El café más caro: los peligros de conectarte a redes Wi-Fi públicas (disclaimer: ¡No lo intentes en casa!)

Imagina esto. Llegas un día a Starbucks, pides un latte, te sientas en una mesa y sacas tu laptop. Buscas conectarte al Wi-Fi y, como siempre, aparece una red llamada “Starbucks-Free”. Sin pensarlo, te conectas a la red y empiezas a trabajar.

Lo que no sabes es que, en la misma cafetería, hay alguien más que se está aprovechando de la situación. Una persona sentada a unas mesas de ti, aparentemente inmersa en su teléfono, tiene un pequeño dispositivo en su mochila: un Pineapple Wi-Fi.

Tu día marcha como si nada. Una vez que terminaste la presentación en la que estabas trabajando, sales del Starbucks con lo que queda de aquel latte. A las pocas horas, empiezan a llegar notificaciones de cargos no reconocidos. No tienes ni idea de cómo ocurrió.

Aquí te explico cómo pudo haber sido.

¿Qué $%#! es un Pineapple Wi-Fi?

El Pineapple Wi-Fi o Pineapple es un dispositivo relativamente pequeño y accesible (lo consigues por algo así como $130 dólares). Se utiliza para realizar pruebas de seguridad en redes. Tiene varias antenitas y, con un poco de imaginación, parece una piña.

Fue lanzado en 2008 por una empresa de InfoSec llamada Hak5. Aunque el objetivo del funcionamiento de este dispositivo es legítimo, los atacantes echaron a andar la creatividad para explotarlo en su favor.

Actualmente, lo utilizan para imitar redes Wi-Fi conocidas. Una vez que el dispositivo está conectado al Pineapple (la red de Starbucks que no es la red de Starbucks) pueden interceptar los datos de cualquier persona que se conecte a esa red. Este tipo de ataque es conocido como “Machine-in-the-Middle”, y es una de las formas más comunes de robo de información en redes públicas. A tus ojos, estarás conectado al Internet como si nada, pero lo que no sabes es que hay alguien en medio de esa conexión monitoreando todo el tráfico de la red.

En términos generales, así es como funciona:

1. Creación de redes falsas: El Pineapple puede emitir múltiples señales Wi-Fi con nombres comunes, como “Café Invitados” o “Aeropuerto Wi-Fi”. También puede hacerse pasar por redes legítimas que tu dispositivo haya usado antes, como “Casa-WiFi”.
2. Conexión automática: Muchos dispositivos están configurados para conectarse automáticamente a redes públicas y abiertas conocidas. El Pineapple aprovecha esta vulnerabilidad, ya que los dispositivos sólo verifican el nombre de la red sin validar claves de seguridad, lo que permite engañar a teléfonos, laptops o tablets.
3. Intercepción de datos: Una vez que el dispositivo del usuario se conecta, el atacante puede monitorear y manipular todo el tráfico de red, incluyendo información sensible como contraseñas, datos bancarios, correos electrónicos, entre otros, si estos no se encuentran cifrados.
4. Ataques adicionales: El atacante puede redirigir al usuario a sitios web falsos para obtener más información o incluso instalar malware en su dispositivo.

Tips para que no te suceda esto

Como siempre, el objetivo de estos artículos no es esparcir FUD (Fear, Uncertainty & Doubt), sino generar conciencia de que a todos nos puede pasar. Aquí te dejo unos tips para que a la próxima no te vean la cara de ¡WHACK!

1. Usa tus datos móviles: Aunque no siempre es lo más práctico, usar tu red celular es mucho más seguro que conectarte a redes públicas.
2. Verifica las redes: Antes de conectarte, pregunta al personal cuál es la red oficial. Evita redes con nombres genéricos como “Free Wi-Fi” o “Wi-Fi Gratis”.
3. Pon atención a cualquier alerta: Si al conectarte a una red pública tu dispositivo te advierte de algún problema de seguridad, ¡hazle caso! Igualmente, si al entrar a “tubanco.com.mx” recibes un error de seguridad, cuando normalmente esto no pasa, puede ser una señal de que la red está manipulando esta información.
4. Utiliza una VPN: Una red privada virtual o VPN cifra tus datos y hace que sean inútiles para cualquiera que intente interceptarlos. Ojo: tu proveedor de VPN podría ver tus datos, así que asegúrate que sea de fiar y evita el uso de VPNs “gratis” o desconocidas.
5. Desactiva la conexión automática: Configura tu dispositivo para que no se conecte automáticamente a redes conocidas. Así evitarás caer en trampas como la del Pineapple.
6. Evita transacciones sensibles: Si no tienes más opción que conectarte a una red pública, evita realizar movimientos que involucren información muy sensible (acceso a bancos, pagos con tarjeta, etc.).

En la era de la conectividad es común buscar una red Wi-Fi gratuita en donde sea que estemos. Sin embargo, estas redes públicas, aunque prácticas, pueden ser una puerta de entrada para ciberdelincuentes. Entender los riesgos de conectarse a estas redes y cómo operan algunas herramientas, como el Pineapple, te ayudará a proteger tu información la próxima vez. Así, tu próximo café de Starbucks será eso, un rico café y no un trago amargo que pueda salirte bastante caro.