Estudio sobre la seguridad y buenas practicas en ... · Instituto Nacional de Tecnologías de la Comunicación Estudio sobre la situación de seguridad y buenas prácticas en dispositivos

Instituto Nacionalde Tecnologías de la Comunicación

Estudio sobre la situación de seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas

OBSERVATORIO DE LA SEGURIDAD DE LA INFORMACIÓN


Estudio sobre la seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas

Edición: Junio 2008

La presente publicación pertenece al Instituto Nacional de Tecnologías de la Comunicación (INTECO) y está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons, y por ello esta permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes:

• Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra.

• Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales.

Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

Texto completo de la licencia: http://creativecommons.org/licenses/by-nc/2.5/es/

Observatorio de la Seguridad de la Información Página 2 de 181

http://creativecommons.org/licenses/by-nc/2.5/es/


ÍNDICE

ÍNDICE.................................................................................................................................3

PUNTOS CLAVE.................................................................................................................8

I Redes inalámbricas y clasificación según su cobertura geográfica.........................8

II Situación y tendencias de las tecnologías móviles e inalámbricas en España .......8

III Problemática de securización en redes inalámbricas..............................................9

IV Soluciones de seguridad con aplicación a redes inalámbricas..............................10

V Dispositivos móviles...............................................................................................11

VI Recomendaciones de actuación............................................................................12

1 INTRODUCCIÓN Y OBJETIVOS ...............................................................................13

1.1 Presentación ......................................................................................................13

1.1.1 Instituto Nacional de Tecnologías de la Comunicación. ................................13

1.1.2 Observatorio de la Seguridad de la Información............................................13

1.2 Descripción y estructura del estudio ..................................................................14

2 REDES INALáMBRICAS Y CLASIFICACIÓN SEGÚN SU COBERTURA GEOGRÁFICA...................................................................................................................17

2.1 Taxonomía de redes inalámbricas según su cobertura geográfica ...................19

2.1.1 Redes WAN ...................................................................................................20

2.1.2 Redes MAN....................................................................................................24

2.1.3 Redes LAN.....................................................................................................26

2.1.4 Redes PAN ....................................................................................................26

3 SITUACIÓN Y TENDENCIAS DE LAS TECNOLOGÍAS MÓVILES E INALÁMBRICAS EN ESPAÑA ......................................................................................................................28

3.1 Visión global del mercado..................................................................................28

Estudio sobre la seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas Observatorio de la Seguridad de la Información Página 3 de 181


3.1.1 Ciudadanos....................................................................................................30

3.1.2 Pequeñas y medianas empresas...................................................................33

3.2 Hábitos, usos e incidencias de seguridad de los usuarios móviles en España .36

3.2.1 Ciudadanos....................................................................................................37

3.2.2 Pequeñas y medianas empresas...................................................................42

3.3 Clasificación de las tecnologías inalámbricas en función de su penetración y potencial de uso en el mercado español........................................................................46

3.3.1 Tecnologías con bajo nivel de penetración y potencial de uso......................46

3.3.2 Tecnologías con elevada penetración y potencial de uso .............................47

4 Problemas DE SECURIZACIÓN EN REDES INALÁMBRICAS .................................69

4.1 Análisis de vulnerabilidades de las redes a nivel global ....................................69

4.1.1 Dimensiones de seguridad y vulnerabilidades...............................................70

4.2 Análisis del nivel de vulnerabilidad por tipo de tecnología inalámbrica .............82

4.2.1 Tecnología GSM/GPRS.................................................................................84

4.2.2 Tecnología UMTS/HSPA ...............................................................................87

4.2.3 Tecnología WLAN/WiMAX.............................................................................89

4.2.4 Tecnología Bluetooth .....................................................................................94

4.2.5 Tecnología NFC.............................................................................................98

5 SOLUCIONES DE SEGURIDAD CON APLICACIÓN A REDES INALÁMBRICAS .100

5.1 Dimensiones de seguridad ..............................................................................100

5.1.1 Control de acceso ........................................................................................100

5.1.2 Autenticación................................................................................................100

5.1.3 Disponibilidad...............................................................................................101

5.1.4 Confidencialidad...........................................................................................101



5.1.5 Integridad .....................................................................................................102

5.1.6 No repudio....................................................................................................102

5.2 Soluciones por tecnologías inalámbricas.........................................................103

5.2.1 Tecnología GSM/GPRS/UMTS/HSPA.........................................................103

5.2.2 Tecnología WiMAX ......................................................................................104

5.2.3 Tecnología Bluetooth ...................................................................................105

5.2.4 Tecnología NFC...........................................................................................107

5.2.5 Protocolo WLAN, IEEE 802.11 o Wi-Fi ........................................................108

6 DISPOSITIVOS MÓVILES .......................................................................................112

6.1 Tendencias ......................................................................................................112

6.1.1 Cifras relacionadas con la seguridad...........................................................117

6.2 Problemas de securización: vulnerabilidades y consecuencias ......................120

6.3 Soluciones de seguridad..................................................................................126

6.3.1 Políticas de gestión de asignación de perfiles de usuarios..........................126

6.3.2 Políticas de gestión de riegos y actuaciones en caso de sustracción o extravío.....................................................................................................................129

6.3.3 Políticas de recuperación de la información ante contingencias .................131

7 CONCLUSIONES Y RECOMENDACIONES ...........................................................134

7.1 Conclusiones ...................................................................................................134

7.2 Recomendaciones ...........................................................................................137

8 ANEXO I: SOLUCIONES GLOBALES .....................................................................140

8.1 Soluciones globales .........................................................................................141

8.1.1 Dimensiones de seguridad...........................................................................141

8.1.2 Otras recomendaciones...............................................................................149



9 ANEXO II: MARCO REGULATORIO DE LA SEGURIDAD EN REDES INALÁMBRICAS..............................................................................................................153

9.1 Normativa española .........................................................................................153

9.1.1 Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) .......................................................................................153

9.1.2 Real Decreto Legislativo 1/1996, de 12 de abril, de Ley de Propiedad Intelectual .................................................................................................................155

9.1.3 Ley 17/2001, de 7 de diciembre, de Marcas ................................................156

9.1.4 Ley 20/2003, de 7 de julio, de Protección Jurídica del Diseño Industrial.....157

9.1.5 Circular 1/2006 del Fiscal General del Estado del 27 de mayo de 2006, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003.....................................................................................................157

9.1.6 Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información...............................................................................................................158

9.1.7 Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios............................158

9.1.8 Orden ITC/912/2006, de 29 de marzo, por la que se regulan las condiciones relativas a la calidad de servicio en la prestación de los servicios de comunicaciones electrónicas ..............................................................................................................159

9.2 Normativa europea ..........................................................................................160

10 ANEXO III: FUNCIONAMIENTO GENERAL DE LAS REDES DE TRÁFICO DE DATOS ............................................................................................................................161

11 ANEXO IV: METODOLOGÍA Y FUENTES CONSULTADAS ..............................164

11.1 Metodología .....................................................................................................164

11.1.1 Listado de empresas colaboradoras ........................................................164

11.1.2 Panel de expertos ....................................................................................165

11.1.3 Entrevistas a empresas relevantes del sector .........................................166




11.1.4 Encuestas a usuarios pertenecientes a hogares conectados a Internet..167

11.1.5 Estudio de informes y fuentes de información .........................................169

INDICE ANÁLITICO.........................................................................................................174

ÍNDICE DE GRÁFICOS...................................................................................................176

ÍNDICE DE TABLAS........................................................................................................178

INDICE DE FIGURAS......................................................................................................180


PUNTOS CLAVE

La movilidad en el puesto de trabajo y en la vida privada es una práctica cada vez más extendida en la sociedad. Esta situación se ve favorecida y alentada por los continuos avances en el ámbito de las tecnologías inalámbricas, donde cada vez se están consiguiendo soluciones de mayor velocidad de conexión, con más utilidades y a unos costes cada vez más bajos.

Sin embargo, la principal ventaja de estas tecnologías, caracterizadas por posibilitar una conexión sin cables y en cualquier lugar donde exista cobertura, implica, a su vez, unas necesidades específicas de seguridad.

Ante este panorama, donde los cambios y los avances tecnológicos se suceden con mucha rapidez, no es difícil prever una posible vulnerabilidad de las pymes y de los particulares en el uso de tecnologías inalámbricas, producto de un conocimiento mínimo en temas tecnológicos y de la aparición de nuevas amenazas a partir de estas nuevas formas de comunicación.

I Redes inalámbricas y clasificación según su cobertura geográfica

Aunque no exista una clasificación universal que catalogue de forma uniforme a todas estas tecnologías, es posible hacerlo según la cobertura geográfica de cada una de ellas:

• WAN (Wide Area Network): red usada para comunicación de larga distancia (principalmente por operadores de telefonía).

• MAN (Metropolitan Area Network): red con una cobertura menor que la WAN, pero en un entorno más o menos metropolitano.

• LAN (Local Area Network): red de área local.

• PAN (Personal Area Network): red de proximidad, concebida para trabajar sobre áreas reducidas y de corto alcance.

II Situación y tendencias de las tecnologías móviles e inalámbricas en España


En febrero de 2008, el número de líneas de telefonía móvil se situaba en los 50.903.008, un 7,4% más que en el 2007. Según el informe de febrero de 2008 de la Comisión del Mercado de las Telecomunicaciones (CMT), el total de líneas móviles aumentó en 178.864, cerrándose el mes con un total de 49.748.579, lo que supone un incremento del 6,8% respecto al total registrado en febrero de 2007 y una proporción de 110,1 líneas por cada 100 habitantes.



La penetración de las tecnologías inalámbricas en el mercado residencial español alcanzó cotas altas en telefonía móvil (90,9%) en el primer semestre de 2007. La distribución de esta tecnología en los hogares, según datos del INE, muestra que en un 17,7% se dispone únicamente de teléfono móvil y en un 73,1%, de fijo y móvil.

En relación con los dispositivos inalámbricos, su penetración es cada vez más elevada, según los resultados del panel de hogares de INTECO para mayo de 2008. Más de la mitad de los encuestados cuenta con portátiles con tecnología Wi-Fi o Bluetooth. Asimismo, un 50,3% de los hogares españoles cuenta con un acceso Wi-Fi.

En cuanto a las pymes españolas, el 80% de las empresas de más de 10 empleados recurre a la telefonía móvil para su actividad profesional. Además, cuatro de cada diez organizaciones utilizan dispositivos móviles avanzados (PDA y BlackBerry).

Los hábitos, usos e incidencias de seguridad de los usuarios móviles en España son variables en función del tipo de dispositivo que se tenga. En el caso de los ciudadanos, la medida más utilizada para los dispositivos básicos es el uso de un PIN o código de seguridad para la tarjeta SIM (79,2%). Respecto a los dispositivos avanzados, en concreto los que cuentan con la posibilidad de utilizar la comunicación inalámbrica a través del Bluetooth para la transmisión de datos y voz, su seguridad depende del uso que se les dé y de las pautas de seguridad utilizadas.

En el ámbito de las empresas, las acciones adoptadas en cuanto a actualización de los mecanismos de seguridad están principalmente basadas, aunque depende del tamaño de la empresa, en el uso de software de protección o chequeo de virus; así lo afirma el 97% de las empresas con conexión a Internet. Otras medidas utilizadas son el uso de cortafuegos y el backup de datos (en el caso de empresas de entre 10 y 49 trabajadores, son utilizadas por un 68,8% y un 56,8%, respectivamente).

Debido a la buena aceptación que las soluciones de movilidad están teniendo hoy en día, la industria no ceja en su empeño de investigar y desarrollar nuevas soluciones tecnológicas inalámbricas con nuevas y mejores prestaciones (ancho de banda, seguridad y facilidad de uso) para todo tipo de servicios (voz y datos).

En el mundo existen más de 40 tipos diferentes de tecnología de comunicación inalámbrica con distinto grado de cobertura geográfica, prestaciones y funcionalidades. El análisis se centra en aquellas que tienen un mayor potencial de uso y/o penetración en España (GSM, GPRS, UMTS, HSPA, Bluetooth, Wi-Fi, RFID y NFC).

III Problemática de securización en redes inalámbricas

La seguridad de las tecnologías y de las redes en general puede ser analizada desde el punto de vista de la cobertura de las dimensiones de seguridad identificadas:


• Control de acceso.

• Autenticación.

• Disponibilidad.

• Confidencialidad.

• Integridad.

• No repudio.

Las vulnerabilidades (ataques) de las tecnologías inalámbricas son comunes para todas ellas, ya que comparten las mismas características al funcionar por ondas de radio. No obstante, la forma de materializar estos ataques es diferente.

IV Soluciones de seguridad con aplicación a redes inalámbricas

Las principales medidas de seguridad disponibles para los usuarios y pymes van encaminadas a proteger los dispositivos de acceso, bien a nivel individual o mediante una gestión centralizada que se materializará en la delegación de la seguridad intrínseca a la tecnología a los proveedores (de servicios de telecomunicaciones, fabricantes de terminales y equipos de red), a las políticas y a las normas de seguridad que definen los organismos competentes para las tecnologías inalámbricas.

En este contexto, cabe destacar que la tecnología Wi-Fi es la única que permite, configurar el grado de seguridad en función del criterio de los usuarios. Los terminales de acceso son uno de los eslabones más importantes a la hora de establecer medidas de seguridad al trabajar con tecnologías inalámbricas.

La seguridad abarca muchos más aspectos que la mera tecnología, siendo necesario aplicar otras medidas asociadas a las tecnologías y/o buenas prácticas generales asociadas a la auditoría y uso responsable de las mismas.

Las medidas y soluciones de seguridad deben ser analizadas al margen de la tecnología, para después adoptar la solución específica para cada una de ellas. A continuación se presentan las medidas de seguridad más relevantes para cada una de las tecnologías estudiadas:

• Todas las tecnologías de comunicaciones provistas por operadores son seguras, como es el caso de GSM/GPRS/UMTS/HSPA, por lo que el usuario debería prestar atención a la protección de su dispositivo, el eslabón más débil de la cadena.

• En cambio, en las tecnologías cuya utilización y gestión corresponden al usuario final la seguridad depende en gran medida de:


o Una gestión del servicio responsable por parte del usuario y una configuración para la solicitud de contraseñas con cada conexión (Bluetooth).


o La observación visual del entorno de validación y custodia del dispositivo (NFC).

o La utilización por parte del usuario de al menos un mecanismo de cifrado de los disponibles, siendo el más recomendable el WPA PSK para pymes y el WPA para usuarios finales (Wireless LAN o 802.11).

V Dispositivos móviles

Los dispositivos han pasado de ser simples terminales que permiten la transmisión de voz, a convertirse en verdaderos ordenadores móviles, por lo que su impacto en el estudio de las tecnologías inalámbricas es cada vez mayor.

El análisis de estos dispositivos móviles se realiza bajo una nueva dimensión de seguridad no incluida en la norma anteriormente referida, denominada protección de dispositivos, ya que, por sus características propias, son susceptibles de robo, pérdida, o daños y amenazas externas (malware) que puedan perjudicarlo.

En cuando a los problemas derivados del malware (virus o software ejecutado sin el consentimiento del usuario), depende en gran medida de los dispositivos utilizados, del software de protección instalado y de las políticas de seguridad definidas, sin olvidar la gestión responsable de los usuarios finales.

Las soluciones recomendadas para evitar estas vulnerabilidades son las siguientes:

• Utilizar el PIN/password de arranque en el caso de terminales con acceso a la red de los operadores.

• Utilizar las opciones de bloqueo de terminal disponibles en la configuración de estos dispositivos.

• Utilizar programas de cifrados de datos para evitar que la información almacenada en el dispositivo pueda ser leída por una persona ajena.

• No instalar aplicaciones de las que se desconozca su procedencia o no sean fiables.

• Configurar el dispositivo para que no se puedan instalar programas que no sean del fabricante sin estar certificados y/o no se conozca la fuente.

• Utilizar software de protección de dispositivos (antivirus).

Estudio sobre la seguridad y buenas prácticas en los dispositivos móviles y redes inalámbricas Observatorio de la Seguridad de la Información Página 11 de 181

• Recurrir a sistemas de gestión centralizada de dispositivos, que posibilitan el bloqueo y borrado remoto de información en caso de pérdida o robo del terminal


Estudio sobre la seguridad y buenas prácticas en los dispositivos móviles y redes inalámbricas Observatorio de la Seguridad de la Información Página 12 de 181

móvil, el control remoto del software instalado por los usuarios y su borrado en caso de que no cumpla las políticas de seguridad establecidas por la empresa.

• Aplicación de las políticas de seguridad de los sistemas operativos. Utilización del software original, de forma que se puedan realizar las actualizaciones de seguridad pertinentes y recurrir a los departamentos de atención al cliente que dichas empresas tienen para ayudar a definir medidas de seguridad adecuadas a las pymes.

VI Recomendaciones de actuación

A partir del conocimiento adquirido a lo largo de la realización del presente estudio, INTECO recomienda acciones ligadas a la colaboración, certificación y concienciación de las pymes y ciudadanos y al impulso de un marco regulativo o legislativo:

• Colaboración. Fomentar la colaboración de todos los agentes participantes mediante foros u otras acciones, para lograr la identificación de soluciones globales de seguridad y ofrecer al usuario final una oferta completa.

• Certificación. Es importante que la Administración regule el cumplimiento de unos mínimos de seguridad en comunicaciones inalámbricas por las pymes y los usuarios finales. Además, se puede complementar con la certificación en seguridad de redes inalámbricas, que deberían cumplir las pymes en función de la información que manejen, su tamaño y su sector de actividad, además de los proveedores de servicios de comunicación inalámbricas en cuanto al servicio prestado/instalado al usuario final.

