WiFi públicas: cómo defenderse de DroidSheep, FireSheep y WiFiKill

Las redes WiFi públicas tienen un lado oscuro
: cualquiera que comparta la conexión contigo y use aplicaciones de escucha puede ver qué contraseñas usas y qué mensajes envías, además de poder echarte de la red sin media palabra.

Hay aplicaciones que emplean estratagemas para engañar la red y ser así capaces de escuchar datos confidenciales o expulsar dispositivos conectados a una red pública. Las más conocidas son Droid Sheep y Wifi Kill, pero hay más.

La buena noticia es que no estás indefenso: ciertas apps permiten erigir un muro defensivo en tu móvil Android para hacer frente a las aplicaciones de escucha y camuflaje. Para saber cómo pararle los pies a la amenaza DroidSheep, sigue leyendo.

¿Qué es DroidSheep?

DroidSheep es una app para Android que se usa para probar la seguridad de las redes locales y de las comunicaciones. Hoy en día DroidSheep se usa principalmente para robar datos personales que viajan sin protección por redes compartidas.

En unos minutos, DroidSheep puede capturar sesiones de Facebook, Google, LinkedIn, Twitter y otras cuentas de conocidas páginas web. Cuentas que luego se pueden robar o modificar (o usar con fines denigratorios).
Su creador, el alemán Andreas Koch, la diseñó en 2011 para su tesis de licenciatura. Lo que Andreas no podría prever era el oscuro éxito que iba a tener DroidSheep. Horrorizado, retiró la descarga de su página web, pero ya era demasiado tarde.

Hoy en día, desde la página oficial de DroidSheep solo es posible descargar el código fuente, pero la versión compilada se encuentra con una simple búsqueda en Google.

¿Cómo funciona DroidSheep?

Al conectarte a Internet con tu móvil a través de una red WiFi, tus datos viajan a través por radiofrecuencia a través del aire. Esto posibilita las comunicaciones inalámbricas con un punto de acceso, que puede ser el típico router que hay en una biblioteca.

Para reconocer con qué dispositivos está intercambiando información -y no enviarla así al azar-, el punto de acceso asocia la dirección de red de cada aparato con su dirección MAC o física, que es como el número de serie con la que cada aparato viene de fábrica.

Esa identificación se efectúa a través de ARP, un protocolo de mensajes especial (algo así como gestos que se hacen los aparatos entre ellos). En una red WiFi normal, la situación es como la de la imagen: dispositivos identificados por su dirección MAC que comunican vía ARP con el punto de acceso, en este caso un router WiFi que tiene su propia dirección MAC.

El problema de las direcciones MAC es que se pueden camuflar fácilmente. Esta artimaña se conoce como ARP Spoofing: el dispositivo difunde una dirección MAC que no es suya para generar confusión. Es como intercambiar etiquetas en los buzones de correo o cambiar matrículas de coches.

Los usos del ARP Spoofing son muy variados, y van desde la infiltración en una red WiFi protegida hasta el bloqueo total de la red. Uno de los usos más preocupantes del ARP Spoofing es la captura de datos que viajan sin cifrado. Esta captura es posible debido a que un aparato puede hacerse pasar por el punto de acceso.

En el caso de DroidSheep, esto es lo que ocurre:

Cuando un teléfono con DroidSheep activado se disfraza de router, los demás dispositivos pasan a enviarle datos con total tranquilidad. La navegación sigue funcionando porque DroidSheep actúa como intermediario entre el router real y el dispositivo escuchado, un tipo de ataque conocido en inglés como man-in-the-middle (hombre-en-el-medio).

Una vez capturados los paquetes que los otros dispositivos han enviado con toda inocencia, DroidSheep puede desactivarse y la situación vuelve aparentemente la normalidad. Pero para los datos confidenciales ya es demasiado tarde: DroidSheep se ha hecho con toda la información confidencial que estaba viajando por la red local.

FireSheep y WiFiKill, otros depredadores al acecho

FireSheep es una extensión para Firefox que emplea el mismo sistema de DroidSheep, pero desde el navegador Firefox. Se activa con un clic y empieza a capturar las sesiones que circulan por la red local. Esas mismas sesiones pueden utilizarse desde el navegador para suplantar la identidad de quien está conectado.
WiFiKill, por otro lado, usa las técnicas de DroidSheep con un propósito distinto: echar gente de la red local. Más en concreto, WiFiKill se diseñó con el propósito de echar intrusos de una WiFi, aunque de muy mala manera, puesto que primero atrae al dispositivo seleccionado haciéndole creer que es el router, y luego abandona su conexión.

