Cuando se conectan varios ordenadores entre sí, forman lo que se denomina una red. Las redes pueden llegar a ser inmensas, como Internet, pero las pequeñas redes domésticas también son redes.
Las redes utilizan un protocolo para la comunicación entre los ordenadores o dispositivos conectados, que se denominan nodos (en inglés, nodes). Un nodo, por tanto, es cualquier dispositivo físico conectado a una red que tiene la capacidad de crear, recibir o transmitir datos a través de la red. Cada nodo suele tener su propia dirección IP (en inglés, IP address), con la que se identifica al dispositivo concreto que envía o recibe los datos. Por ejemplo, en una red doméstica, algunos ejemplos de nodos conectados a esa red serían un ordenador personal, un smartphone, una impresora y un router.
Internet como red
Internet es, básicamente, una red de redes. Conecta diferentes redes, como las de los hogares, los Gobiernos y las empresas, permitiendo que se envíen datos a través de diversos nodos conectados a la red de Internet. Así es como los datos pueden viajar por todo el mundo en lo que nos parece un trayecto instantáneo.
La red de redes de Internet permite conectar entre sí distintos nodos de red con el objetivo de dirigir el tráfico de datos desde el emisor hasta el servidor de destino. No hay una única entidad que controle todos los nodos de la red, por lo que se trata de una red distribuida. Esta característica es fundamental para mantener la integridad de Internet y de los datos que se intercambian.
En el siguiente ejemplo, cada punto representa un nodo y cada nodo puede ser un servicio de enrutamiento o una red completa. El tráfico del nodo A al nodo Z viajará por Internet a través de varios nodos, determinados por la información de enrutamiento de los nodos. No es necesario que la ruta sea la misma para todos los paquetes de datos. Tampoco hace falta que cada nodo entienda la topología de la red: solo tiene que saber cuál es el siguiente salto de la ruta de esos datos hacia su destino.
Veamos en mayor detalle una red y cómo se conecta a Internet y a otros nodos. Observa el ejemplo de la siguiente imagen.
Internet es una red de redes. Tu red doméstica es solo una de las muchas redes que componen la red distribuida que es Internet.
1. Redes académicas, 2. Redes domésticas, 3. Redes móviles, 4. Redes empresariales, 5. Proveedores de red
Red doméstica (o local)
Cuando te conectas a una red en casa, ya sea por Wi-Fi o por cable, estás usando una red independiente que está conectada a Internet, normalmente, a través de un router doméstico. El router te proporciona acceso a Internet y sabe qué dispositivos se encuentran dentro de la red doméstica y cuáles están fuera de ella. También sabe adónde se debe reenviar el tráfico que va hacia destinos desconocidos. Además, algunos routers proporcionan algún tipo de protección frente al tráfico de fuera de la red doméstica. Las medidas de protección dependen de la marca y el modelo del router y de los dispositivos que pueda haber entre tu ordenador y la red externa. Los proveedores de Internet también pueden ofrecerte servicios para proteger la red.
Es importante que comprendas que los nodos por los que pasan tus datos una vez que salen de tu red doméstica pueden estar vigilando o escuchando tus comunicaciones. En el capítulo anterior, explicamos la importancia de proteger las comunicaciones. En este capítulo, nos centraremos en cómo asegurarse de que la red por la que viajan también sea segura.
Vamos a ver más detalles sobre las redes domésticas.
A. Proveedor de servicios de Internet; B. Teléfono móvil; C. Módem Wi-Fi; D. Televisor inteligente; E. Ordenador portátil
La mayoría de las redes domésticas solo tienen un módem/router y los dispositivos se conectan al router mediante una conexión inalámbrica. El módem puede ser un dispositivo independiente del router o ambos pueden estar integrados en un mismo dispositivo. En ese caso, todos los dispositivos se conectan al router. Se suele creer que las redes domésticas (o redes locales) son redes en las que se puede confiar. Por ello, la mayoría de los dispositivos no intentan bloquear ninguna conexión de esa red, por ejemplo, para compartir archivos. El router transfiere los datos entre los dispositivos conectados a él directamente, sin enrutar el tráfico a la red global de Internet. El router puede ver todos los datos que pasan por él, si no están cifrados. Además, si no te conectas a tu router a través de una conexión segura, es posible que el tráfico inalámbrico no tenga ningún tipo de cifrado, de modo que cualquier dispositivo situado lo suficientemente cerca como para captar las ondas de radio puede espiar el tráfico no cifrado.