• Concienciación. La red no es el elemento débil de la cadena, sino los dispositivos y los puntos de acceso. Se debe, por tanto, trabajar de forma intensa en concienciar a los ciudadanos y a las pymes sobre lo importante que es cumplir con unos mínimos de seguridad en sus comunicaciones inalámbricas para salvaguardar su información y/o la de sus clientes.

• Regulación/legislación. No existe ninguna legislación ni normativa que establezca unos mínimos de seguridad en la instalación y utilización de redes inalámbricas, por lo que se recomienda la definición de un marco regulatorio y/o legislativo.


1 INTRODUCCIÓN Y OBJETIVOS

1.1 Presentación

1.1.1 Instituto Nacional de Tecnologías de la Comunicación.

El Instituto Nacional de Tecnologías de la Comunicación (INTECO), sociedad estatal promovida por el Ministerio de Industria, Turismo y Comercio, es una plataforma para el desarrollo de la Sociedad del Conocimiento a través de proyectos del ámbito de la innovación y la tecnología. Su objetivo es doble: por una parte, contribuir a la convergencia de España con Europa en la Sociedad de la Información y, por otra, promover el desarrollo regional, enraizando en León un proyecto con vocación global.

La misión de INTECO es impulsar y desarrollar proyectos de innovación relacionados con el sector de las Tecnologías de la Información y la Comunicación (TIC) y en general, en el ámbito de la Sociedad de la Información, que mejoren la posición de España y aporten competitividad, extendiendo sus capacidades tanto al entorno europeo como al latinoamericano.

El objeto social de INTECO es la gestión, asesoramiento, promoción y difusión de proyectos tecnológicos en el marco de la Sociedad de la Información. Para ello, INTECO desarrollará actuaciones, al menos, en líneas estratégicas de seguridad tecnológica, accesibilidad y calidad del software.

1.1.2 Observatorio de la Seguridad de la Información

El Observatorio de la Seguridad de la Información se inserta dentro de la línea estratégica de actuación de INTECO en materia de seguridad tecnológica.

El Observatorio nace con el objetivo de describir de manera detallada y sistemática el nivel de seguridad y confianza en la Sociedad de la Información y de generar conocimiento especializado en la materia. De este modo, se encuentra al servicio de los ciudadanos, las empresas y las administraciones públicas españolas para describir, analizar, asesorar y difundir la cultura de la seguridad de la información y la e-confianza.

El Observatorio ha diseñado un plan de actividades y estudios con el objeto de producir conocimiento especializado y útil en materia de seguridad, así como de elaborar recomendaciones y propuestas que definan tendencias válidas para la toma de decisiones futuras por parte de los poderes públicos.

Dentro de este plan de acción se realizan labores de investigación, análisis, estudio, asesoramiento y divulgación que atenderán, entre otras, a las siguientes estrategias:



• Elaboración de estudios e informes propios en materia de seguridad de las tecnologías de la información y la comunicación, con especial énfasis en la seguridad en Internet.

• Seguimiento de los principales indicadores y políticas públicas relacionadas con la seguridad de la información y la confianza en el ámbito nacional e internacional.

• Generación de una base de datos que permita el análisis y evaluación de la seguridad y la confianza con una perspectiva temporal.

• Impulso de proyectos de investigación en materia de seguridad TIC.

• Difusión de estudios e informes publicados por otras entidades y organismos nacionales e internacionales, así como de información sobre la actualidad nacional y europea en materia de seguridad y confianza en la Sociedad de la Información.

• Asesoramiento a las administraciones públicas en materia de seguridad de la información y confianza, así como el apoyo a la elaboración, seguimiento y evaluación de políticas públicas en este ámbito.

1.2 Descripción y estructura del estudio

INTECO desarrolla iniciativas para contribuir a un mayor crecimiento y facilidad de acceso a las nuevas tecnologías por parte de los actores de la llamada Sociedad de la Información. En este ámbito, el Instituto ha puesto en marcha el Estudio sobre la situación de seguridad y buenas prácticas en dispositivos móviles y redes inalámbricas.

Se trata de un análisis de las diferentes tecnologías inalámbricas del mercado y de sus dispositivos de acceso, considerando las particularidades de cada una de ellas desde el punto de vista de la seguridad e identificando las soluciones más habituales para evitar los riesgos asociados a su utilización. El estudio tiene los siguientes objetivos:

• Conocer el espectro de tecnologías inalámbricas existentes en el mercado nacional e internacional.

• Conocer los principales riesgos y vulnerabilidades asociados a la utilización de una tecnología inalámbrica.

• Identificar las principales soluciones existentes en el mercado para prevenir los riesgos existentes.

• Fomentar la cultura de seguridad en las pymes y particulares.



El propósito final del estudio es lanzar una serie de recomendaciones de actuación a las pymes y los usuarios finales para prevenir riesgos innecesarios en la utilización de las tecnologías inalámbricas.

El estudio se ha desarrollado en varias fases:

• Definición de su ámbito, que se ha limitado a las tecnologías de mayor uso y previsión de crecimiento en el territorio español.

• Identificación de una cadena de valor de la seguridad, a partir de la cual se reconoce a los principales actores involucrados en ella.

• Diseño y elaboración de un cuestionario de entrevistas en base a los objetivos del estudio.

• Realización de entrevistas a expertos en seguridad, entre los que se encuentran algunos de los fabricantes, operadores y proveedores de soluciones de seguridad más representativos del sector.

• Recopilación y estudio de documentación y fuentes independientes relacionadas con la seguridad y las tecnologías inalámbricas.

• Asesoramiento de un panel de expertos, formado por profesionales de reconocido prestigio en el ámbito de las redes inalámbricas y de la seguridad de la empresa Everis.

• Elaboración de un informe final con las conclusiones extraídas a partir de la recopilación de documentación y realización de entrevistas, encuestas a hogares españoles y consultas al panel de expertos.

La ejecución de este estudio se ha abordado, según recomendación de los expertos consultados, analizando la problemática de la seguridad desde un plano superior a la tecnología utilizada, así como la identificación de las soluciones aplicadas, ya que todas comparten la misma esencia. Además y con el objetivo de incrementar la profundidad del análisis, este estudio analiza también las particularidades de las principales tecnologías inalámbricas frente a cada una de las problemáticas de seguridad identificadas.

Estructuralmente, el estudio se divide en seis grandes apartados:

• Redes inalámbricas y clasificación según su cobertura geográfica: WAN (Wide Area Network, Red de Área Amplia), MAN (Metropolitan Area Network, Red de Área Metropolitana), LAN (Local Area Network, Red de Área Local) y PAN (Personal Area Network, Red de Área Personal).



• Situación y tendencias de las tecnologías móviles e inalámbricas en España: incidencias y actuaciones de seguridad en ciudadanos y pymes y análisis de las tecnologías inalámbricas existentes, agrupadas según su nivel de penetración y potencial de uso en el mercado español.

• Securización de redes inalámbricas: principales riesgos asociados, vulnerabilidades y consecuencias.

• Soluciones de seguridad con aplicación a redes inalámbricas, desde un punto de vista global y particular, para evitar las vulnerabilidades.

• Dispositivos móviles: breve descripción de cada dispositivo y, más específicamente, de los ataques existentes y las soluciones propuestas para evitarlos.

• Conclusiones y recomendaciones a todos los agentes implicados: Administración, pymes, particulares y empresas proveedoras.

La estructura global de este documento se puede observar en la siguiente figura:

Figura 1: Estructura general del estudio

Taxonomía de redes inalámbricas según su cobertura geográfica

El sector en España

Tendencias de las tecnologías inalámbricas

Clasificación de las tecnologías inalámbricas en función de su penetración y potencial de uso

1

2

Securización en redes inalámbricas

3

Tecnologías con elevada penetración y alto nivel de uso

Tecnologías con bajo nivel de penetración y potencial de uso

Análisis de vulnerabilidades de las redes a nivel global

Análisis del nivel de vulnerabilidad por tecnología

Soluciones de seguridad con aplicación a redes inalámbricas

4Dimensiones de la seguridad

Soluciones por tecnología inalámbrica

Dispositivos inalámbricos

5

Conclusiones y recomendaciones

6

Taxonomía de redes inalámbricas según su cobertura geográfica

El sector en España

Tendencias de las tecnologías inalámbricas

Clasificación de las tecnologías inalámbricas en función de su penetración y potencial de uso

1

2

Securización en redes inalámbricas

3

Tecnologías con elevada penetración y alto nivel de uso

Tecnologías con bajo nivel de penetración y potencial de uso

Análisis de vulnerabilidades de las redes a nivel global

Análisis del nivel de vulnerabilidad por tecnología

Soluciones de seguridad con aplicación a redes inalámbricas

4Dimensiones de la seguridad

Soluciones por tecnología inalámbrica

Dispositivos inalámbricos

5

Conclusiones y recomendaciones

6

Fuente: INTECO




2 REDES INALÁMBRICAS Y CLASIFICACIÓN SEGÚN SU COBERTURA GEOGRÁFICA

Las redes inalámbricas o wireless son aquellas que se comunican por un medio de transmisión no guiado (sin cables) mediante ondas electromagnéticas. Con una red cableada, un dispositivo tiene que estar en un punto fijo para mantenerse conectado y formar parte de ella. Con un dispositivo inalámbrico, sin embargo, al usuario le basta con estar dentro del radio de cobertura de la red para mantenerse conectado.

Con estas ventajas, uno de los avances más importantes y de mayor valor para el mercado de los últimos años ha sido la movilización de las comunicaciones de datos mediante la utilización de tecnología inalámbrica como el Bluetooth, el protocolo 802.11 o Wi-Fi y el uso de terminales móviles que soportan este tipo de tecnologías (GSM/GPRS/UMTS/HSPA)1.

Según datos obtenidos por Enter (centro del Instituto de Empresa para el análisis de la Sociedad de la Información y las telecomunicaciones)2 en colaboración con la consultora francesa Idate3, las ventas de dispositivos móviles en todo el mundo crecieron un 15% en 2007, alcanzando los 1.137 millones de unidades. Para el año 2011, se espera una venta de 1.430 millones de aparatos, de los que un 29,9% corresponderá a teléfonos 3G, que permiten acceso a Internet a alta velocidad. Este porcentaje duplicaría el 14,7% alcanzado en el año 2007.

Según los datos del e-Business W@tch4, el 34% de los hogares (considerando la Europa de los 27) con acceso a Internet dispone de una red Wi-Fi5. En el caso de las empresas,

1 GSM: Global System for Mobile communications o Sistema Global para las Comunicaciones Móviles. Principal estándar para la telefonía móvil digital. Se dice que la telefonía analógica pertenecía a la primera generación, siendo GSM de 2G. GPRS: General Packet Radio Service o Servicio General de Paquetes por Radio. Esta tecnología es la extensión de GSM para la transmisión de datos (se cambió de la conmutación de circuitos en GSM a la conmutación de paquetes en GPRS). Sólo necesita modificaciones en el software de las estaciones de radio para lograrlo. Se considera que está situada entre GSM y UMTS. UMTS: Universal Mobile Telecommunications System o Sistema Móvil de Telecomunicaciones Universal. Esta tecnología usa multiplexión por división en frecuencia por los móviles de tercera generación, sucesores de GSM, diseñada para introducir más usuarios a la red (mejora en eficiencia) y obtener una alta tasa de envío de datos a dispositivos móviles. HSPA: High Speed Packet Access o Alta Velocidad de acceso de Paquetes. Esta tecnología es también conocida como HSDPA (High speed down-link packet access) correspondiente a 3.5G el y 3.5 plus o 3.75 al HSUPA (High speed up-link packet access). Conjunto de protocolos que mejoran el ancho de banda sobre UMTS, pero mucho más rápido que ésta.

2 ENTER-Idate (2007): DigiWorld España 2007.

3 Disponible en http://www.idate.fr/pages/index.php?pop=ok

4 Es el Observatorio del Comercio Electrónico creado por la Unión Europea para informar sobre la evolución y las mejores prácticas desarrolladas en ese ámbito. Disponible en http://www.ebusiness-watch.org/

http://es.wikipedia.org/wiki/Ondas_electromagn%C3%A9ticas

http://www.idate.fr/pages/index.php?pop=ok

http://www.ebusiness-watch.org/



el uso de tecnologías inalámbricas ya es una realidad, aunque su nivel de penetración oscila bastante según el ámbito geográfico desde el que se acceda. En el caso de la Europa de los 10, los países más avanzados en esta área son Finlandia (46%) y Reino Unido (41%), seguidos de Francia (21%) e Italia (19%)6.

La European Interactive Advertising Association7, en su estudio Mediascope Europa, señala que el 94% de los usuarios europeos de wireless que acceden a Internet a través de dispositivos móviles como PDA (Personal Digital Assistant, Asistente Personal Digital) u ordenadores portátiles con conexión Wi-Fi, tiene además conexión de banda ancha en sus puntos de acceso habituales (con un aumento del 9% desde 2005). El 81% tiene ordenador en casa (comparado con el 61% del total de europeos) y el 68, %, reproductor de MP3. Adicionalmente, el 76% de los usuarios catalogados como “móviles” usa Bluetooth, y el 71% confirma que ha navegado en Internet desde su móvil.

Como se aprecia en estos datos, la tendencia del uso de tecnologías inalámbricas y de dispositivos móviles es creciente. Las mejoras producidas en los anchos de banda, las coberturas territoriales y la facilidad de uso han permitido desarrollar nuevas aplicaciones y servicios en este entorno. Estas tendencias alcistas hacen de la tecnología inalámbrica y los dispositivos móviles un pilar importante en el desarrollo de la Sociedad de la Información.

No obstante, los avances que han permitido una penetración tan rápida en el mercado han supuesto un riesgo, al no haber dado tiempo a los usuarios a adquirir un conocimiento profundo sobre las consecuencias que una mala utilización de estos dispositivos, a través de las tecnologías inalámbricas, puede tener para una pyme o un particular.

Por este motivo, se hace necesario tener en cuenta algunas consideraciones de seguridad para evitar riesgos innecesarios relacionados con la privacidad de las comunicaciones.

La confianza en la seguridad de las comunicaciones inalámbricas es un elemento clave para fomentar su uso por los usuarios finales y las pymes. Con el objetivo de hacer de las telecomunicaciones inalámbricas un entorno más seguro y evitar riesgos de fácil prevención, INTECO ha realizado el presente estudio, en el que se analizan la seguridad y las buenas prácticas en el uso de dispositivos móviles y redes inalámbricas.

5 European Commission (2007): E-Communications Household survey. Eurobarómetro 274. Disponible en http://ec.europa.eu/public_opinion/archives/ebs/ebs_274_en.pdf

6 e-Business W@tch (2007): The European e-Business Report 2006/07.

7 European Interactive Advertising Association (2007): The EIAA Mediascope Europe Study. Disponible en http://www.eiaa.net/

http://ec.europa.eu/public_opinion/archives/ebs/ebs_274_en.pdf

http://www.eiaa.net/


2.1 Taxonomía de redes inalámbricas según su cobertura geográfica

Las comunicaciones inalámbricas se caracterizan por poder transmitir información (voz o datos) sin necesidad de estar conectadas físicamente a ningún dispositivo intermedio o receptor (como es el caso de una conexión por cable). Existen al menos dos tipos de medios por los que se pueden propagar, ondas de luz o radio, y varios elementos que influyen en la calidad de la transmisión (las frecuencias, la calidad de las señales, las interferencias, etcétera).

Aunque no existe una clasificación universal que discrimine de forma uniforme a todas estas tecnologías, pueden dividirse según su cobertura geográfica (ver Figura 2):

• WAN (Wide Area Network, Red de Área Amplia): red usada para comunicación de larga distancia (empleada principalmente por operadores de telefonía).

• MAN (Metropolitan Area Network, Red de Área Metropolitana): red con una cobertura menor que la WAN, en un entorno metropolitano.

• LAN (Local Area Network): red de área local, caracterizada por cubrir entornos de distancia media.

• PAN (Personal Area Network, Red de Área Personal): red de proximidad, concebida para trabajar sobre áreas reducidas y de corto alcance.

Figura 2: Redes según cobertura geográfica

PAN

LAN

MAN

WAN

PAN

LAN

MAN

WAN

Fuente: INTECO




A continuación se describe, a partir de la información bibliográfica recopilada y la opinión obtenida de los expertos consultados, cada uno de estos grupos y las tecnologías inalámbricas que los componen.

2.1.1 Redes WAN

Una red WAN se define como una red de área extensa, cuyas siglas corresponden según el idioma inglés con Wide Area Network. Este tipo de redes fueron diseñadas para satisfacer las necesidades de los usuarios que buscaban mayor movilidad que las que ofrecían las redes inalámbricas de área local8.

No existe uniformidad de criterio acerca del alcance geográfico de este conjunto de redes, pero, en general, se podría establecer que incluyen cualquier tecnología que cubra un radio de acción de entre 100 y 1.000 kilómetros. No queda suficientemente claro si las comunicaciones vía satélite (VSAT) están dentro de este grupo; en este estudio se considerarán como parte de las redes WAN.

De acuerdo a esta descripción, las tecnologías que forman parte del grupo son las siguientes:

Tabla 1: Tecnologías WAN

Nombre Descripción

Definición: tecnologías predecesoras de las comunicaciones móviles actuales. Tecnologías de la 0G y 1G Uso: permiten únicamente transmitir voz. La calidad de la señal es altamente

variable, debido principalmente a las interferencias que pueden recibir las señales.

