Tal vez confíes en que tu Wi-Fi es lo suficientemente segura porque ya te preocupas por la seguridad. Lo has visto en las noticias. Has implementado una formación obligatoria en materia de seguridad. Ha adoptado varios procesos y herramientas para proteger tu centro educativo, incluido el software antimalware y amplias medidas antiphishing. Todo eso es muy importante.
Sin embargo, la seguridad de tu red y de los datos a los que conduce depende de saber cómo y quién accede a ella y de excluir a aquellos que no deberían estar en ella. Algunas formas ampliamente adoptadas de intentar esto no son lo suficientemente buenas.
La seguridad del acceso a Wi-Fi podría ser el gran agujero en la seguridad de tu red.
Los PSK amenazan la seguridad de tu Wi-Fi
Si usas o permites contraseñas de Wi-Fi compartidas (también conocidas como claves precompartidas o PSK) y rotas esas contraseñas cada trimestre o semestre, la seguridad de tu acceso a Wi-Fi es débil. Incluso si tu contraseña compartida es compleja, sigue siendo pública. Se puede transmitir a cualquiera.
Una contraseña de Wi-Fi compartida también puede ser guardada por personas que ya no deberían tener acceso a tu red, incluidas aquellas que se van de malas formas. En 2022, Beyond Identity descubrió que la amenaza que representaban los antiguos empleados había crecido un 83 %. Existe una buena razón: es demasiado fácil para las personas que abandonan una organización conservar el acceso a las contraseñas de Wi-Fi compartidas.
Las contraseñas comprometidas, débiles o robadas han sido el medio número uno por el cual los delincuentes pueden violar las redes: más del 80 %, según Beyond Identity. Las contraseñas compartidas de Wi-Fi ponen en riesgo tu red.
Autenticarse con direcciones MAC es igual de malo o peor.
El uso de direcciones MAC para la autenticación puede parecer mejor que el uso de contraseñas compartidas, ya que las direcciones basadas en MAC son únicas para cada dispositivo. Pero de alguna manera, las direcciones MAC son aún peores.
U.S. Cybersecurity, un servicio que ayuda a las empresas con todos los aspectos de la seguridad de su red, dice que el error número uno que cometen las organizaciones con respecto a las direcciones MAC es confiar en ellas para la autenticación. Con un esquema de autenticación basado en direcciones MAC en tu red, cada dirección MAC se envía en texto sin formato a través de ella, lo que hace que su red sea fácil de violar.
Con la dirección MAC en texto plano, es muy sencillo para un hacker capturarla. Una vez que tienen la dirección MAC de un dispositivo, pueden usar una herramienta fácilmente disponible como MAC Changer para cambiar la dirección MAC en su propio dispositivo para que coincida con la del dispositivo en el que confía tu red. Disfrazado de usuario autorizado, el delincuente involucrado en esta suplantación de MAC se infiltra en tu red y puede obtener acceso a más credenciales y a los servidores que albergan los datos más confidenciales de tu institución.
La autenticación basada en direcciones MAC no mantiene tu red Wi-Fi segura.
Con cualquiera de los dos métodos, estás en riesgo.
La autenticación Wi-Fi con PSK y la autenticación con direcciones MAC tienen fallos importantes. Ninguno de los métodos de autenticación te permite asociar todos los dispositivos con un usuario ni evaluar la posición de seguridad de un dispositivo.
Si tu organización utiliza PSK o direcciones MAC para autenticar tu red Wi-Fi, los ciberdelincuentes pueden atacarla. Los ciberataques afectan a todas las partes de la comunidad conectadas a una empresa o escuela. Una brecha en la red de una escuela afecta a todos los involucrados: estudiantes, maestros, administradores, personal y padres.
El coste de un ciberataque es enorme. Es probable que le cueste a tu organización millones de dólares y menoscabe la confianza de toda la comunidad que interactúa con ella.
¿Qué debo hacer?
Debes dejar de usar contraseñas de Wi-Fi compartidas o direcciones MAC como método de autenticación.