Cómo cifrar la conexión de red local
Lo primero que debes hacer es asegurarte de que la conexión con el router Wi-Fi sea segura. Normalmente, con la configuración predeterminada de la mayoría de los routers, la conexión está cifrada, pero hay algunos aspectos que debes tener en cuenta:
1) Mucha gente conoce las contraseñas predeterminadas de ciertos dispositivos. Si el atacante identifica la marca y el modelo de tu router, puede tratar de usar las credenciales predeterminadas y conectarse a tu red.
Siempre hay que cambiar la contraseña predeterminada que se utiliza para conectarse a la red. Al igual que cuando creas contraseñas para iniciar sesión en tus cuentas de Internet, las contraseñas para acceder a tu red local deben seguir las recomendaciones que hemos visto (consulta la sección 2.3). Así, no serán demasiado fáciles de adivinar y estarán protegidas frente a los ataques de fuerza bruta.
2) De forma predeterminada, cualquiera que esté conectado a tu red local puede acceder a la interfaz de administración del router. Está protegida con un nombre de usuario y una contraseña, pero suelen ser datos conocidos que se encuentran fácilmente en Internet.
Por eso, también debes cambiar la contraseña que se usa para acceder a la interfaz de administración del router.
3) El router puede emplear un sistema de cifrado antiguo que sea fácil de romper. Las versiones del protocolo de cifrado que debes evitar son WEP y WPA, que están obsoletas.
El cifrado WPA2 y el nuevo WPA3 son más seguros. Si tu router Wi-Fi es compatible con WPA3, es recomendable utilizar ese sistema. A continuación encontrarás las instrucciones para comprobar qué cifrado usas, según el tipo de ordenador.
Cómo comprobar la seguridad de tu Wi-Fi desde un ordenador Mac
Mientras mantienes pulsada la tecla Opción (Alt), haz clic en el icono de Wi-Fi que hay en la barra de herramientas. Debajo de «Seguridad», aparecerá el protocolo que estás utilizando.
Cómo comprobar la seguridad de tu Wi-Fi desde un ordenador con Windows 10
En Windows 10, haz clic en el icono de la conexión Wi-Fi en la barra de tareas. Debajo de tu conexión Wi-Fi, haz clic en «Propiedades». Busca los detalles de tu Wi-Fi y, debajo, fíjate en «Tipo de seguridad».
Es importante tener en cuenta que proteger la red local es solo el primer paso para usar las redes con seguridad. Si tu conexión Wi-Fi está cifrada (por ejemplo, con WPA2), eso solo significa que está cifrado el tráfico que va desde el ordenador hasta el router Wi-Fi. Si tienes una conexión de red local segura, el contenido del tráfico se cifra cuando se envía al router, pero este lo descifra para reenviarlo. Si el siguiente nodo de la ruta utiliza una conexión segura y directa desde tu router, el tráfico se cifrará con otra clave y se enviará al siguiente nodo. Sin embargo, si el siguiente nodo está en Internet, el tráfico no estará cifrado necesariamente, a menos que uses un protocolo cifrado como SSL o TLS para transmitirlo. Veremos más detalles sobre estos protocolos en la siguiente sección, cuando hablemos de la pila de red.
Cómo limitar que se acceda a una red desde el exterior
Si una red —por ejemplo, una doméstica— está conectada a otra red, como Internet, la conexión debe limitarse solo a lo imprescindible. Si no, cualquier usuario de Internet podría acceder a todos los servicios disponibles en esa red doméstica. En las redes domésticas, el módem suele actuar como filtro. Esa funcionalidad de filtrado se denomina firewall o cortafuegos y la mayoría de los sistemas operativos (el software con el que funcionan tus dispositivos) también tienen uno integrado.
Los cortafuegos limitan el tráfico que pasa por ellos siguiendo ciertas reglas. Las más sencillas determinan que se debe permitir todo el tráfico, sea cual sea, o que se deben prohibir todas las conexiones. Pero, dependiendo del cortafuegos, este puede tener muchas funciones y puede permitir que se analice el tráfico para decidir si se debe dejar pasar.