Definición: Code Division Multiple Access 2000 version o Acceso Múltiple por División en el Código versión 2000. Familia de estándares basados en CDMA pertenecientes a la 3G para comunicación en telefonía móvil.

CDMA20009 Uso: permite la transmisión de voz y datos, ofreciendo aplicaciones de alta capacidad con tan solo un canal de 1,25 MHz de ancho. Tipos: • CDMA2000 1X: primer sistema 3G a nivel mundial, permite una transmisión de paquetes de datos hasta 307 Kbps en una portadora (1,25 MHz). • CDMA2000 1XVE: permite la transmisión de paquetes de datos hasta 2,4 Mbps en una portadora (1,25 MHz) y voz y datos integrados (1xEV- DV) hasta 3,09 Mbps10.

8 Alejandro Molina, Fabián: “Seguridad en Redes Inalámbricas” en II Jornadas de Telemática.

9 Esta tecnología es considerada importante en opinión de los expertos y de las fuentes bibliográficas por su uso y potencial de crecimiento.

10 Mbps: Megabit por segundo – Kbps: Kilobit por segundo. 1 Mbps (Megabit-per-second) =1000 Kbps (Kilobit-per-second).



Nombre Descripción Definición: Wideband Code Division Multiple Access o Acceso Múltiple por División en el Código. Predecesor de CDMA2000. Nombre comercial de un estándar de comunicaciones móviles digital usado en Estados Unidos similar al GSM. Se diferencia de GSM principalmente en la forma en que se multiplexan las estaciones (lo hacen usando códigos ortogonales), ya que transmite todas en la misma frecuencia. cdmaOne

Uso: permite en un espacio mínimo de espectro (1,25 Mhz) altas capacidades de voz y datos eficientes en. Tipos: • CDMA-ONE (ISO-95A): permite una transmisión de voz y datos hasta 14,4 Kbps. • CDMA-ONE (ISO-95B): permite la transmisión de voz y datos hasta 115 Kbps.

Definición: Circuit Switched Data o Conmutación de Circuito de Datos. Tecnología usada para la telefonía móvil. Fue una de las primeras tecnologías en usar la multiplexión de usuarios por división en el tiempo.

CSD Uso: Permite transmitir datos por medio de una conexión móvil a una velocidad máxima de 9,6 Kbps.

Definición: Digital Advanced Mobile Phone System o Sistema Telefónico Móvil Avanzado Digital. Fue desarrollado en Estados Unidos como sustitución del estándar AMPS para telefonía móvil, muy extendido en su momento. D-AMPS

Uso: permite la transmisión de datos a una velocidad de 48,6 Kbps.

Definición: Enhanced Data Rates for GSM Evolution o Tasas de Datos Mejoradas para la Evolución de GSM (también conocido como EGPRS). Tecnología para telefonía móvil que pretendía ser el puente entre el 2G y la 3G. Mejora la velocidad de transmisión de datos sobre GSM. Esta tecnología se puede utilizar en redes que también soporten GPRS. Es totalmente compatible con redes GSM (un teléfono GSM es capaz de funcionar sobre redes EDGE).

EDGE11

Uso: permite la transmisión de datos alcanzando los 474 Kbps.

Definición: Freedom of Mobile Multimedia Access/Wideband Code Division Multiple Access o Libertad de Acceso Móvil Multimedia. Es el nombre de la tecnología 3G usado en Japón. Fue el primer servicio 3G lanzado a nivel mundial en el 2001 y es compatible con UMTS.

FOMA W-CDMA12

Uso: permite la transmisión de datos y voz, pudiendo soportar completamente varias conexiones simultáneas como pueden ser una conexión a Internet, una conversación telefónica, videoconferencia, etcétera. Teóricamente, tendría tasas de velocidad de hasta 384 Kbps en grandes zonas y hasta 2 Mbps áreas más reducidas.

Definición: General Packet Radio Service o Servicio General de Paquetes por Radio. Esta tecnología es la extensión de GSM para la transmisión de datos (se cambió de la conmutación de circuitos en GSM a la conmutación de paquetes en GPRS). Sólo necesita modificaciones en el software de las estaciones de radio para lograrlo. Está situada entre GSM y UMTS. GPRS13

Uso: dada la alta tasa de envío de datos, es usada para conexión inalámbrica a Internet. Permite velocidades de 40 a 115 Kbps por conexión (velocidad empírica obtenida en laboratorio).

11 Tecnología a destacar por su uso y potencial de crecimiento, en opinión de las fuentes consultadas.





Nombre Descripción Definición: Global System for Mobile Communications o Sistema Global para las Comunicaciones Móviles. Principal estándar para la telefonía móvil digital. Se dice que la telefonía analógica pertenecía a la primera generación, siendo GSM de 2G.

GSM 14 Uso: esta tecnología es usada por el 80,0% de los teléfonos móviles en el mundo

para sus comunicaciones de voz. La velocidad de transmisión de la tecnología GSM oscila entre 9,6 Kbps y 14 Kbps en función de la cobertura que ofrezca la señal y la saturación de la red GSM. Definición: High Speed Circuit Switched Data o Alta Velocidad de Datos en Conmutación de Circuitos. Es una mejora del CSD. La diferencia proviene de la capacidad de utilizar diferentes métodos de codificación y/o múltiples slots de tiempo para aumentar la tasa de datos. HSCSD Uso: permite la transmisión inalámbrica de datos a 43,2 Kbps en redes GSM. Esto es comparable a la velocidad de transmisión de los módems utilizados en la actualidad a través de las redes telefónicas fijas15.

Definición: High Speed Packet Access o Alta Velocidad de acceso de Paquetes. Esta tecnología es también conocida como HSDPA (High speed down-link packet access) correspondiente a 3,5G el y 3,5 plus o 3,75 al HSUPA (High speed up-link packet access). Conjunto de protocolos que mejoran el ancho de banda sobre UMTS, pero mucho más rápido que esta.

HSPA16

Uso: permite la transmisión de datos a una tasa de información de hasta 14 Mbps en bajada y 2 Mbps en subida.

Definición: High Capacity Spatial Division Multiple Access o Alta Capacidad de Acceso Múltiple por División Espacial.

HC-SDMA Uso: permite un área inalámbrica amplia de banda ancha para conexión de datos fijos, portátiles y dispositivos de informática móvil y electrodomésticos. Es capaz de optimizar el uso del ancho de banda con la ayuda de antenas inteligentes. Las velocidades de datos máximas por usuario varían entre las de sentido descendente, hasta 16 Mbps, y las de sentido ascendente, que llegan a 5,5 Mbps y se logran mediante la agregación de portadoras17. Definición: Integrated Digital Enhanced Network o Red Digital Integrada Mejorada. Proporciona múltiples servicios en un mismo sistema móvil (llamada, videollamada, GPS, etcétera).

iDEN Uso: permite la transmisión de voz y datos. Las velocidades de datos alcanzadas por una unidad plus iDEN llegan hasta 22 Kbps.

Definición: Long Term Evolution o Evolución a Largo Plazo. Pretende ser la evolución de UMTS a un entorno 4G para el acceso a radio. Con esta tecnología se pretende aumentar la eficiencia, reducir los costes, ampliar y mejorar los servicios ya prestados y mejorar la integración con los protocolos ya existentes. LTE18

Uso: permite la transmisión de voz y datos, brindando velocidades máximas teóricas de más de 100 Mbps en sentido descendente y 50 Mbps en ascendente.


15 Glosario de términos en la página de Nokia. Disponible en http://www.nokia.com/EUROPE_NOKIA_COM_3/r2/support/tutorials/8910/spanish/glossary/index.html


17 Unión Internacional de Telecomunicaciones, Informe sobre las tecnologías de acceso para las comunicaciones de banda ancha, periodo 2002 – 2006.


http://www.nokia.com/EUROPE_NOKIA_COM_3/r2/support/tutorials/8910/spanish/glossary/index.html



Nombre Descripción Definición: denominación comercial mejorada del IEEE 802.20 o MBWA (Mobile Broadband Wireless Access o Acceso Inalámbrico de Banda Ancha Móvil). Pretende ser una versión de bajo coste del Mobile WiMAX, pero más enfocada a la movilidad.

Mobile FI Uso: permite transportar tráfico IP y proporcionar conexiones de movilidad en un entorno de hasta 20 Km, utilizando para ello frecuencias por debajo de la banda de 3,5 GHz y con velocidades de transmisión de entre 1 y 16 Mbps.

Definición: Worldwide Interoperability for Microwave Access o WiMAX para movilidad.

Mobile WiMAX19 Uso: permite la conexión a un dispositivo a velocidades mayores que WiMAX y en

movimiento de hasta 120 Km/h. El primer lote de productos certificados WiMAX se comercializó en el mercado a finales de 200520.

Definición: Personal Data Cellular o Paquetes de Datos Celular. Tecnología de segunda generación para telefonía móvil digital. Usa multiplexión por división en el tiempo para tratar de aumentar la tasa de datos enviados.

PDC Uso: permite la transmisión de datos, con una tasa de transferencia de datos de más de 2 Mbps.

Definición: Personal Handyphone System o Sistema de Telefonía de Mano Personal. Sistema de telefonía inalámbrica con la capacidad de cambiar de celda de asociación sin perder la conexión. PHS

Uso: permite la transmisión de voz y datos a una velocidad de 384 Kbps.

Definición: Time Division Synchronous Code Division Multiple Access21 o Tecnología CDMA por división en el tiempo y de 3G.

TD-SCDMA

Uso: permite la transmisión de voz y datos. En relación a la velocidad de transmisión no se han encontrado datos estándares para dar una aproximación.

Definición: Unlicensed Mobile Access o Acceso Móvil sin Licencia. Conocida como GAN, esta tecnología permite roaming23 entre WAN y LAN en escenarios de movilidad para voz y datos. Además, permite el acceso a GSM y GPRS mediante Bluetooth y Wi-Fi. UMA22

Uso: permite la transmisión de voz y datos. En relación a la velocidad de transmisión no se han encontrado datos estándares para dar una aproximación.


20 Huawei Technologies Co., Productos y soluciones de HUAWEI. Radio Access Network. Mobile WIMAX. ). Disponible en http://www.huawei.com/es/catalog.do?id=701

21 Esta tecnología ha sido desarrollada por la China Academy of Telecommunications Technology (CATT), en colaboración con Siemens Information and Communication Mobile Group (IC Mobile). Disponible en http://www.3gnewsroom.com/3g_news/nov_01/news_1405.shtml


23 En castellano, itinerancia es un concepto utilizado en comunicaciones inalámbricas y está relacionado con la capacidad de un dispositivo para moverse de una zona de cobertura a otra. Cuando se aplica a las redes Wi-Fi, significa que el dispositivo Wi-Fi cliente puede desplazarse e ir registrándose en diferentes bases o puntos de acceso.

http://www.huawei.com/es/catalog.do?id=701

http://www.3gnewsroom.com/3g_news/nov_01/news_1405.shtml



Nombre Descripción

Definición: Ultra Mobile Broadband o Ancho de Banda Ultra Móvil. Esta tecnología está basada en CDMA 2000, y pretende ser una mejora para los estándares de telefonía móvil para la siguiente generación de aplicaciones y requisitos, ya que está fundamenta en la tecnología de red TCP/IP25. UMB24

Uso: permite la transmisión de voz y datos, proporcionando velocidades pico de descarga y carga de 288 Mbps y 75 Mbps, respectivamente, en un ambiente móvil con un ancho de banda de 20 MHz.

Definición: Universal Mobile Telecommunications System o Sistema Móvil de Telecomunicaciones Universal. Esta tecnología usa multiplexión por división en frecuencia por los móviles de tercera generación, sucesores de GSM. Ha sido diseñada para introducir más usuarios a la red (mejora en eficiencia) y obtener una alta tasa de envío de datos a dispositivos móviles. UMTS26 Uso: permite la transmisión de datos, navegando en Internet desde los terminales móviles con una calidad aceptable: 144 Kbps sobre vehículos a gran velocidad, 384 Kbps en espacios abiertos de extrarradios y 2 Mbps con baja movilidad (interior de edificios). Definición: Universal Mobile Telecommunications System Time Division Duplexing o UMTS por División en el tiempo de doble sentido. UMTS-TDD es una red de datos móviles basada en el estándar UMTS. Esta tecnología usa multiplexión por división en el tiempo. UMTS-TDD

Uso: permite la transmisión de voz y datos a una velocidad de 4,5 Mbps.

Definición: Very Small Aperture Term o Terminal de Apertura Muy Pequeña. Comunicación vía satélite compuesta por estaciones emisor-receptor. Esta comunicación suele ser del satélite a la antena en tierra, ya que las antenas no disponen de suficiente potencia para comunicarse con el satélite.

VSAT27 Uso: permite la transmisión de voz y datos. Las velocidades de transmisión de datos van desde 20 Ka 128 Kbps dependiendo del tipo de sistema que se trate (por ejemplo, 50 a 64 Kbps, con interfaces tipo RS-232, y V28 para tasas menores de 20 Kbps). La transmisión a mayores velocidades (generalmente hasta 128 Kbps) que usan RS-422, RS-449, V11, V35 y X21.

Fuente: INTECO

2.1.2 Redes MAN

Las redes de área metropolitana MAN fueron diseñadas para extender las redes de área local a un entorno más metropolitano. Por esta razón, muchas de ellas están compuestas por elementos de red de área local interconectados entre ellos para ofrecer una mayor cobertura geográfica.

Dentro de este grupo, se encuentran las siguientes tecnologías:


25 TCP/IP: conjunto de protocolos (Protocolo de Control de Transmisión, TCP, y Protocolo de Internet IP) en el que se basa Internet. Estos protocolos fueron los dos primeros en definirse y son los más utilizados de la familia.





Tabla 2: Tecnologías MAN

Nombre Descripción Definición: nombre comercial de lo que también se conoce por Access Point Base Station, Punto de Acceso en Estación Base. Esta tecnología está compuesta de una estación base pequeña, celular, compatible con GSM, situada en espacios pequeños, oficinas y domicilios. Los usuarios de esta tecnología alternan el uso de GSM con el de WLAN mediante un intercambio. Cuando el terminal detecta una mejora en la calidad de la señal de una de las redes, se conecta a ella.

Femtocell28

Uso: permite la transmisión de voz y datos a una velocidad de 600 Kbps.

Definición: High Performance Radio Metropolitan Area Network o Red de Área Metropolitana de Radio de Alto Rendimiento. Es la variante europea de WiMAX y WiBRO para proveer de conexión a Internet de banda ancha inalámbrico, ya que está orientada al servicio IP. Este estándar es interoperable con WiMAX.

HIPERMAN

Uso: permite la transmisión de voz y datos a una velocidad de 70 Mbps.

Definición: los sistemas de radio trunking se utilizan para aplicaciones privadas, formando grupos de usuarios. Esta tecnología describe el proceso de selección de un canal de comunicación libre desde varias posibilidades, un método que utiliza relativamente pocas vías de comunicación para un gran número de potenciales usuarios29. Trunking

Uso: permite la transmisión de voz y datos. En relación a la velocidad de transmisión, no se han encontrado datos estándares para dar una aproximación.

Definición: Wireless Broadband o Banda Ancha sin Cables. Es la variante de Mobile WiMAX para Corea y Japón. Esta tecnología fue ideada para añadir movilidad al acceso a Internet como la tecnología HSDPA, aunque a un menor coste.

WiBro30 Uso: permite mantener el enlace a Internet desde un dispositivo en movimiento continuo, y lejos del hot spot o punto de enlace a la red. Permite la transmisión de voz y datos a 18 Mbps de bajada y 4 Mbps de subida.

Definición: Worldwide Interoperability for Microwave Access o Interoperabilidad Mundial para el Acceso por Microondas. Tecnología para el acceso a redes de datos que cubre distancias de hasta 50 Km en su versión fija y de unos 5 Km en su versión móvil, ofreciendo incluso una mayor velocidad que WLAN. Es una alternativa al cable y al DSL, existiendo incluso una adaptación para escenarios donde se precise movilidad.

WiMAX31 Uso: permite transformar las señales de voz y datos en ondas de radio dentro de bandas de frecuencias. Asimismo, es capaz de ofrecer transmisiones simultáneas a varios centenares de usuarios por canal, con calidad de servicio (Qo5), resultando adecuada para transmitir todo tipo de señales, tales como voz sobre IP (VoIP), datos y señales de vídeo32.


29 Sánchez Castillo, Eric (2004): “Redes Celulares, PCs y Trunking”. II Jornadas de Telemática: Redes inalámbricas y aplicaciones móviles. Bogotá.



32 Fundación OPTI, Observatorio de Prospectiva Tecnológica Industrial: Tendencias Futuras de Conectividad en Entornos Fijos, Nómadas y Móviles. Instituto Catalán de Tecnología, Barcelona, 2007.



Nombre Descripción

Definición: malla sin Cables. Red inalámbrica formada por la unión de diferentes WLAN formando una malla, por lo que la información podría llevarse por diferentes nodos. Es un escenario descentralizado, por lo que un error en cualquier nodo no implica la caída de la red.

Wireless-Mesh 33

Uso: permite la transmisión de voz y datos. En relación a la velocidad de transmisión, no se han encontrado datos estándares para dar una aproximación.

Fuente: INTECO

2.1.3 Redes LAN

El grupo de redes de área local está caracterizado por ser capaz de cubrir rangos de hasta 300 metros de cobertura. Sus aplicaciones están más bien enfocadas a un uso doméstico o a pequeñas y medianas oficinas.