Cómo defenderse de DroidSheep, FireSheep, WiFiKill y derivados

Tal y como están diseñados los protocolos de red actuales, hay poco que pueda hacerse para detener activamente una amenaza como DroidSheep y aplicaciones similares (una es usar ARPon, pero eso no es viable en una red WiFi pública).

Además, parte de la responsabilidad recae en los sitios web. Por ejemplo, hasta hace unos años, el tráfico de Facebook, WhatsApp y Twitter viajaba sin cifrado, hasta que los tres servicios arreglaron el problema.

Pero se pueden tomar medidas preventivas que en la mayoría de los casos minimizan o anulan los intentos de robo de sesión a través de DroidSheep y FireSheep, o los intentos de expulsión a través de WiFi Kill o similares.

1. Navega siempre con cifrado (HTTPS y SSL/TLS)

Usa el protocolo HTTPS siempre que puedas, pues asegura que los datos de sesión estén a salvo incluso si alguien consigue capturarlos a través de DroidSheep.


En nuestro tutorial sobre cómo activar HTTPS en Facebook, Twitter, Hotmail... te explicamos dónde encontrar esas útiles opciones de seguridad.

La extensión HTTPS Everywhere, disponible tanto para Firefox como para Chrome, se asegura de que siempre cargues las páginas usando protocolos seguros.

2. Usar un aplicación para detectar y bloquear ataques ARP Spoofing

Hay aplicaciones que vigilan las tablas de direcciones de red en busca de cambios sospechosos. A raíz de esa detección, pueden bloquear al intruso o desconectar a tu dispositivo de la red local -y evitar así el robo de sesiones-.

Para teléfonos y tabletas Android, la aplicación anti-DroidSheep más interesante es DroidSheep Guard, creada por el mismo autor de DroidSheep (quizá para redimirse).


DroidSheep Guard detecta cambios sospechosos en las direcciones de red y te notifica. Opcionalmente, puede desconectar tu dipositivo de la red a la que se halla conectado, evitando así capturas de datos.

Otra opción muy buena, diseñada específicamente para contrarrestar WiFi Kill, es WiFi Protector, una app para Android muy similar a DroidSheep, aunque con más opciones de configuracion y notificación.

WiFi Protector para Android

En Windows puedes usar la aplicación china AntiARP y la más elegante ARP AntiSpoofer. Ambas detectan y bloquean intentos de camuflaje de direcciones físicas. Otra opción interesante es ARPFreeze, que "fija" determinadas direcciones MAC.

ARP AntiSpoof requiere algo de configuración previa, pero es bastante simple de usar
En Firefox puedes usar la extensión BlackSheep, que detecta el uso de FireSheep en tu red y qué dirección IP está "espiando".
Como ocurre con otras herramientas de este tipo, conviene tomar con pinzas este dato, puesto que el cambio puede deberse a otros motivos (por ejemplo, el comportamiento de algunos servidores y enrutadores).
3. Usar túneles VPN al navegar en redes públicas

La opción más segura de todas es navegar siempre a través de túneles VPN, una tecnología que envuelve tu conexión en una capa de cifrado prácticamente imposible de quebrantar, asegurando así tu privacidad.

La aplicación de túneles VPN más conocida es HotSpot Shield, que es fácil de usar y dispone también de una versión para móviles Android (HotSpot Shield VPN).
Usar HotSpot Shield es tan sencillo como hacer clic en un botón y empezar a navegar
Otra opción interesante entre las muchas disponibles es WiFi Protector, una aplicación gratuita para Windows que cifra la conexión y ofrece un túnel VPN, además de detectar dispositivos conectados a la red.


Si la red WiFi es la tuya, aplicar estos 8 consejos de seguridad tampoco te vendrá mal: y es que si nadie puede entrar en tu red WiFi en primer lugar, jamás podrá efectuar un ataque ARP.

Fuente: WiFi públicas: cómo defenderse de DroidSheep, FireSheep y WiFiKill

Comentarios

Entradas populares de este blog

3 plataformas para construir elegantes sitios web sin programar

Dabbleboard, una pizarra para hacer más productivas las reuniones

Cómo evitar la instalación de programas no deseados en tu ordenador