Como mínimo, necesita nombres de usuario y contraseñas de Wi-Fi seguros y únicos para cada usuario individual que use tu red. Esas credenciales deben almacenarse de forma segura en el sistema de administración de identidades, como Microsoft Azure AD (identificador de Entra). Esto elimina las credenciales Wi-Fi compartidas y las credenciales de texto sin formato.
Una forma aún más segura de proteger una red es un enfoque de autenticación sin contraseña, un enfoque Zero Trust. Puedes aprovechar la PKI con el protocolo EAP-TLS para emitir certificados para cada dispositivo y usuario individual. No se comparte nada y no se necesitan contraseñas. La validación es rápida, fácil y segura.
RADIUS es el punto de partida
El protocolo RADIUS es un estándar de la industria para el control de acceso. Proporciona a los usuarios y dispositivos un acceso seguro y autenticado a las redes Wi-Fi y conectadas. El personal de TI puede asignar diferentes privilegios de acceso para diferentes roles. Las personas solo tienen acceso a la información a la que se supone que deben tener acceso.
RADIUS se considera un protocolo AAA porque proporciona autenticación, autorización y contabilización del acceso Wi-Fi. AAA significa que las credenciales están autenticadas y que solo los usuarios válidos están autorizados a usar la red. Eso mantiene seguro el acceso a la red. AAA también significa una contabilidad precisa de cuándo cada usuario y dispositivo accede a la red y sale de ella.
Necesitas una contabilidad clara no solo para el personal de TI, sino también para el cumplimiento de las pautas establecidas por las agencias reguladoras ante las que las empresas y las instituciones educativas son responsables. Un protocolo AAA aborda los tres aspectos de la seguridad y el seguimiento del acceso Wi-Fi.
Foxpass cloud RADIUS: una solución sencilla y segura.
Splashtop, nombrado Proveedor de Seguridad del Año en los SDC TI Awards 2023, tiene una forma probada, clara, sencilla y rentable de proteger el acceso Wi-Fi: Foxpass Cloud RADIUS. Foxpass Cloud RADIUS de Splashtop es una solución RADIUS que puede proteger el acceso a tu Wi-Fi sin crear una carga para TI, tu presupuesto o tus usuarios.
Foxpass Cloud RADIUS se conecta directamente a la infraestructura de gestión de dispositivos móviles, como Intune o Jamf, para una configuración eficiente de los certificados. Además, Foxpass cloud RADIUS se sincroniza fácilmente con Google, Okta y Microsoft Entra ID para permitir una fácil incorporación de usuarios y una baja automática cuando los usuarios abandonan tu organización.
Foxpass Cloud RADIUS también es totalmente compatible como solución complementaria a Microsoft Cloud PKI, que está diseñada explícitamente para proteger el acceso a redes Wi-Fi y VPN y está disponible como parte de Microsoft Intune Suite.
Foxpass Cloud RADIUS es escalable y tolerante a fallos, con servidores que abarcan varios centros de datos y sin un único punto de fallo. Recibirás registros de actividad claros y detallados que te proporcionarán la contabilidad que necesitas para gestionar el control de acceso a la red y cumplir con las normas reglamentarias. Y debido a que Foxpass Cloud RADIUS admite múltiples SSID, puedes mantener sus diferentes redes, como las de los estudiantes y el personal de la escuela, distintas y seguras.
Foxpass Cloud RADIUS protege el Wi-Fi de una manera que es fácil para todos sus usuarios y para TI, disminuyendo en lugar de aumentar la carga de TI. Con Foxpass Cloud RADIUS, puedes proteger tus datos y a tu gente del caos de una manera simple y directa.
Splashtop es líder en soluciones remotas que simplifican el trabajo y la enseñanza desde cualquier parte del mundo. Splashtop adquirió Foxpass en 2023 para añadir su exitosa y fácil solución RADIUS, de la que ya han dependido miles de usuarios, a las soluciones educativas y empresariales que ofrece Splashtop.
¡Obtén más información sobre Foxpass Cloud RADIUS, o inicia un ensayo gratuito ahora!