Este grupo lo componen las siguientes tecnologías:

Tabla 3: Tecnologías LAN

Nombre Descripción Definición: High Performance Radio LAN o Red LAN de Radio de Alto Rendimiento. Esta tecnología es la alternativa europea al protocolo 802.11. Tiene una mayor eficiencia que el estándar WLAN, pero su aceptación por parte del mercado es casi nula. Además, la adopción de WLAN hace que se aproxime rápidamente a su obsolescencia.

HIPERLAN

Uso: permite la transmisión de voz y datos a una velocidad de 54 Mbps en la frecuencia de banda de 5 GHz. Definición: Wireless LAN (Local Area Network) o Red de Área Local Inalámbrica. Esta es la tecnología inalámbrica más extendida a nivel global para acceso a Internet inalámbrico y para la creación de redes inalámbricas.

WLAN34 Uso: permite soluciones de velocidades de datos generalmente de hasta 100 Mbps (dependiendo de los dispositivos que utilicen para la conexión y del nivel de interferencia)35.

Fuente: INTECO

2.1.4 Redes PAN

Este grupo de redes se caracteriza por cubrir como máximo hasta 10 metros de cobertura. Son también llamadas redes de proximidad.

Las tecnologías que componen este grupo son:



35 Peñafiel, Carlos. Proyecto fin de carrera: Estudio y Evaluación de un Entorno de Gestión de Calidad de Servicio usando NSIS Ligado a Servicios de Autenticación. Universidad de Murcia, 2006.



Tabla 4: Tecnologías PAN

Nombre Descripción Definición: nombre del protocolo de transmisión a corta distancia y velocidad media. Tecnología bastante extendida gracias a su incorporación en teléfonos móviles y en automóviles. Es capaz de funcionar a una distancia de hasta 10 metros.

Bluetooth36 Uso: se utiliza para comunicar pequeñas cantidades de información, permitiendo la transmisión de voz y datos. La velocidad de transmisión actual de Bluetooth es de 1 Mbps.

Definición: teléfono tradicional inalámbrico para el hogar conectado mediante ondas de radio a una estación base y esta, a su vez, a una línea telefónica. Normalmente la estación base necesita estar conectada a una toma de corriente, mientras que el terminal telefónico dispone de una batería.

Cordless Phone

Uso: permite la transmisión de voz.

Definición: Infrared Data Association o Asociación de Datos Infrarrojos. Tecnología de transmisión de información, tanto emisión como recepción, mediante el espectro de luz infrarroja.

IrDA Uso: permite la transmisión de datos a escasa velocidad (no más de 4 Mbps en condiciones ideales), es necesaria la visión directa del emisor y el receptor para poder llevar a cabo la comunicación.

Definición: Near Field Communication o Comunicación de Campo Cercana. Esta tecnología pretende ser la evolución de RFID, aunque la distancia con el receptor tiene que ser mucho menor (varios centímetros); esta particularidad se utiliza para hacer más segura y personal la comunicación. Está considerado el RFID inteligente.

NFC37

Uso: permite la transmisión de datos a 106, 212 y 424 Kbps.

Definición: Radio Frequency IDentification o Identificación por Radiofrecuencia. Dependiendo del chip de radiofrecuencia, esta tecnología es capaz de abarcar distancias de 1 a 10 metros, transfiriendo pequeñas cantidades de información.

RFID38 Uso: permite la transmisión de datos y se utiliza en comunicaciones de un solo sentido, principalmente para inventariado de almacenes, controles de acceso y pagos en supermercados, entre otros. En relación a la velocidad de transmisión, no se han encontrado datos estándares para dar una aproximación.

Fuente: INTECO






3 SITUACIÓN Y TENDENCIAS DE LAS TECNOLOGÍAS MÓVILES E INALÁMBRICAS EN ESPAÑA

La contextualización de las tecnologías inalámbricas en el mercado español destaca la importancia que están alcanzando en la actividad diaria de la sociedad, así como la necesidad de proteger a los usuarios finales, ciudadanos y empresas, de riegos innecesarios.

3.1 Visión global del mercado

En el año 2006, el número de líneas de telefonía móvil en España superó la cifra de la población española. Esta tendencia se mantuvo; en febrero de 2008, el parque total se situó en 50.903.008, un 7,4% más que en 2007 (Gráfico 1). Según el Informe mensual de febrero de 2008 de la Comisión del Mercado de las Telecomunicaciones (CMT), el parque de líneas móviles aumentó en 178.864, situándose en 49.748.579. Esto supone un incremento del 6,8% de líneas respecto al total registrado en febrero de 2007 y una proporción de 110,1 líneas por cada 100 habitantes.39

Gráfico 1: Comparación entre la población española y el número líneas de telefonía móvil

45.201.00050.181.109

40.499.791 41.116.842 41.837.894 42.717.064 43.197.684 44.108.53044.709.00042.712.701

46.169.424

38.646.79637.249.42133.568.812

29.669.46123.328.140

0

10.000.000

20.000.000

30.000.000

40.000.000

50.000.000

60.000.000

2000 2001 2002 2003 2004 2005 2006 2007

Población Española Clientes de telefonía móvil

Fuente: Comisión del Mercado de las Telecomunicaciones (2008)

A tenor de los datos de la CMT, los terminales 3G con tecnología UMTS han impulsado el mercado: alcanzaron en el año 2007 la cifra de 9,5 millones de aparatos vendidos, lo que

39 Comisión del Mercado de las Telecomunicaciones (CMT): Informe Anual 2007 y Estadísticas del Sector IV Trimestre 2007. Disponible en http://www.cmt.es/cmt_ptl_ext/SelectOption.do?nav=publi_anuales

http://www.cmt.es/cmt_ptl_ext/SelectOption.do?nav=publi_anuales%20



supone un incremento de 7,6 millones de terminales respecto al año anterior y un porcentaje del 19,6% sobre el total de clientes móviles (noviembre de 2007).

Los datos confirman una tendencia creciente de uso de estos terminales, demostrada además tanto por la popularización de los nuevos servicios telefónicos (melodías polifónicas, videollamadas, etcétera) y de aquellos disponibles a través de Internet (correo electrónico, descargas de vídeo y música...).

En relación a los puntos de accesos localizados en las principales ciudades españolas, según los últimos datos publicados por el Observatorio Wireless40 en su VI Informe41, existe un crecimiento constante a lo largo de todo el periodo analizado (marzo-julio-octubre de 2006), alcanzando los 102.950, según los últimos datos publicados por el Observatorio Wireless.

Tabla 5: Puntos de acceso (2006)

Puntos de acceso localizados Accesos Comerciales Accesos Privados Ciudad

Marzo Julio Octubre Marzo Julio Octubre Marzo Julio Octubre

Madrid 15.800 17.150 37.800 500 630 850 15.300 16.520 36.700

Barcelona 14.900 20.510 23.500 600 955 1.080 14.300 19.615 22.400

Sevilla 12.150 13.400 22.000 100 180 460 12.050 13.220 21.500

Bilbao 4.130 4.500 5.100 200 445 450 3.930 4.055 4.600

Valencia 9.900 13.400 14.550 180 180 505 9.720 13.200 14.000

Total 56.880 68.960 102.950 1.580 2.390 3.345 55.300 66.610 99.200

Fuente: Observatorio Wireless (2006)

Las cifras demuestran el éxito de la telefonía móvil en España y se justifican en cuanto a los beneficios que aportan a los usuarios en comparación con la telefonía fija:

40 El Observatorio Wireless es una iniciativa creada en el marco del proyecto GOWEX, que es la primera Plataforma Mundial de Roaming de Wireless y Móvil: Wi-Fi (802.11x), WiMAX (802.16x), UMTS y HSDPA., donde se cConcentran a todos los operadores y entidades que quieren beneficiar a sus usuarios con la ubicuidad de servicios y transparencia de uso, potenciando la libre competencia y facilitando la mejora de precios. Disponible en http://www.gowex.com/modules/sections/index.php?op=viewarticle&artid=6

41 IBER WIFI EXCHANGE, S.L.U. (2006): VI Informe Observatorio Wireless. Disponible en http://www.gowex.com/images/observatorio/informe_6_2006-10.pdf

http://www.gowex.com/modules/sections/index.php?op=viewarticle&artid=6

http://www.gowex.com/images/observatorio/informe_6_2006-10.pdf



• Comunicación continua en cualquier lugar y/o momento, que redunda en una mejor calidad de vida de las personas.

• Mayor competitividad, innovación y producción de las empresas.

• Mejora en la eficiencia y en el servicio a empresas y ciudadanos.

3.1.1 Ciudadanos

La penetración de la telefonía móvil en los hogares españoles mantiene su tendencia de crecimiento: en junio de 2007 habían un dispositivo móvil en el 90,9% de ellos, según los resultados de la Encuesta sobre equipamiento y uso de tecnologías de la información y comunicación en los hogares42 publicada por el INE (Gráfico 2).

Gráfico 2: Penetración de la telefonía móvil en los hogares españoles

65,0%73,3%

82,4% 85,3% 88,1% 90,9%

0%

10%

20%

30%40%

50%

60%70%

80%90%

100%

2002 2003 2004 2005 2006 1er semestre2007

Fuente: INE (2007)

Un 17,7% de los hogares dispone únicamente de teléfono móvil (Gráfico 3), mientras que el 73,1% restante también tiene fijo en las viviendas principales.43

42 INE (2007): http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t25/p450&file=inebase&L=0

43 Según el INE son aquellas en las que figuran inscritas personas con residencia habitual en ella

http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t25/p450&file=inebase&L=0


Gráfico 3: Equipamiento de teléfono en las viviendas principales

98,8

%

89,1

%

16,1

%

73,1

%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Viviendas con algún tipode teléfono

Viviendas con teléfonomóvil

Viviendas con teléfonomóvil únicamente

Viviendas con teléfonofijo y móvil

Fuente: INE (2007)

El Gráfico 4 muestra que el uso de la telefonía móvil es ampliamente mayoritario entre la población de 16 a 44 años, con porcentajes superiores al 90%. En el tramo de edad entre los 55 y los 64 años, el uso decae hasta el 70%, y entre los mayores de 65 años está en torno al 45%-50%.

Gráfico 4: Uso del teléfono móvil por tramos de edad y género

98,0

%

97,4

%

98,5

%

93,0

%

94,1

%

91,9

%

84,6

%

84,9

%

70,9

%

72,3

%

48,6

%

52,9

%

96,4

%

96,2

%

96,3

%

84,3

%

69,6

%

45,0

%

0%10%20%30%40%50%60%70%80%90%

100%

Ambos sexos Hombres Mujeres

De 16 a 24 años De 25 a 34 años De 35 a 44 años De 45 a 54 años De 55 a 64 años De 65 a 74 años

Fuente: INE (2007)




Con respecto a los dispositivos inalámbricos, su penetración es cada vez más elevada. Según los resultados del panel de hogares de INTECO44 más de la mitad de los encuestados (51%) cuenta con portátiles con tecnología Wi-Fi o Bluetooth, un 50,3% de los hogares españoles cuenta con un router Wi-Fi (Gráfico 5). En contraposición, sólo un 5,8% de los encuestados afirma no disponer de ningún dispositivo, y un 19,8% dispone de un terminal de telefonía móvil básico que no les permitiría dicho acceso inalámbrico.

Gráfico 5: Equipamiento de los hogares en España

10,5%

15,4%

19,8%

50,3%

51,0%

64,0%

5,8%

0% 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

No tengo ninguno de los dispositivos mencionados

Tengo móvil pero desconozco si tiene funcionesavanzadas

PDA con Wi-Fi o Bluetooth

Móvil básico

Router Wi-Fi en su domicilio

Portátil con Wi-Fi o Bluetooth

Móvil avanzado

Fuente: INTECO (Mayo 2008)

Una de las principales ventajas de las redes inalámbricas para los hogares, además de eliminar la necesidad de cables para conectar los equipos, es la de permitir el acceso simultáneo a Internet desde varios terminales y sin tener en cuenta la ubicación física del usuario. Estas características son especialmente relevantes en aquellos hogares en los que sus miembros utilizan la conexión a Internet de banda ancha a través de varios equipos a la vez.

44 Estudio sobre Seguridad de la Información y e-Confianza de los Hogares Españoles, mayo de 2008.



3.1.2 Pequeñas y medianas empresas

A la hora de analizar la influencia que las redes inalámbricas tienen en las pymes45 se ha de tener en cuenta que en cualquier actividad empresarial existen procesos independientes (producción, comercial, contable, etcétera) que deben estar unidos, ya que forman parte de la cadena de valor de la organización. Su interconexión se ve beneficiada con la disponibilidad de redes inalámbricas, que permiten a las empresas desarrollar, por ejemplo, proyectos de gestión logística a través de la conexión de los ordenadores a los sistemas sin necesidad de una red fija.

Según datos de la Encuesta de Uso de TIC y Comercio Electrónico de la Empresa Española 2006-2007 del INE46, la práctica totalidad de las empresas de 250 empleados o más dispone de red de área local47 en sus organizaciones (97,1% del total de grandes empresas). Esta cifra se reduce hasta el 67,9% entre las pequeñas empresas.

En relación a la red de área local sin hilos, las diferencias por tamaño de la organización se acrecientan. En las grandes empresas, la implantación supera el 56%, porcentaje que baja de manera apreciable si se analizan las de inferior tamaño: sólo un 16,8% de las organizaciones de entre 10 y 49 trabajadores dispone de este tipo de redes. En cualquier caso, al menos una de cada cinco empresas dispone de esta tecnología. Por último, la práctica totalidad de las empresas españolas dispone de conexión a telefonía móvil, como se ve en el Gráfico 6.

45 La recomendación de la Comisión Europea (96/280/CE), de 3 de abril de 1996, sobre la definición de pequeñas y medianas empresas define a una microempresa como una organización con menos de 10 empleados, una facturación máxima de 2 millones de euros y un valor máximo del activo del balance de 2 millones de euros. Por empresa pequeña se entiende una entidad con menos de 50 empleados, una facturación máxima de 10 millones de euros y un valor máximo del activo del balance de 10 millones de euros. Las empresas medianas tienen menos de 250 empleados, una facturación máxima de 50 millones de euros y un valor máximo del activo del balance de 43 millones de euros.

46 INE (2007):http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t09/e02//a2006-2007&file=pcaxis

47 Red de Área Local (LAN), es aquella que permite la interconexión de los ordenadores dentro de la empresa.

http://www.ine.es/jaxi/menu.do?type=pcaxis&path=/t09/e02//a2006-2007&file=pcaxis



Gráfico 6: Porcentaje de empresas que disponían de infraestructura tecnológica (% sobre el total)

70,9%

19,3%

92,9%

87,7%

31,1%

96,4% 98

,8%

67,9%

92,3%

16,8%

56,5%

97,1%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Red de área local (LAN) Red de área local 'sin hilos' Conexión a telefonía móvil

Total De 10 a 49 De 50 a 249 De 250 y más Fuente: INE (2007)

Por otro lado, el 80% de las empresas de más de 10 empleados recurre a la telefonía móvil en su actividad profesional48. Este porcentaje se ha ido incrementando en los últimos años, haciendo que el móvil se haya convertido en una herramienta básica tanto de comunicación como de localización. El crecimiento se ha debido en gran medida al avance de la cobertura de la telefonía móvil y al desarrollo de nuevos servicios, no sólo destinados a la gestión de voz, sino también a la gestión y transmisión de datos para la realización de transacciones incorporando ficheros de vídeo, audio, etcétera.

En el ámbito empresarial se ha producido también un enorme aumento en la utilización de dispositivos móviles avanzados (PDA y BlackBerry). El uso de estos dispositivos móviles está presente en cuatro de cada diez pymes españolas. Un análisis por tamaño de las mismas muestra que el 42% entre las empresas con menos de 10 empleados, el 45,6% de las microempresas y el 54,5% de las empresas pequeñas disponen de ellos. Entre las empresas de mayor tamaño, el 62% de las organizaciones de entre 50 y 249 empleados los utiliza cifra que alcanza el 75% entre las de más de 250 trabajadores (Gráfico 7).

48 Fundetec y Red.es: Diagnóstico de movilidad en la PYME española, 2008. Disponible en http://www.fundetec.es/UserFiles/File/DOCUMENTACION/Informe%20movilidad.zip

http://www.fundetec.es/UserFiles/File/DOCUMENTACION/Informe%20movilidad.zip


Gráfico 7: Telefonía móvil y uso de dispositivos móviles avanzados en las pymes en España (% sobre el total)

90

,4%

54,5%

80,0%

75,0%76

,5%

40,0%

86,6%

45,6%

80,0%

43,3%

42,0%

79,0% 81

,3%

62,5%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Telefonía móvil Dispositivos móviles ava nza dos

Total Menos de 10 De 10 a 49 De 50 a 249 De 250 y m ás Autónom os Microe mpre sa s

Fuente: Fundetec y Red.es (2008)

Además, las pymes utilizan en la actualidad varias tecnologías de acceso a Internet. Por un lado, las redes fijas, que proporcionan una menor velocidad de acceso al utilizar un módem sobre la red telefónica básica (RTB) o las líneas RDSI; por otro, las de mayor velocidad, fundamentalmente tecnologías de banda ancha, ya sea a través de xDSL (ADSL, SDSL, RADSL, HDSL...) u otras conexiones fijas (cable, LMDS, etcétera); finalmente, aquellas de similares prestaciones, pero soportadas en redes inalámbricas, como es el caso de la telefonía móvil (GSM, GPRS y UMTS...).

