo tendríamos una conexión segura del lado de la red inalámbrica para todo sitio que visitemos, sino que además tenemos el anonimato extra de salir por una dirección IP al azar de cualquier parte del mundo. A Tor ni lo menciono en esto, porque puede ser que no capturen nuestra contraseña por acá, pero sí por Alemania, China, o por donde quiera que termine saliendo nuestro tráfico.

Mensajería instantánea: Charlas al desnudo.

Con los servicios de IM la cosa no está mucho mejor; la mayoría de los servicios de mensajería proveen algún tipo de hash (en mayor o menor medida crackeable si la contraseña es débil), pero lo peor de todo es que los mensajes sí viajan todo el tiempo en texto plano, y son completamente interceptables. La solución: Depende de lo que estén dispuestos a conceder y a exponer. Hablar te temas poco importantes jamás escribir ninguna información confidencial o muy personal, por lo cual las charlas son de poco valor para cualquiera. Si en cambio realmente requieren anonimato para todas las charlas mantenidas, una de las opciones es utilizar una aplicación de cifrado para mensajería instantánea gratuita como SimpLite, el cual posee versiones para encriptar las charlas por Windows Live Messenger, Yahoo! Messenger, ICQ/AIM y Jabber/GTalk. El inconveniente de utilizar este método es que necesitamos que los contactos con los que queremos tener charlas por una vía segura también posean instalada la aplicación. Para tener una buena idea de todo lo que es posible obtener desde el tráfico de los servicios de IM, nada mejor que echarle un vistazo a las 12 cosas que siempre quisiste saber sobre MSN.

Otros servicios: Soluciones más efectivas e integrales, pero más difíciles

Qué pasa si lo que queremos realmente es que todo nuestro tráfico salga encriptado sin tener que preocuparnos por los pormenores de cada aplicación, o si queremos usar otros protocolos o aplicaciones, como por ejemplo VNC, el cual no posee ningún tipo de cifrado y sería un suicidio utilizar desde una red abierta para controlar un equipo remoto? En este caso las opciones no escasean, el problema tiene que ver con los recursos de los cuales disponemos.

Quien no tenga problema en montarse un servidor Windows con el acceso VPN configurado en la conexión de banda ancha de su casa, va a poder sin problemas utilizar este para acceder a Internet de manera segura y sin problemas desde la mayoría de los hotspot que permitan VPN passthrough, ya sea desde una notebook con Windows, una Pocket PC, o una Palm con el software Mergic VPN. También podemos optar por utilizar OpenVPN en Linux, o utilizar un router Linksys con el firmware DD-WRT que incorpora servicios de VPN tanto con PPTP (la VPN de Microsoft) como con OpenVPN. Sí, difícil, y no el propósito de esta “guía fácil”.

Configuración de puertos para tunneling en Putty.

Bueno, después de aburrirlos y/o frustrarlos con todo esto, llegamos a las opciones más fáciles y que no necesitan tanta dedicación, aunque algunas requieren que depositemos nuestra confianza en el tío Sam, como es el caso de AnchorFree. Si no les importa la posibilidad de que Homeland Security esté almacenando y analizando cada byte de su tráfico, el servicio ofrecido por AnchorFree, llamado HotSpot Shield, es ideal: Sólo nos ocupamos de instalar una aplicación gratuita descargable desde su sitio, y una vez activa, rutea todo nuestro tráfico de manera cifrada por sus servidores en USA, y a cambio sólo tenemos que tolerar unos banners superiores cuando navegamos la web. La velocidad es muy buena y casi no vamos a sentir caída en la performance de la conexión, y de esta forma podemos tener mensajería instantánea, descargas de correo POP3, y hasta P2P si queremos, que la velocidad lo permite. Eso sí, mejor que no se nos ocurra bajar nada relacionado con manuales de fabricación de bombas y cosas por el estilo. La aplicación de HotSpot Shield funciona tanto en Windows 2000/XP/Vista como en Mac OS X.

Por último, otra opción más, que puede usarse en conjunto con JAP o similares, es utilizar una aplicación como FreeCap, la cual permite rutear todo el tráfico de las aplicaciones que deseemos a través de un proxy http o socks.