Los cortafuegos pueden ser de software o de hardware. Por lo general, lo mejor es utilizar ambos. El cortafuegos de software de tu ordenador te protege de las amenazas procedentes de la red en la que te encuentres. Por ejemplo, de los virus y otros tipos de malware, que podrían tomar el control de tu ordenador o dañarlo. El cortafuegos de hardware es una buena herramienta para que tu red local esté bien protegida de Internet. Un ejemplo de ello es el módem, un dispositivo físico que actúa como límite de la red filtrando todo el tráfico entrante y saliente.
La mayoría de los cortafuegos funcionan en el nivel de los paquetes de datos (veremos más detalles sobre los paquetes en la siguiente sección, cuando hablemos de la pila de red). Filtran los paquetes en función del tipo de datos, la dirección del remitente y el puerto, o según la dirección y el puerto del receptor. Los cortafuegos de última generación ofrecen más funciones, como la inspección del tráfico cifrado, los análisis antivirus, la detección de intrusiones y la inspección de paquetes. Algunos cortafuegos permiten inspeccionar el estado del tráfico.
Lo más probable es que el router de tu red doméstica incluya un cortafuegos básico que permita el tráfico hacia Internet (en su mayoría), pero rechace el tráfico procedente de Internet que no hayas iniciado tú; sí deja pasar, por ejemplo, la respuesta de una página web a una solicitud tuya. En casi cualquier otra situación, sobre todo si eres responsable de una empresa, lo más probable es que un cortafuegos tan sencillo no proporcione la protección adecuada.
Piensa, por ejemplo, en cuando se usa un punto de acceso Wi-Fi público para consultar el correo electrónico. Si no descargas los mensajes de correo a través de una conexión cifrada, la red puede ver el contenido de esos correos. Cuando no usas una red Wi-Fi de confianza, como una red doméstica, ¿quién controla la red? ¿Puedes confiar en que nadie vaya a leer todas las comunicaciones no cifradas de la red local que estás utilizando? Es posible que tengas habilitados servicios para compartir archivos (como AirDrop) dentro de la red a la que te hayas conectado, que ahora podría controlar cualquier persona con acceso a la misma red.
Un ejemplo real de los ataques en redes Wi-Fi tuvo lugar en el año 2015, cuando un equipo de hackers expertos demostró lo arriesgado que puede ser utilizar una conexión inalámbrica poco segura. Hackearon a tres políticos del Reino Unido de forma maliciosa, aunque los políticos sabían que estaban participando en ese experimento.
Zero trust o confianza cero
La estrategia de confianza cero se menciona cada vez más en el ámbito de la arquitectura de seguridad. Básicamente significa que, en lugar de asumir que podemos confiar en cualquier red interna y en los dispositivos que hay en ella, debemos presuponer que todos los dispositivos son hostiles. Esto significa que todos los dispositivos tienen que autenticarse y someterse a una evaluación de seguridad antes de permitir que accedan a la red.
La segmentación de redes (separar los segmentos de la red con límites controlados y permitir el acceso a cada uno de ellos solamente mediante ciertos métodos definidos de forma independiente) es un método que se usa a menudo para añadir control a una red, al menos en las redes corporativas. Para aplicar el modelo de confianza cero, también es esencial monitorizar los dispositivos y las conexiones.
Antes, las redes domésticas solían permitir a todos los dispositivos conectarse y comunicarse a través de la red. Por el contrario, con la estrategia de confianza cero, solo se permite que accedan a la red los dispositivos verificados y se exige autenticación para todas las comunicaciones internas. En la práctica, es difícil aplicar esta estrategia a las redes domésticas, porque la mayoría de los dispositivos no admiten la autenticación o necesitan conectarse y controlar otros dispositivos directamente.
Por ejemplo, la mayoría de los televisores inteligentes no tienen cuidado con las conexiones que permiten, desgraciadamente: están diseñados para utilizarse en redes de confianza. Por eso, es posible que tu pareja, mientras usa el móvil en el cuarto de al lado, pause sin querer la película que estás viendo. Este tipo de situaciones pueden ser un poco molestas, pero deberás tomarte más en serio estas cuestiones de seguridad si compartes tu red doméstica con un huésped al que apenas conoces, como un usuario de Airbnb.