Así, como puede observarse en el Gráfico 8, la implantación de tecnologías bajo RTB o líneas RDSI apenas supera el 20% del total de accesos corporativos, salvo el caso de aquellas empresas que disponen de acceso a través de RDSI y que cuentan con 50 o más trabajadores. El porcentaje de pymes que utilizan como tecnología de acceso otras conexiones fijas es sólo del 7,6% sobre el total, mientras que, en el caso las empresas de 250 empleados o más, esta cifra se eleva al 49,2%.



Gráfico 8: Porcentaje de empresas con acceso a Internet por tipo de tecnología (% sobre el total de empresas con conexión a Internet)

24,7

%

92,4

%

5,2%

21,7

%

13,9

% 21,5

%

98,5

%

93,0

%

17,0

%

37,9

%

88,6

%

49,2

%

64,2

%

16,9

%

92,4

%

7,6%

95,2

%

19,3

%

18,7

%

94,6

%

17,3

%

99,6

%

17,9

%

26,6

%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Módem RDSI Banda ancha XDSL Otrasconexiones

fijas

Telefonía móvil


La tecnología de acceso a Internet que menos presencia tiene entre las empresas es la móvil: sólo la utiliza un 24,7%. Las restantes, banda ancha y xDSL, son utilizadas mayoritariamente por las empresas (más del 90%).

En conclusión, la implantación de tecnologías inalámbricas en las empresas puede resultar clave para su correcto funcionamiento en un mercado cada vez más competitivo y globalizado. Las organizaciones requieren movilidad, y depender de un enlace físico puede suponer un obstáculo para conseguirla. El uso de tecnologías inalámbricas permite añadir flexibilidad y aumentar la productividad y eficiencia de las actividades.

3.2 Hábitos, usos e incidencias de seguridad de los usuarios móviles en España

En la fase de trabajo de campo cualitativo, basada en la investigación bibliográfica y en las entrevistas realizadas, no se han encontrado fuentes públicas ni privadas que ofrezcan cifras rigurosas sobre el número de ataques que han recibidos los usuarios y las pymes por tipo de tecnología inalámbrica empleada.

Posiblemente, las razones que dificultan contar con este tipo de estudios son:

• El elevado número de tecnologías inalámbricas existentes. Esto obliga a la realización de un estudio por cada una de ellas, lo que complica la identificación de un universo representativo.



• Falta de formación. La rápida penetración de estas tecnologías y lo novedoso de muchas de ellas no ha permitido a muchos ciudadanos adquirir un conocimiento suficiente para responder a ciertas preguntas técnicas con rigor.

• Falta de concienciación de los ciudadanos. En la mayor parte de los casos, los ciudadanos y las propias pymes no aprecian suficientemente el valor de la información de la que disponen. Ninguno de estos colectivos se considera foco de un ataque dirigido, por lo que no son conscientes de las amenazas.

• Falta de denuncias. En general, estos ataques a ciudadanos o pymes no llegan a ser denunciados, por lo que no hay datos fiables sobre ellos.

Todas estas circunstancias hacen que sea muy difícil realizar un estudio cuantitativo sobre los incidentes de seguridad en tecnologías inalámbricas. En cualquier caso, es evidente que los ataques y vulnerabilidades a través de estos medios existen y se producen constantemente, como se deduce de la información facilitada por los expertos y de las entrevistas.

3.2.1 Ciudadanos

Según el panel de hogares de INTECO, la utilización de mecanismos de seguridad aplicados a tecnologías móviles es variable en función del tipo de dispositivo que se tenga.

Así, entre los internautas que afirman disponer de un móvil básico, sólo un 4,3% considera innecesario utilizar algún tipo de medida de seguridad. La más utilizada, por un 79,2% de los usuarios, es el PIN o código de seguridad para la tarjeta SIM. Además, un 19% afirma disponer de un código numérico o alfanumérico que hay que introducir tras un periodo de inactividad del terminal. Por último, un 26,2% tiene una copia de seguridad de los contactos de su teléfono móvil en su ordenador.



Gráfico 9: Utilización de medidas de seguridad en el teléfono móvil por usuarios en España

19,0%

26,2%

79,2%

4,3%

0% 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

No, no utilizo ninguna, nolo considero necesario

Contraseña para accederal terminal

Tengo una copia deseguridad de los contactos

de mi teléfono

PIN o código de seguridadpara la tarjeta SIM


Los usuarios de teléfonos móviles avanzados tienen la posibilidad de utilizar la comunicación inalámbrica a través de Bluetooth para la transmisión de datos y voz, como se verá en el epígrafe 3.3, “Clasificación de las tecnologías inalámbricas en función de su penetración y potencial de uso en el mercado español”. Aunque es un dispositivo en principio seguro, puede verse comprometido por los usos o pautas de seguridad utilizadas. Entre los internautas que disponen de un móvil avanzado, cinco de cada diez lo usan para transferir archivos o datos y un 23,9%, para conectarlo al “manos libres” del coche. Sólo un 6,2% señala que, aunque dispone de este recurso, no lo aprovecha.

Respecto a las pautas de seguridad seguidas con este tipo de tecnología, y por consiguiente, las probabilidades de incidencia, sólo un 20,9% de los usuarios afirma tener el Bluetooth siempre activado y listo para usar; un 6,6% tiene la precaución de tenerlo oculto, aun teniéndolo siempre encendido. Por el contrario, un 72,5% de los usuarios dice que lo conectan cuando lo necesitan para transferir archivos y después lo apagan.



Gráfico 10: Usos del Bluetooth en teléfonos móviles avanzados por usuarios en España

20,9%

72,5%

6,6%

0% 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Siempre encendido y listopara usar pero con el

dispositivo oculto

Siempre encendido y listopara usar

Lo enciendo cuando lonecesito para transferir

archivos y luego lo apago


Dada la propia naturaleza de los teléfonos móviles, otra situación de riesgo respecto a la seguridad de la información se deriva de la posibilidad de sustracción de los dispositivos. Así, un 65% de los usuarios no ha sufrido ningún incidente, frente al 16,8% al que le ha sido sustraído el teléfono móvil y el 1,4% que ha sufrido un robo del portátil.

Gráfico 11: Incidentes en dispositivos móviles de usuarios en España

1,4%

16,8%

18,0%

65,0%

0,8%

0% 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

He perdido mi ordenadorportátil

Me han sustraído miordenador portátil

Me han sustraído miteléfono móvil

He perdido mi teléfonomóvil

No he sufrido ninguno deestos incidentes


Los usuarios de dispositivos móviles (PDA, portátil o móvil avanzado) no utilizan redes inalámbricas en lugares públicos, salvo que conozcan la entidad prestadora del servicio o que la red esté protegida por una contraseña. Sólo un 23,4% de los usuarios se conecta sin tener en cuenta si la red de acceso está lo suficientemente securizada.



Gráfico 12: Usos de las redes inalámbricas en lugares públicos por usuarios en España

11,4%

11,7%

14,2%

23,4%

29,7%

9,7%

0% 10%

20%

30%

40%

50%

Sí, pero sólo cuando es necesario introducircontraseña y la conozco

Sí, pero sólo si la red pertenece a un local o entidadque conozco

No, no tengo ningún dispositivo móvil que permitaconexiones

No, nunca me conecto a redes inalámbricas

Sí, siempre que lo necesito

No, nunca uso redes distintas a la de mi domicilio


En cuanto a la seguridad de los accesos inalámbricos a Internet en el hogar, el 79,9% está protegido por una contraseña, protocolo de acceso u otro medio, mientras que el 12,2% de los usuarios no conoce la configuración de seguridad de su dispositivo y el 7,9% no considera necesario tener un sistema de seguridad.

Gráfico 13: Estado de la protección de accesos inalámbricos a Internet en el hogar

10,0%

12,2%

20,0%

23,9%

26,1%

7,9%

0% 10%

20%

30%

40%

50%

No, ninguno, no lo considero necesario

Sí, mi red está protegida del acceso de terceros conotro sistema

Desconozco si mi red está protegida del acceso deterceros

Sí, seguridad con el protocolo WPA

Sí, mi red está protegida pero desconozco el sistema

Sí, seguridad con el protocolo WEP


La ocupación de la red Wi-Fi por personas ajenas a sus propietarios sólo ha sido detectada a través de la herramienta de configuración del router. Un 5,2% de los usuarios




afirma haber descubierto a alguien usando su conexión sin su consentimiento, mientras que un 18,7% ha sospechado que en alguna ocasión alguien la utilizaba por ser esta muy lenta, sin poder comprobar dicha causa (ver Gráfico 14).

Gráfico 14: Estado de la protección de accesos inalámbricos a Internet en el hogar en España

5,2%

76,1%

18,7%

0% 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Algunas veces hesospechado que alguien

usaba mi conexión aInternet

Sí, he descubierto quealguien estaba usando mi

conexión sin miconsentimiento

No, sólo a gente que yohe autorizado o que no

me importa que seconecte


En relación con el robo de ancho de banda (ver Tabla 6), sólo el 14,5% de los internautas ha sufrido esta incidencia durante el último año, frente a un 80,6% que no lo ha sufrido nunca, y ello a pesar del elevado porcentaje de hogares españoles conectados a Internet mediante Wi-Fi (53%), frente al 34% de la Europa de los 2749.

Tabla 6: Incidencias de seguridad más recientes detectadas por los usuarios según momento en que se ha producido (% acumulados)

Incidencias Última semana

Último mes

Últimos tres

meses Último

año En alguna ocasión Nunca

Robo de ancho de banda Wi-Fi 8,1 11,7 10,4 14,5 19,4 80,6


49 Red.es. Observatorio de las Telecomunicaciones y la Sociedad de la Información: Actualidad europea sobre Sociedad de la Información, 2007). Disponible en http://observatorio.red.es/estudios/documentos/128_eurobarometro.pdf

http://observatorio.red.es/estudios/documentos/128_eurobarometro.pdf


3.2.2 Pequeñas y medianas empresas

El 77,3% de las pymes españolas ha declarado haber sufrido incidentes derivados del ataque de troyanos en 2007, y un 58,7%, de la recepción de spam. En menor medida, sólo el 3,1% ha tenido problemas de robos de información y un 1,9%, fraudes (ver Gráfico 15).

La situación es algo distinta en las grandes empresas. Un 80,4% ha sido atacado con spam, un 66,2% por virus informáticos y un 57% por software espía o spyware. En cambio, el mayor problema asociado a las pymes, el ataque de troyanos, ha tenido una incidencia considerablemente menor.

Gráfico 15: Comparativa de incidencias de seguridad

3,1%

1,9%

13,4%

3,9%

77,3%

19,5%

42,7%

58,7%

12,8%

16,4%

16,4%

19,6%

39,3%

57,0%

66,2%

80,4%

0,0% 20,0% 40,0% 60,0% 80,0% 100,0%

Robos de información

Fraudes

Intrusiones externas

Bombas lógicas

Troyanos

Software espía o spyware

Virus informáticos

Recepción de spam

PYME Gran Empresa


Los mecanismos de defensa que las pymes utilizan a nivel interno están principalmente basados en el software de protección o chequeo de virus, aunque depende del tamaño de la empresa. Así lo afirma el 97% de las organizaciones con conexión a Internet.

A este tipo de medida le siguen el uso de cortafuegos y el backup o copia de seguridad de los datos. Sus porcentajes de uso fluctúan nuevamente dependiendo del tamaño de las empresas; no obstante las empresas medianas recurren a estos mecanismos en un 68,8% y un 56,8%, respectivamente.



Gráfico 16: Porcentaje de empresas con conexión a Internet que usan servicios de seguridad a nivel interno (por tamaño de empresa, % sobre el total de empresas con acceso

a Internet)

97,0

%

71,1

%

45,9

%

61,7

%

20,0

%

96,8

%

68,8

%

43,5

%

58,6

%

17,8

%

98,4

%

82,4

%

57,7

%

76,7

%

29,4

%

99,3

%

92,7

%

73,6

%

92,8

%

52,2

%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

SW de protección ochequeo de virus

Cortafuegos Servidor seguro 'Backup' de datos 'Backup' de datosremoto

Total De 10 a 49 De 50 a 249 De 250 y más

Fuente: INE (2007)

Si se analizan las medidas de seguridad adoptadas por las empresas para hacer frente a los problemas derivados de las vulnerabilidades de los sistemas (ver Gráfico 17), el 82,4% de las empresas afirma haberlos actualizado en los últimos tres meses.

Gráfico 17: Porcentaje de empresas que han actualizado sus servicios de seguridad en los últimos tres meses (por tamaño de empresa, % sobre el total de empresas con acceso a

Internet)

82,4%

81,2% 88

,4% 95,6%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%


Fuente: INE (2007)



Entre los posibles motivos que justificarían estos elevados porcentajes están los problemas de seguridad ocasionados, la labor de concienciación llevada a cabo por las administraciones públicas o la importancia concedida a los datos por las propias organizaciones. Un análisis de los problemas originados en los últimos doce meses (ver Gráfico 18) muestra que, nuevamente, el tamaño de las empresas es un condicionante en el caso de los ataques de virus; la media de empresas con conexión a Internet afectadas es de un 14,9%, frente al 21,7% de empresas de más de 250 empleados. Respecto a los accesos no autorizados al sistema informático o a los datos de la organización y al fraude económico (por ejemplo, el phishing), no son problemas que en general les afecten, con independencia de su tamaño.

Gráfico 18: Porcentaje de empresas que han tenido algún problema de seguridad en los últimos doce meses (por tamaño de empresa, % sobre el total de empresas con acceso a

Internet)

14,9

%

1,8%

1,0%

14,5

%

1,7%

0,9%

16,4

%

1,7%

1,2%

21,7

%

2,3%

1,5%

0%5%

10%15%20%25%30%35%40%45%50%

Ataque de virus informático Acceso no autorizado al sistemainformático o a los datos de la

empresa

Fraude económico (p.e.,'phishing')


Fuente: INE (2007)

Esta situación se explica, básicamente, por el mayor nivel de exposición de la gran empresa (número de usuarios conectados a Internet, uso de las tecnologías de la información, etcétera) y por la menor protección de la pequeña empresa respecto a algunos incidentes de seguridad (existe un uso deficiente de las políticas de contraseñas y permisos en las pequeñas y medianas empresas españolas, que redunda en una mayor exposición al riego).

Se podría decir que, en general, las amenazas no distinguen entre tamaños de empresas y, por ello, el riesgo que es necesario gestionar, salvando las diferencias, puede ser el mismo.



Otro de los aspectos analizados es el nivel de implantación de las medidas de protección en los distintos tipos de empresas (Gráfico 19). La implantación de las medidas más tradicionales, como antivirus y cortafuegos, se mantiene en magnitudes muy similares en los distintos tipos de empresas (98,4%-98,9% en el caso de los antivirus y 90,3%-90,9% en el de los cortafuegos). Donde se aprecia una diferencia más significativa es en el uso de sistemas de copias de seguridad (99,6% para la gran empresa y 66,7% para la pyme) o de control de acceso (98,4%- 66,4%), así como de otras medidas como el filtrado de contenidos o la encriptación y cifrado de comunicaciones. Estas diferencias pueden explicarse en base al menor conocimiento de la pyme de tales medidas.

En general, se aprecia que en las grandes empresas el uso de las distintas medidas de seguridad está muy difundido (más del 80% de los casos); en cambio, en la pyme se observa una situación dispar en cuanto a la utilización de sistemas de protección. Teniendo en cuenta que el nivel de exposición al riesgo puede ser similar, el punto de partida de las grandes empresas para hacer frente a los problemas de seguridad presenta un mayor avance, a causa, probablemente, de los siguientes factores:

• En la gran empresa existe una mayor cultura de seguridad en cuanto al uso de las TIC.

• La gran empresa dispone de más recursos y personal dedicado a la implantación y mantenimiento de medidas de seguridad.

• Para la gran empresa, la oferta de productos y servicios de seguridad es más accesible desde el punto de vista económico.

Gráfico 19: Comparativa entre las medidas de seguridad utilizadas por pymes y grandes empresas

23,0%

31,3%

46,4%

66,4%

66,7%

67,6%

85,4%

90,9%

89,2%

93,2%

91,6%

98,4%

99,6%

82,3%

97,6%

98,9%90,3%

98,4%

0% 10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

Cifrado de comunicaciones

VPN/Encriptación

Seguridad de contenido

Autenticación de usuarios

Copia de seguridad

Software de evaluación de vulnerabilidades

'Antispam'

Cortafuegos

Antivirus

Pyme Gran Empresa Fuente: INTECO. Estudio sobre incidencias y necesidades de seguridad en las pequeñas y medianas

empresas españolas (Enero 2007)



3.3 Clasificación de las tecnologías inalámbricas en función de su penetración y potencial de uso en el mercado español

Una vez identificadas las diferentes tecnologías inalámbricas existentes, se presentan tanto aquellas con bajo nivel de penetración y bajo potencial de uso en el mercado español como las que actualmente tienen un alto nivel de penetración y alto potencial de uso. No obstante, la clasificación de las tecnologías en el estudio corresponde a un análisis de alto nivel de las existentes en los ámbitos WAN, MAN, LAN y PAN, en función de su nivel de obsolescencia y el potencial de uso en el mercado español.

Este análisis, de elaboración propia, se ha basado en la información recopilada en las entrevistas a expertos y en la investigación bibliográfica.

3.3.1 Tecnologías con bajo nivel de penetración y potencial de uso

Actualmente existen diversas tecnologías que no forman parte de la red española por diversos motivos: problemas de infraestructura, desarrollo en distintos continentes, falta de publicidad o apoyo, etcétera.

En la siguiente tabla se justifica brevemente el bajo nivel de penetración y potencial de uso de estas tecnologías. Es importante destacar la carencia de fuentes de información bibliográfica de prestigio respecto a ellas.

Tabla 7: Tecnologías con bajo nivel de penetración y potencial de uso en España

Nombre Explicación Tecnologías de la 0G y 1G

Están totalmente obsoletas.

CDMA2000 Se usa únicamente en Estados Unidos como alternativa a la red UMTS.

cdmaOne Fue desarrollada por una empresa de Estados Unidos y no tiene presencia en el continente europeo.

CSD Se usa únicamente en Estados Unidos y Australia, no en Europa.

Cordless Phone Tecnología antigua, muy madura, que sólo transmite voz.

D-AMPS Actualmente no se utiliza en Europa.

EDGE No está implantada en España por usar como alternativa UMTS/3G, aunque sí se utiliza en gran parte de Europa y en el resto del mundo.

Femtocell

No es una tecnología, sino la unión de dos. Pese a las previsiones (se estiman 17 millones de usuarios en Europa para el 2011 y 2.150 millones de usuarios para el 2012 en todo el mundo, según Abi Research y Ovum), aún es una tecnología muy incipiente.

FOMA/W-CDMA Se usa únicamente en Japón.

HIPERMAN No se comercializa en España.




Nombre Explicación HIPERLAN No se utiliza en España y su penetración en Europa es muy baja.

HSCSD No se utiliza en Europa.

HC-SDMA Se está empezando a extender en el sudeste europeo, pero actualmente no se comercializa en España.

iDEN Se utiliza sólo en Latinoamérica, no tiene presencia en Europa.

IrDA Su utilización es prácticamente nula, pues la comunicación necesita tener línea directa de visión.

LTE Se prevé su implantación en España en el año 201550.

Mobile FI Aún no se ha desarrollado en España y su implantación se prevé para después de 2015.

Mobile WiMAX

Actualmente no se comercializa en España, aunque ya existe algún producto para implementar una red WiMAX, pero se espera que en el corto/medio plazo se lancen al mercado soluciones de Internet con esta tecnología.

PDC Actualmente sólo se utiliza en Japón.

PHS Tiene presencia únicamente en países asiáticos.

TD-SCDMA Sólo tiene presencia en una parte del este de Asia.

UMA Actualmente su penetración es España es baja aunque, según datos de IDC, los proyectos UMA ya son una realidad en los operadores móviles.

UMB Actualmente no se comercializa en España. Según Abi Research 51, UMB podría tener un nivel de penetración en el mercado prácticamente nulo.

UMTS-TDD No se comercializa en España, pero sí en otros países europeos como Francia o Alemania.

WiBRO Sólo tiene presencia en países asiáticos.

Wireless-mesh

No se considera una tecnología pura, sino más bien una arquitectura. Actualmente está implantada en los aeropuertos de Madrid, Barcelona, Bilbao y Málaga y se pretende su utilización en los 19 aeropuertos españoles restantes antes de 2009 52.

Fuente: INTECO

3.3.2 Tecnologías con elevada penetración y potencial de uso

Considerando las variables utilizadas para esta clasificación, la Figura 3 muestra el posicionamiento de las tecnologías según su nivel de penetración y potencial de uso53.

50 Fundación OPTI. Op. cit. 32.

51 Disponible en http://www.abiresearch.com/home.jsp

52 Strixsystems: “Spanish Aviation Authority”. Junio 2006. Disponible en http://www.strixsystems.com/corporate/pressreleases/Spanish%20Airport%20Authority%20EPR%206_9_06_EPR%20_3_.pdf

http://www.abiresearch.com/home.jsp

http://www.strixsystems.com/corporate/pressreleases/Spanish%20Airport%20Authority%20EPR%206_9_06_EPR%20_3_.pdf

http://www.strixsystems.com/corporate/pressreleases/Spanish%20Airport%20Authority%20EPR%206_9_06_EPR%20_3_.pdf



Figura 3: Tecnologías con elevada penetración y potencial de uso en España

Nivel de penetración

Potencial de uso en el mercado español

+

+

-

-

GSMGPRS

WiMAX

BluetoothWi-Fi

UMTSHSPA

NFC

Nivel de penetración

Potencial de uso en el mercado español

+

+

-

-

GSMGPRS

WiMAX

BluetoothWi-Fi

UMTSHSPA

NFC

Fuente: INTECO

A continuación se describe brevemente cada una de ellas con el objetivo de justificar su adscripción a este grupo y ayudar al lector a comprender el análisis que se realizará en capítulos posteriores de las vulnerabilidades de estas redes y las soluciones de seguridad propuestas. Los parámetros considerados son su caracterización, velocidad, funcionamiento y penetración de mercado.

El análisis se basa en los resultados obtenidos de las entrevistas a expertos y de la investigación bibliográfica realizada.

Tecnología GSM

El Sistema Global para las Comunicaciones Móviles GSM se define como aquel servicio portador constituido por todos los medios de transmisión y conmutación necesarios que permiten enlazar dos equipos terminales móviles mediante un canal digital54 establecido específicamente para la comunicación, y que desaparece una vez que se ha completado la misma.

53 La representación gráfica de las mismas en distintos tamaños no supone que tengan más penetración ni uso en España.

54 La transmisión de información, en última instancia, se puede hacer de forma analógica o digital. Un canal/sistema/medio analógico es aquel que puede utilizar toda una gama de valores, propagándose de la misma manera que una onda en un estanque de agua. En cambio, si es digital, los valores que pueden tomar serán 0s o 1s (o una combinación de estos), como encendido o apagado, válido o inválido. Así, la voz es lógicamente una información, a priori, analógica y los archivos o información en sí son digitales.



Figura 4: Comunicación a través de tecnología GMS

GSMGSM

Fuente: INTECO

Caracterización

Esta tecnología utiliza modulación digital, permitiendo un bajo coste y una fiabilidad más alta. Emplea, sobre todo, las bandas de 900 y 1800 MHz, que se atenúan relativamente poco, lo que permite llegar a algunos kilómetros de distancia.

GSM es un estándar común, resultado de un acuerdo entre operadoras de telecomunicaciones europeas, lo que permitió desarrollar un sistema con un gran mercado y muchos teléfonos móviles muy baratos y fiables. Este estándar llegó a desplazar a una solución americana, el sistema AMPS, más caro y complejo.

Aunque es un sistema digital, está optimizado para transmitir voz55, en tiempo real. Una de las características que denota más flexibilidad es su funcionamiento, basado en el uso de tarjetas SIM (Subscriber Identity Module, Módulo de Identificación del Suscriptor), pertenecientes al grupo de tarjetas inteligentes o smart cards, que son las encargadas de almacenar las claves y la identificación del servicio del operador. Por ello, para cambiar la línea a otro teléfono tan sólo es necesario cambiar la tarjeta SIM de terminal.

Esta tecnología ofrece además servicios suplementarios de telefonía, como identificación del abonado llamante, redireccionamiento de llamadas, llamada en espera, terminación de llamadas de usuarios ocupados, grupos cerrados de usuarios, tarificación,

55 Fundación Telefónica: La Sociedad de la Información en España 2007. Disponible en http://www.fundacion.telefonica.com/publicaciones/memorias/memoria2007/index.html

http://www.fundacion.telefonica.com/publicaciones/memorias/memoria2007/index.html


mantenimiento de llamada, transferencia de llamada, multiconferencia, prohibición de determinadas llamadas desde un terminal o emisión de mensajes cortos SMS.

Velocidad

La velocidad de transmisión de la tecnología GSM oscila entre 9,6 Kbps y 14 Kbps en función de la cobertura que ofrezca la señal y la saturación de la red. En la práctica, la cobertura varía considerablemente dependiendo del terreno, la ubicación de la antena, las barreras que pudieran interferir la señal y los puntos de medición.

Funcionamiento

Los sistemas de telefonía móvil necesitan conseguir una amplia cobertura y una gran capacidad de tráfico con un número limitado de frecuencias. La reutilización sistemática de estas frecuencias se logra mediante las estructuras celulares.

Como muestra la Figura 5, los sistemas GSM funcionan dividiendo el área de cobertura geográfica de sus antenas en celdas distintas, adyacentes entre sí, conformando un bloque hexagonal. El terminal se conecta intuitivamente a la antena más cercana, que le ofrece la cobertura. Cuando un terminal GSM recibe una señal de mejor calidad de otra antena, se desasocia de la primera y se comunica con esa nueva celda.

Cuando un usuario cambia de celda al estar realizando una llamada, para no perder la comunicación por estar en movimiento, se hace imprescindible la comunicación entre las antenas de las celdas. Las celdas se comunican entre sí generalmente mediante cable y, a veces, de forma inalámbrica (es lo que se conoce por roaming entre celdas), para evitar que un terminal móvil pierda la comunicación al cambiar de celda con el movimiento.



Figura 5: Sistemas de celdas hexagonales GSM

Fuente: INTECO

Penetración

Según los datos presentados en el epígrafe 3.1, “Visión global del mercado”, se desprende que la penetración del GSM es muy alta, siendo de 110,1 líneas por cada 100 habitantes. Aun así, su potencial de uso es menor, pues con el paso de los años esta tecnología será sustituida por otras superiores, como las de tercera generación (3G).

Tabla 8: Análisis de penetración y potencial de uso de tecnología GSM

Tecnología Penetración Potencial de uso

GSM

Alto Bajo

Fuente: INTECO

Tecnología GPRS

Comparte el rango de frecuencias de la tecnología GSM, utilizando una transmisión en la que la información se fracciona en “paquetes” que viajan por la red por caminos distintos y posteriormente se reensamblan en la información original. La conmutación de paquetes es una técnica adecuada para transmitir datos, ya que sólo utiliza el canal de comunicación cuando están siendo enviados y permite el acceso simultáneo de otros usuarios (no se hace una reserva del canal determinado y fijo, como en los sistemas de




conmutación de circuitos56). En cambio, como en una transmisión de voz existe el requisito imprescindible de que la información llegue en el mismo instante en el que se produce, se debe realizar mediante conmutación de circuitos; por ejemplo, en el envío de un correo electrónico existe un margen permisivo de varios segundos o minutos para la recepción, pero dicho margen es inadmisible cuando se trata de una comunicación directa con otra persona.

Caracterización

Las características principales de GPRS son57:

• Conexión permanente. Al no requerir la conmutación de circuitos, el tiempo de establecimiento de conexión es inferior a un segundo.

• Un único canal es compartido por varios usuarios a la vez, mejorando así la eficiencia en la utilización de los recursos de red y admitiendo un mayor número de conexiones por antena.

• Posibilita el pago por cantidad de información transmitida, en lugar de por tiempo de conexión. Esto permite facturar al cliente de una manera más acorde a sus necesidades. Por ejemplo, el acceso a un buscador de Internet y la obtención de una respuesta por palabra clave supondría un consumo de 75 Kbps, y la consulta de la cartelera de cine y reserva de entradas online, entre 25 Kbps y 2 Mbts.

Velocidad

En GPRS la velocidad de transmisión de datos aumenta respecto a la tecnología GSM, alcanzando velocidades desde los 40 Kbps hasta un máximo de 115 Kbps por conexión (velocidad empírica obtenida en laboratorio).

Funcionamiento

Cuando un usuario desea enviar datos por GPRS, estos son encapsulados en paquetes de información que se envían indicando el origen y el destino. El proceso se realiza de una manera bastante simple, como se muestra en la Figura 6, siendo apenas necesario añadir infraestructura a la del GSM, tanto electrónica como de software. Los paquetes llegan a través de la red a su destino, donde se reagrupan para presentar la información

56 La conmutación de circuitos es la técnica que se suele utilizar en las llamadas telefónicas tradicionales. Su funcionamiento consiste en reservar una parte de la capacidad de transmisión del canal (el cable) para realizar una llamada; cuando finaliza, la reserva se libera, pero mientras está en curso permanece ocupando dicha parte del canal.

57 Bernel, G.: UMTS/3G, HSDPA y tecnologías inalámbricas. GPRS: el despliegue de la Internet móvil, Universidad Oberta de Catalunya. Disponible en http://www.umtsforum.net/mostrar_articulos.asp?u_action=display&u_log=44

http://www.umtsforum.net/mostrar_articulos.asp?u_action=display&u_log=44


en su forma original. Los paquetes utilizan un rango de frecuencias disponibles, lo que permite que un número elevado de terminales GPRS pueda compartir el mismo ancho de banda y la misma celda al mismo tiempo.

Figura 6: Funcionamiento GPRS

Radio base

Red GRPS

SGSNNodo

Gateway

SGSNNodo de Servicio

Internet

GTP Protocolo tunneling

Radio base

Red GRPS

SGSNNodo

Gateway


Red GRPS

SGSNNodo

Gateway


Internet

GTP Protocolo tunneling

Fuente: INTECO

Penetración

En la actualidad, todos los terminales GSM incorporan la tecnología GPRS para la transmisión de datos. Por tanto, la penetración de esta tecnología es la misma que la del GSM. En cuanto al potencial de uso, la mayoría de los terminales utilizan tecnología UMTS/3G para la transmisión/recepción de paquetes de datos a través de un operador, por lo que su potencial de uso es bajo.

Tabla 9: Análisis de penetración y potencial uso de la tecnología GPRS


GPRS

Alto Bajo

Fuente: INTECO

Tecnología UMTS

La tecnología UMTS (Universal Mobile Telecommunications System o Sistema Universal de Telecomunicaciones Móviles) es la utilizada por los móviles 3G en Europa y nació




como respuesta a la necesidad de transmisión de datos de alta velocidad. Hasta la fecha, las prestaciones ofrecidas por GPRS no ofrecían la suficiente velocidad como para considerarlo una alternativa de conexión a la red.

Caracterización

Algunas de las ventajas que ofrece UMTS58 son:

• Universalidad. Está diseñado para funcionar en todo el mundo, es compatible con GSM 900 y 1800y permite la itinerancia entre países, sin sufrir cortes en la comunicación (roaming).

• Lleva integrado un protocolo de transmisión de paquetes, por lo que dispone de conexión permanente a la red y puede facturar por volumen de datos transferidos.

• El ancho de banda de cada llamada se asigna de forma dinámica, con lo que se optimizan los recursos.

• Los servicios 3G combinan el acceso móvil de alta velocidad con los servicios basados en el protocolo IP. Esto no sólo conlleva una conexión rápida a la web, sino que permite realizar múltiples conexiones simultáneamente desde un mismo terminal móvil; por ejemplo, un usuario podría conectarse a una base de datos remota para obtener información sin necesidad de interrumpir una sesión de videoconferencia.

Velocidad

La principal ventaja de UMTS sobre la segunda generación móvil (2G) es la capacidad de soportar altas velocidades de transmisión de datos de hasta 144 Kbps sobre vehículos a gran velocidad, 384 Kbps en espacios abiertos de extrarradios y 2 Mbps con baja movilidad (interior de edificios). Esta capacidad y el soporte inherente del Protocolo de Internet (IP) se combinan poderosamente para prestar servicios multimedia interactivos y nuevas aplicaciones de banda ancha (vídeo, telefonía y videoconferencia).

Funcionamiento

La tecnología UMTS usa una comunicación terrestre basada en una interfaz de radio W-CDMA, conocida como UMTS Terrestrial Radio Access (UTRA). Para hacer posible la comunicación, esta se divide en paquetes de información, que viajan mezclados por la

58 Rojo, Iñaki: La gran apuesta 3G, 2001. Disponible en http://www.umtsforum.net/mostrar_articulos.asp?u_action=display&u_log=43

http://www.umtsforum.net/mostrar_articulos.asp?u_action=display&u_log=43



red. Cuando llegan a la estación de distribución, el análisis del código de los paquetes permite reunir los datos de cada conexión.

El grado de cobertura es menor al utilizar frecuencias en una banda mayor que GSM/GPRS (se puede transportar más cantidad de información, pero la señal se atenúa mucho más rápido con la distancia). Por este motivo, el tamaño de las celdas es menor y para cubrir la misma zona geográfica se requieren más estaciones base (antenas). Pero, a la vez, esta tecnología utiliza con mayor eficiencia las frecuencias, lo que permite conectar un mayor número de usuarios simultáneamente por antena.

Penetración

A pesar de que su tasa de penetración se encuentra actualmente en un nivel medio, su potencial de uso en el mercado español es alto. Según datos de la CMT59, en el año 2006 ya existían 3,4 millones de terminales UMTS, con un total de 16.020 estaciones base, y en el tercer trimestre de 2007 se llegó a los 8,7 millones de usuarios60.

Tabla 10: Análisis de penetración y potencial uso de la tecnología UMTS


UMTS

Alto Bajo

Fuente: INTECO

Tecnología HSPA (HSUPA y HSDPA)

La tecnología HSPA la constituyen las tecnologías inalámbricas HSDPA y HSUPA, que se definen por separado haciendo hincapié en la HSPDA, la más utilizada en España.

La tecnología HSDPA (High Speed Downlink Packet Access) es la optimización de la tecnología espectral UMTS/WCDMA, incluida en las especificaciones de 3GPP Release 5. Consiste en un nuevo canal compartido en el enlace descendente (downlink) que mejora significativamente la capacidad máxima de transferencia de información.

Así como el HSDPA mejora la percepción del cliente para los servicios de datos que hacen uso de las descargas desde la red al terminal, el High Speed Packet Uplink Access 59 CMT (2007). Op. cit. 39.

60 Del Castillo, I.: “La banda ancha móvil supera en nuevos clientes a la fija”, Expansión, noviembre de 2007. Disponible en http://www.expansion.com/edicion/exp/empresas/telecomunicaciones/es/desarrollo/1059146.html

http://www.expansion.com/edicion/exp/empresas/telecomunicaciones/es/desarrollo/1059146.html


(HSUPA) hace lo propio con el envío de datos desde el terminal hacia la red. La combinación de HSDPA y HSUPA se denomina HSPA (High Speed Packet Access); es útil para usuarios que envían ficheros multimedia directamente a otros, para quienes deben enviar grandes cantidades de información con imágenes o vídeos en tiempo real, como los periodistas, etcétera. Asimismo, el retardo global del sistema se reduce también, mejorando la percepción del usuario de los servicios de datos.

Caracterización

La tecnología HSDPA consigue esta mejora gracias a una serie de técnicas empleadas en la interfaz radio, como son:

• Transmisión en canal compartido. Se introduce un nuevo canal de transporte en el enlace descendente denominado HS-DSCH (High Speed Downlink Shared Channel). Con ello, los usuarios comparten una serie de recursos utilizados por la radio (como los códigos de canal y la potencia) de forma dinámica en el tiempo, con lo que se consigue una mayor eficiencia. Asimismo, los intervalos utilizados para cada transmisión son más cortos (2 metros).

• Adaptación rápida del enlace. La velocidad de transmisión de datos varía de forma rápida según las condiciones del canal de radio. Este método es más eficiente para los servicios que pueden tolerar este tipo de variaciones en periodos muy cortos, y para compensar las degradaciones de la radio mediante un aumento de la potencia de la señal (que es lo que se hacía hasta ahora).

• Retransmisiones rápidas. Los datos que se reciben de forma errónea, debido a las condiciones de propagación, se solicitan de nuevo al transmisor para su corrección.

• Programación rápida de transmisiones (fast scheduling). Según las condiciones radioeléctricas en las que se encuentra cada usuario, se programa el orden en que debe transmitir cada uno. Con ello, se consigue un uso más eficiente de los recursos compartidos.

Al tratarse de servicios de datos, los terminales serán principalmente, como se muestra en la Figura 7, tarjetas PCMCIA o módem USB para ordenadores portátiles.




Figura 7: Dispositivo HSPA

Fuente: UMPC PORTAL

Velocidad

Con el HSDPA, la velocidad de transmisión aumenta hasta un máximo teórico de 14 Mbps (que, en condiciones normales de funcionamiento supone unos 3 o 4 Mbps), pudiéndose hablar ya de aplicaciones de alta velocidad en movilidad. Los mecanismos que hacen posible el HSUPA son semejantes a los descritos para el HSDPA. Con ello, se consigue pasar de los 384 Kbps a los 5,76 Mbps (máximo teórico posible).

Funcionamiento

HSPA utiliza la misma estructura que UMTS, pero hace una utilización bastante más eficiente de la infraestructura. Además, se considera como un UMTS multienlace, pues utiliza varios canales UMTS para transmitir y recibir la información, consiguiendo así las altas tasas de transmisión que lo caracterizan.

Actualmente no se dispone de una información detallada de esta tecnología en cuanto a descripción y funcionamiento, debido a que la evolución del protocolo se encuentra congelada desde marzo de 200261.

Penetración

HSPA ofrece cobertura en ciudades pobladas, según datos de la CMT, en diciembre de 2007 se alcanzó un volumen de tarjetas o datacards de HSDPA/UMTS de 324.647

61 Telefónica I+D: Las telecomunicaciones multimedia. Madrid, 2003. Disponible en http://www.tid.es/documentos/libros_sector_telecomunicaciones/tel_multimedia.pdf

http://www.tid.es/documentos/libros_sector_telecomunicaciones/tel_multimedia.pdf



unidades para un total de 14 millones de habitantes, de las cuales 276.444 eran de UMTS y 48.203, de HSDPA. Sin embargo, esta tecnología lleva menos de un año en el mercado, por lo que aún no se disponen de datos fiables de penetración.

Actualmente, HSPDA es ofrecida por todos los operadores a nivel nacional. La clave por la que esta tecnología se está adoptando cada vez más es su facilidad para instalarse en la redes actuales, ya que sólo se necesita la actualización del software; por ello, su potencial de es bastante alto.

Tabla 11: Análisis de penetración y potencial de uso de la tecnología HSPA


HSPDA

Alto Bajo

Fuente: INTECO

Tecnología WLAN (protocolo 802.11 o Wi-Fi)

De forma paralela al desarrollo de la tecnología GSM, a partir de los años noventa, tanto en Europa como en Estados Unidos, comenzaron a estandarizarse una serie de sistemas para sustituir a las redes de área local cableadas con soluciones basadas en radio, bajo la denominación del estándar IEEE 802.11.

El estándar IEEE 802.11 evolucionó hacia una familia de estándares que se distinguen con una letra minúscula (Ej. 802.11g) y que tienen diferencias entre sí, a veces importantes, o que consideran aspectos diversos, como la seguridad o la interconexión62.

Por otra parte, la Wireless Ethernet Compatibility Alliance63 (WECA) decidió otorgar un sello de calidad a ciertos productos 802.11. El sello, denominado WiFi o Wi-Fi, se popularizó, por lo que el estándar también se conoce con este nombre.

Caracterización

Esta tecnología inalámbrica es en sí misma la versión sin cables de las redes de área local. Su finalidad es ofrecer los mismos servicios, pero con la ventaja de no tener que

62 Fundación Telefónica (2007). Op. cit. 55.

63 Organización comercial americana de fabricantes creada en 1999 con el fin de fomentar la compatibilidad entre tecnologías Ethernet inalámbricas bajo la norma 802.11 del IEEE. WECA cambió de nombre en 2003, pasando a denominarse Wi-Fi Alliance. Disponible en http://wifialliance.org/

http://wifialliance.org/



usar ningún tipo de cableado. Por tanto, y dado que el medio compartido está libre y es accesible por cualquier dispositivo que pueda funcionar en la misma frecuencia, los aspectos referentes a la seguridad cobran una mayor relevancia en esta tecnología con respecto a las redes de área local cableadas.

Velocidad

La velocidad de conexión en una red inalámbrica como máximo alcanza 100 Mbps. Esta velocidad tiene una alta dependencia de los dispositivos que se utilicen para la conexión, que han de ser del mismo fabricante (punto de acceso y tarjeta inalámbrica) y con un nivel de interferencia nulo (sin ruido en el ambiente)64.

Funcionamiento

WLAN ofrece tres modos de funcionamiento:

1) Modo infraestructura. Es el modo más común. Consiste en un punto de acceso inalámbrico conectado a una red; los dispositivos inalámbricos (portátiles y PDA) se conectarían a través de este punto de acceso.

2) Modo ad-hoc. Los dispositivos inalámbricos se asocian entre sí, por lo que no existe ningún elemento intermedio.

3) Modo puente o bridge. Esta configuración permite a los routers compartir la señal, a modo de repetidor, de manera que se amplíe el rango de cobertura de la señal Wi-Fi. Esta opción no está muy extendida y desarrollada, y por tanto, no es válida en todos los escenarios (no funciona entre routers distintos de determinados fabricantes).

64 Peñafiel, Carlos (2006). Op. cit. 35.


Figura 8: Arquitectura básica de una red WLAN en modo infraestructura

Pocket PCUbicación: cualquier punto de la empresa o domicilio

ServidorUbicación: cualquier punto de la empresa o domicilio

PortátilUbicación: cualquier punto de la empresa o domicilio


Router wirelessUbicación: cualquier punto de la empresa o domicilio

Pocket PCUbicación: cualquier punto de la empresa o domicilio

ServidorUbicación: cualquier punto de la empresa o domicilio



Router wirelessUbicación: cualquier punto de la empresa o domicilio

Fuente: INTECO

Penetración

Es una tecnología inalámbrica utilizada prácticamente de forma masiva a nivel mundial. Tanto los equipos intermedios como los terminales y los dispositivos de acceso son desarrollados por muchas y muy diversas empresas.

Dada la alta aceptación de Internet y la facilidad, comodidad y amigabilidad que representa, esta tecnología se considera clave dentro del grupo de inalámbricas. De hecho, el concepto de red inalámbrica generalmente se asocia a las redes Wi-Fi, olvidando que este concepto engloba también otras tecnologías.

Según un informe del Observatorio Wireless, los puntos de acceso en España en octubre del año 2006 alcanzaron los 102.950, lo que supuso un crecimiento del 80,9% desde marzo de es mismo año (ver Tabla 5). Estas cifras representan un aumento significativo en el uso de esta tecnología, lo que podrían suponer un importante crecimiento en esta línea y, por consiguiente, un potencial de uso muy alto.

Tabla 12: Análisis de penetración y potencial uso de la tecnología Wi-Fi


Wi-Fi

Alto Bajo

Fuente: INTECO




Tecnología WiMAX

De forma muy general, se puede decir que WiMAX opera de manera muy similar a WLAN, ya que es una alternativa a la comunicación mediante ondas de radio para el enlace DSL, es decir, para la conexión entre el hogar y el proveedor de servicios de Internet. Por este motivo, se utilizó inicialmente para la telefonía y el acceso a Internet, principalmente en entornos rurales o lugares donde un despliegue de cable no resultaba rentable o posible para un operador.

Caracterización

El protocolo WiMAX sigue el estándar IEEE 802.16, nombre que le ha dado el WiMAX Forum65. Presenta algunas características particulares, como el control de calidad del servicio y el uso de espectro reservado, que pueden hacer frente al WLAN en algunos escenarios.

Podría ser considerado como un sistema de comunicaciones móviles alternativo de alta capacidad, pero para ello se deberían resolver los problemas de atenuación y distorsión de las señales y el coste de las infraestructuras.

La diferencia fundamentale respecto a WLAN es que WiMAX ofrece una velocidad superior, a grandes distancias, y para un número de usuarios mucho mayor. Teóricamente hablando, WiMAX elimina las barreras geográficas que impiden que el proveedor de servicios de Internet pueda desplegar su infraestructura para proporcionar servicio (ya sea por el coste asociado o por limitaciones físicas reales).

Velocidad

La tecnología WiMAX puede transmitir a una velocidad de 75 Mbps en su versión fija (IEEE 802.16a) o de 15 Mbps en la móvil (IEEE 802.16e)66.

Funcionamiento

Una red WiMAX está formada por dos elementos:

• Una torre WiMAX, que sigue la misma filosofía que las redes celulares GSM. Se estima que este tipo de torre puede proporcionar cobertura de hasta 50 kilómetros de radio. Además, la torre puede estar conectada directamente a Internet

65 Es un consorcio de empresas (inicialmente 67 y hoy en día más de 500) dedicadas a diseñar los parámetros y estándares de esta tecnología, y a estudiar, analizar y probar los desarrollos implementados. Disponible en http://www.wimaxforum.org/home

66 Fundación OPTI. Op. cit. 32.

http://www.wimaxforum.org/home/



mediante una banda ancha, o incluso a otra antena WiMAX usando una línea de visión directa mediante microondas

• Un receptor WiMAX. El receptor de esta señal puede ser un pequeño receptor o una tarjeta PCMCIA, o incluso puede estar integrado dentro de los ordenadores portátiles, como pretenden hacer varios fabricantes de tecnología.

En la siguiente figura se puede apreciar el funcionamiento de una red WiMAX.

Figura 9: Funcionamiento de la tecnología WiMAX

Red del proveedor de

servicio

Internet

Torre WiMAX

Comunicación por línea de división

Red de área local

Red del proveedor de

servicio

Internet

Torre WiMAX

Comunicación por línea de división

Red de área local

Fuente: How WiMAX works. Ed Grabianowski y Marshall Brain 67

El usuario puede conectarse de dos maneras:

• Conectando una antena a su dispositivo (generalmente ordenador portátil, aunque podría ser cualquiera), que se enlazaría directamente con la antena WiMAX.

• De manera más eficiente, mediante una antena parabólica o router intermedio que se podría colocar por ejemplo, en el tejado de la vivienda y que haría de hub (intermediador) entre la torre WiMAX y el dispositivo. Este escenario es más común porque, además de ser más eficiente, ofrece al usuario una conectividad WLAN con el router (que actúa en modo WiMAX y WLAN).

Penetración

Esta tecnología está implantada en algunas zonas rurales de Andalucía y Aragón, País Vasco, Castilla y León, Alicante y algunas poblaciones de Madrid (como Alcorcón), y se 67 Brain, Marshall y Grabianowski, Ed: “How WiMax Works”. Disponible en http://computer.howstuffworks.com/wimax1.htm

http://computer.howstuffworks.com/wimax1.htm



espera que llegue a zonas rurales de Cataluña y Navarra, donde ya existe un importante operador global que ha resultado adjudicatario de concursos públicos para el despliegue de nuevas redes de telecomunicaciones de banda ancha sin cobertura ADS68. En el mercado español ya existen operadores con más de 40.000 abonados69, y se espera que en el ámbito mundial haya 150 millones de usuarios WiMAX en 200870. Por todo ello, esta tecnología tiene actualmente un nivel medio de penetración y potencial de uso en España.

Tabla 13: Análisis de penetración y potencial uso de tecnología WiMAX


WiMAX

Alto Bajo

Fuente: INTECO

Tecnología Bluetooth

El Bluetooth vendría a ser el nombre común de la especificación industrial IEEE 802.15.1, que define un estándar global de comunicación inalámbrica que posibilita la transmisión de voz y datos entre diferentes dispositivos mediante un enlace por radiofrecuencia segura, globalmente y sin licencia de corto rango.

Esta tecnología nació a mediados de los noventa como un proyecto para investigar la viabilidad de una interfaz de radio de bajo coste y bajo consumo para la interconexión entre teléfonos móviles y otros dispositivos (ordenadores, impresoras, etcétera), con la intención de eliminar cables de conexión entre dispositivos.

Conforme este proyecto iba avanzando, se observaba que esta interfaz se podía utilizar en un gran número de aplicaciones, ya que el chip de radio (elemento principal y núcleo del dispositivo) era relativamente barato.

Caracterización

68 Expansión: “Iberbanda comienza las pruebas de la tecnología WiMAX en España”. Septiembre de 2006. Disponible en http://www.expansion.com/edicion/exp/empresas/telecomunicaciones/es/desarrollo/1059146.html

69 Maravedis, Telecom Market Research & Analysis: WiMAX and Broadband Wireless (Sub-11GHz) Worldwide Market Analysis and Trends 2006-2012. 2006.

70 Intel (2008): Seminario Consumer Electronics Show (CES).

http://www.expansion.com/edicion/exp/empresas/telecomunicaciones/es/desarrollo/1059146.html



Los dispositivos que con mayor intensidad utilizan esta tecnología las PDA, teléfonos móviles, ordenadores portátiles y personales, impresoras y cámaras digitales y manos libres (telecomunicaciones e informática personal).

Las principales características de esta tecnología son:

• Puede cubrir una distancia de hasta diez metros de radio y transmitir voz y datos.

• Facilita las comunicaciones entre equipos móviles y fijos.

• Elimina los cables y los conectores existentes entre ellos.

• Ofrece la posibilidad de crear pequeñas redes inalámbricas y facilita la sincronización de datos entre los equipos personales.

Velocidad

La velocidad de transmisión actual de Bluetooth es de 1Mbps, aunque existen estudios que señalan que su velocidad podría alcanzar los 100 Mbps71.

Funcionamiento

Bluetooth opera en un rango de frecuencias comprendido entre los 2400 y 2483,5 MHz. Al igual que en IP (Protocolo de Internet), los datos se transmiten en pequeños paquetes.

Estas redes están diseñadas para interconectar un máximo de hasta ocho periféricos, tal y como se puede ver en la siguiente figura. Cada dispositivo puede configurarse como maestro o esclavo. Los maestros son los encargados de dirigir el tráfico entre ellos mismos y los esclavos; además, cada maestro puede estar conectado con otras redes Bluetooth y, como puede haber varios maestros en una misma red, se pueden interconectar hasta un máximo de diez redes entre sí de forma encadenada. Esto da un máximo de 72 dispositivos Bluetooth que pueden operar simultáneamente.

Finalmente, hay hasta veinte perfiles distintos y tres tipos de enlaces que pueden actuar de modo distinto. Los perfiles controlan el comportamiento del dispositivo Bluetooth y los enlaces asignan los modos de transmisión entre dispositivos. De todos estos perfiles, sólo trece son usados hoy en día. Algunos son genéricos, como el que permite que los periféricos se reconozcan entre sí, y otros tienen usos más específicos y pueden ser opcionales. La elección del tipo de enlace dependerá de lo que se quiera transmitir.

71 El País: “Bluetooth aumenta la velocidad de transmisión a 100 Mbps: Banda ancha en Bluetooth a finales de 2007. La tecnología inalámbrica aumentará su capacidad de transmisión hasta 100 Mbps para que se pueda enviar audio y vídeo de alta definición, según ha anunciado el organismo que regula sus especificaciones. El sistema estará basado en ultrawideband (UWB), tecnología de radio desarrollada por la Alianza Wimedia (Microsoft, Intel, HP...)”.



Algunos autores defienden la idea de que el Bluetooth ha sido la evolución natural de la comunicación por infrarrojos (IrDA), dados los problemas que esta presentaba por el alcance máximo, que era de dos metros, y porque la comunicación estaba limitada a sólo dos participantes; y que además necesitaban visibilidad directa para poderse comunicar.

La siguiente figura muestra el funcionamiento de esta tecnología.

Figura 10: Funcionamiento de la tecnología Bluetooth

Fuente: INTECO

Penetración

Actualmente es una tecnología con una elevada tasa de penetración y potencial de uso, pues se utiliza en la mayoría de las comunicaciones de manos libres o conexión de dispositivos para conectar al ordenador todo tipo de equipos como las PDA, cámaras fotográficas, teclados, o simplemente, para conectar los auriculares al teléfono. El hecho de que la mayoría de los dispositivos móviles lleven incorporada esta tecnología ha marcado la diferencia a la hora de establecer un método de conexión entre los terminales y los ordenadores personales. Según datos de MindTree Consulting, se espera que en el año 2011 haya 1.739 millones de dispositivos Bluetooth en el mundo72.

Tabla 14: Análisis de penetración y potencial uso de la tecnología Bluetooth


72 MindTree Consulting. Disponible en http://www.arc.com/configcon/israel/pdfs/wireless-track/2%20MindTree_ARCv1%202.pdf

http://www.arc.com/configcon/israel/pdfs/wireless-track/2%20MindTree_ARCv1%202.pdf

http://www.arc.com/configcon/israel/pdfs/wireless-track/2%20MindTree_ARCv1%202.pdf



Bluetooth

Alto Bajo

Fuente: INTECO

Tecnología NFC

Near Field Communications o NFC es una tecnología inalámbrica de interconexión de dispositivos que opera a la frecuencia de 13,56 MHz (banda en la que no se necesita licencia administrativa). Se usa para conexiones wireless y permite a un dispositivo leer una pequeña cantidad de información de otros dispositivos cuando ambos se encuentran muy cerca (aproximadamente 10 centímetros). Esto puede ser interpretado como una ventaja a la hora de utilizar servicios que implican privacidad, como puede ser el caso del pago de un servicio.

Surge de la evolución de la tecnología de identificación de dispositivos por radiofrecuencia (RFID73), incluyendo funciones de las tecnologías de interconexión de redes y de tarjetas inteligentes.

Como respuesta a la opinión de los expertos consultados, se ha excluido de este análisis la tecnología RFID, a pesar de su actual nivel de uso en el mercado español y tasa de penetración, porque corresponde a una comunicación en un único sentido. Es decir, tan sólo se realiza una lectura por parte de un participante hacia otro, por lo que la capacidad de cómputo de información por parte del emisor es escasa y su análisis no generaría la profundidad suficiente en comparación con las demás tecnologías seleccionadas.

Las empresas de gran consumo son las candidatas a utilizar esta tecnología para agilizar y gestionar sus procesos de inventariado, por lo que, en un futuro, su uso podría aumentar considerablemente. Según IDtrack74, el 30% de las empresas en España ha implementado estas tecnologías, ya sea a nivel de piloto, despliegue, proyecto restringido a un área o proyecto global. Además, un 33,3% de las utiliza hace más de tres años, por lo que su grado de madurez es suficiente para que un porcentaje significativo plantee su

73 Radio Frequency Identification (RFID): es como un código de barras sin cables y su propósito fundamental es transmitir la identidad de un objeto (similar a un número de serie único) mediante ondas de radio. Un lector se comunica con una etiqueta con un número de identificación digital en un microchip, por lo que los posibles usos son mucho más limitados que en NFC, principalmente porque no existe la capacidad de procesamiento de información en el lado de la etiqueta. Se agrupan dentro de las denominadas Auto ID (Automatic Identification o Identificación Automática).

74 IDtrack (2007): El estado actual de RFID en España. En colaboración con IBM. Disponible en http://www.idtrack.org/IDtrack/estudios/Estudio_Estado_rfid_espana_IDtrack.pdf

http://www.idtrack.org/IDtrack/estudios/Estudio_Estado_rfid_espana_IDtrack.pdf



implementación a corto o medio plazo. Para IDTechEx, RFID facturará en 2008 7.000 millones de dólares en etiquetas75, cifra que alcanzará los 26.880 millones en 201776.

Caracterización

La tecnología NFC está principalmente orientada a los teléfonos móviles y permite, a través de un microchip incorporado en una tarjeta, emitir y capturar información con receptores cercanos.

Las interacciones con el contacto de una base ofrecen al usuario de un terminal móvil una forma sencilla de conectar, procesar y compartir información con otros dispositivos, móviles o de cualquier otro tipo77.

En cuanto a los beneficios de esta tecnología, permite compartir información digital entre dos dispositivos tan sólo acercándolos, sin necesidad de conectarlos físicamente.

Velocidad

Las velocidades de transmisión soportadas actualmente son de 106, 212 y 424 Kbps.

Funcionamiento

NFC se compone principalmente de dos partes: un terminal y una fuente.

• El terminal es un dispositivo móvil (teléfono, PDA, etcétera) capaz de transmitir (vía NFC) y procesar información una vez ha detectado que hay un dispositivo fuente cerca de él (a varios centímetros).

• El dispositivo fuente actúa de lector, activando el chip NFC que el dispositivo móvil lleva incorporado.

Cuando se activa la fuente, esta emite una señal de radio de corto alcance que activa un microchip en la etiqueta NFC, lo que permite la lectura de una pequeña cantidad de datos que pueden ser almacenados, tal y como se muestra en la Figura 11.

75 PR Newswire Europe Ltd. Febrero 2008. Disponible en http://www.prnewswire.co.uk/cgi/news/release?id=140442

76 Portillo, J, Bermejo A.B., Bernardos Ana M., Martinez, I: Informe de vigilancia tecnológica. Tecnología de identificación por radiofrecuencia (RFID): aplicaciones en el ámbito de la salud. Colección de Informes de Vigilancia Tecnológica madri+d, 2007. Disponible en www.madrimasd.org/tic/Informes/Downloads_GetFile.aspx?id=7913

77 MKM Publicaciones: Tecnología NFC (Near Fields Communications) para móviles Nokia. Junio 2007. Disponible en http://www.mkm-pi.com/mkmpi.php?article341

http://www.prnewswire.co.uk/cgi/news/release?id=140442

http://www.mkm-pi.com/mkmpi.php?article341



Figura 11: Funcionamiento de la tecnología NFC

Fuente: Vivotech

Un móvil equipado con la tecnología NFC puede acceder fácilmente a servicios o realizar operaciones con distintas aplicaciones del terminal. El usuario puede compartir información o contenido digital, acercando los dos dispositivos que incorporan esta tecnología a corta distancia. Cuando el usuario aproxima un dispositivo NFC, el lector lee el contenido y lo convierte en acción; el usuario sólo tiene que aceptarla.

Penetración

A pesar de contar con un nivel de penetración todavía incipiente, el potencial de uso en España es elevado por los múltiples servicios que se pueden desarrollar con esta tecnología, como el pago a través del teléfono móvil. Según Abi Research, el 50% de los dispositivos móviles del mundo tendrán NFC en 200978.

Tabla 15: Análisis de penetración y potencial uso de la tecnología NFC


NFC

Alto Bajo

Fuente: INTECO

78 Movilsur.com: El futuro de las tecnologías Near-Field Communications (NFC), 2008. Disponible en http://www.movilsur.com/index.php/2008/04/29/el-futuro-de-al-tecnologia-near-field-communications-nfc/

http://www.movilsur.com/index.php/2008/04/29/el-futuro-de-al-tecnologia-near-field-communications-nfc/


4 PROBLEMAS DE SECURIZACIÓN EN REDES INALÁMBRICAS

Para entender la problemática de las redes inalámbricas, se definirá en primer lugar qué se entiende por una red segura.

Las redes inalámbricas en general presentan una serie de requisitos (en adelante, dimensiones de seguridad) que deben cumplir para ser catalogadas como seguras, aunque la seguridad total sólo existiría si no hubiese conexión a la red.

La seguridad de las redes inalámbricas no debería constituir un esfuerzo mayor que los beneficios que se obtengan de ella, por lo que es necesario analizar correctamente el valor de los datos y de la disponibilidad de la información, el coste de las medidas de seguridad y de perder presencia o imagen en el mercado, entre otros.

En este capítulo se desarrolla la cuestión de la securización de las redes en función de sus dimensiones de seguridad en general y las vulnerabilidades de cada tecnología inalámbrica, considerando sólo aquellas con elevada penetración y alto potencial de uso.

4.1 Análisis de vulnerabilidades de las redes a nivel global

En general, la mayor parte de las fuentes bibliográficas consultadas establecen que las redes, cableadas o inalámbricas, son seguras cuando cumplen adecuadamente con cuatro dimensiones: autenticación (A), confidencialidad (C), integridad (I) y disponibilidad (D).

Adicionalmente, en la información presentada en la norma ISO/IEC 18028-2:2006 y en las entrevistas realizadas a empresas de seguridad nacionales e internacionales se recomienda incorporar dos nuevas variables: control de acceso (CA) y no repudio (NR). Ambas dimensiones se consideran fundamentales para analizar la seguridad de las redes, sobre todo de las inalámbricas.

El nivel de seguridad de una red estará determinado en cierta medida por el grado de cobertura de cada una de las dimensiones de seguridad citadas.

Si se compara el impacto de estas dimensiones en las redes inalámbricas y cableadas, se puede comprobar que en las inalámbricas el control de acceso y la disponibilidad cobran una mayor importancia:

• Para detectar una red LAN, las redes cableadas tienen que encontrar un punto de acceso físico, mientras que las redes inalámbricas sólo necesitan una conexión a Internet wireless disponible (control de acceso).



• En cuanto a la disponibilidad, en el caso de las redes con hilos cualquier asaltante que quiera atacarlas debe conectarse a la red con un cable, pero con una WLAN no es necesario detectar un punto de acceso físico, sino que basta con que una tarjeta de red lo haga.

La información de este capítulo se ha basado en las entrevistas realizadas, la opinión de los expertos y las fuentes bibliográficas consultadas como referencia.

4.1.1 Dimensiones de seguridad y vulnerabilidades

La siguiente tabla presenta las dimensiones de seguridad afectadas por cada posible ataque.

Tabla 16: Ataques por dimensión de seguridad

Autenticación Confidencialidad Integridad Disponibilidad Control de acceso

No repudio

Barrido de Frecuencias NO NO NO NO SÍ –

Sniffing NO SÍ NO NO NO – Spoofing SÍ NO NO NO NO – Hijacking SÍ NO NO NO NO – Mecanismos de ingeniería social

SÍ SÍ NO NO NO –

Confianza transitiva SÍ NO NO NO NO –

Creación de un puente SÍ NO NO NO NO –

Adivinación de contraseñas

SÍ NO NO NO NO –

Explotación de errores o fallos (bugs) de software

NO NO NO SÍ NO –

Denegación de servicio NO NO NO SÍ NO –

Mensajes de control de red

NO NO NO SÍ NO –

Interferencia/ inhibición NO NO NO SÍ NO –

Ataques dirigidos por datos

NO SÍ NO NO NO –

Caballo de troya NO SÍ NO NO NO –

Enrutamiento fuente NO SÍ SÍ NO NO –

Evil Twin NO SÍ NO NO NO – Man in the Middle NO SÍ NO NO NO –




Autenticación Confidencialidad Integridad Disponibilidad Control de acceso

No repudio

Modificación de datos NO NO SÍ NO NO –

Fuente: INTECO

A continuación se describen cada una de estas dimensiones, las principales vulnerabilidades asociadas a ellas y las consecuencias de un posible ataque.

Autenticación

Se define en múltiples fuentes:

• Según el Real Decreto 994/1999, es un procedimiento de comprobación de la identidad de un usuario.

• Según las directrices de la Organización para la Cooperación y el Desarrollo Económico (OCDE) para una política criptográfica, es una función para el establecimiento de la validez de la supuesta identidad de un usuario, dispositivo u otra entidad en un sistema de información o comunicaciones.

• Según la ISO 7498-2, es un servicio de seguridad que garantiza que el origen de datos, o entidad homóloga, son quienes afirman ser.

• Según la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (Magerit) del Ministerio de Administraciones Públicas79, es una característica de dar y reconocer la autenticidad de los activos del dominio (de tipo información) y/o la identidad de los actores y/o la autorización por parte de los autorizadores, así como la verificación de dichas tres cuestiones.

• Según el Consejo Superior de Administración Electrónica del Ministerio de Administraciones Públicas80, es la capacidad de verificar que un usuario que accede a un sistema o aplicación es quien dice ser, tras haberse identificado convenientemente; o que un usuario que ha generado un documento o información es quien dice ser.

79 Ministerio de Administraciones Públicas (2006): Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información (MAGERIT). Ministerio de Administraciones Públicas, Versión 2.0, Disponible en http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

80 Ministerio de Administraciones Públicas (2004): Criterios de seguridad, normalización y conservación de las aplicaciones utilizadas para el ejercicio de potestades. Colección Informes y Documentación. Serie Administración del Estado. Disponible en http://www.csi.map.es/csi/pg5c10.htm

http://www.csi.map.es/csi/pdf/magerit_v2/metodo_v11_final.pdf

http://www.csi.map.es/csi/pg5c10.htm


Por tanto, la identificación de los usuarios y la verificación de la autenticidad es un requisito previo a la autorización del acceso a los recursos del sistema.

Existen dos niveles de autenticación:

• Autenticación fuerte: basada en la utilización de técnicas de criptografía asimétrica y en el uso de certificados electrónicos. También suele referirse a la combinación de algo que el usuario posee (por ejemplo, una tarjeta electrónica) con algo que conoce (como un código PIN).

• Autenticación simple: basada en mecanismos tradicionales de usuario y contraseña.

En general, las medidas adoptadas para asegurar la protección de la autenticación han de ser proporcionales a la naturaleza de los datos y de los procedimientos, a los riesgos a los que están expuestos y al estado de las tecnologías.

Vulnerabilidades

Esta dimensión se ve violada en el momento en que un usuario que se ha identificado no es quien dice ser, por lo que resultará imposible identificar quién ha accedido a ciertos recursos.

Los ataques asociados a esta dimensión son el sniffing, el spoofing, el hijacking, los mecanismos de ingeniería social, la confianza transitiva, la creación de un puente y la adivinación de contraseñas.

La siguiente tabla describe cada uno de estos ataques.

Tabla 17: Ataques a la autenticación

Ataques Descripción

Spoofing

Se describe generalmente como la suplantación de identidad de un emisor o de un receptor interviniendo la conexión. Por ejemplo, en el caso en el que una persona introduce en el sistema el usuario y contraseña de otra para acceder a recursos privilegiados.

Hijacking

Robo de una conexión después de una autenticación exitosa. Por ejemplo, un asaltante roba el canal de comunicación de un usuario que se ha autenticado con éxito dentro de la red corporativa de su empresa, obteniendo los mismos privilegios que el usuario autenticado.

Mecanismos de ingeniería social

Consiste en el aprovechamiento la buena voluntad de los usuarios para solicitarles datos de acceso confidenciales. Por ejemplo, cuando se envía un e-mail a una persona haciéndose pasar por el administrador de la red o por una autoridad para acceder a datos importantes, o cuando se le dice, en nombre del soporte TIC de una organización, que debe cambiar su clave de acceso por una “temporal”.





Confianza transitiva

Consiste en el aprovechamiento la confianza entre usuarios y hosts 81. Por ejemplo, si el usuario A puede introducirse en los archivos del usuario B y B puede acceder a los archivos del usuario C, a un asaltante podría bastarle con acceder como usuario A para conseguir los archivos del usuario C.

Creación de un puente

Consiste en el aprovechamiento de un posible descuido de un usuario que está conectado a Internet a través de la red cableada y tiene la conexión inalámbrica encendida y sin usar. Si la conexión Wi-Fi no es segura, el asaltante puede aprovechar esa puerta abierta para controlar el PC y acceder a la red fija de la empresa con todos los privilegios del usuario.

Adivinación de contraseñas

Consiste en la prueba sistemática de contraseñas relacionadas fundamentalmente con la vida privada del asaltado hasta dar con la que ha introducido (por ejemplo, la fecha de nacimiento de la víctima, el nombre de sus hijos, las fechas de cumpleaños de sus familiares, etcétera).

Fuente: INTECO

Consecuencias

Vulnerar el control de acceso podría generar, según la ISO 18028-2:2006, los siguientes riesgos:

• Robo, borrado o pérdida de información y otros recursos de la red.

• Revelación de información.

Confidencialidad

Es definida por múltiples fuentes:

• Según la metodología Magerit82, es la condición que asegura que la información no puede estar disponible o ser descubierta por o para personas, entidades o procesos. En este sentido la confidencialidad a menudo se relaciona con la intimidad cuando se refiere a personas físicas.

• Según la ISO 798-2, es una propiedad de la información que impide que esté disponible o sea revelada a individuos, entidades o procesos no autorizados.

• Según las directrices de la OCDE para una política criptográfica, es la propiedad de que los datos o la información no estén disponibles, ni se revelen, a personas, entidades o procesos no autorizados.

81 Hosts: nombre único que se le da a un dispositivo conectado a una red informática. Puede ser un ordenador, un servidor de archivos, un dispositivo de almacenamiento por red, una máquina de fax, una impresora, etcétera. Este nombre ayuda al administrador de la red a identificar las máquinas sin tener que memorizar una dirección IP para cada una de ellas.

82 Ministerio de Administraciones Públicas (2006). Op. cit. 79.


• Según las directrices de la OCDE para la seguridad de los sistemas de información, es el hecho de que los datos o informaciones estén únicamente al alcance del conocimiento de las personas, entidades o mecanismos autorizados, en los momentos autorizados y de una manera autorizada.

En general, las medidas adoptadas para asegurar la protección de la confidencialidad han de ser proporcionales a la naturaleza de los datos y de los procedimientos, los riesgos a los que están expuestos y el estado de la tecnología. La confidencialidad de los datos exige también medidas específicas a la hora de eliminarlos, transportarlos o almacenarlos en medios físicos.

Vulnerabilidades

Un ataque contra este requisito se entendería como el acceso a información confidencial por personas o entidades no autorizadas. Esta dimensión versa sobre la posibilidad de ver información o acceder a recursos de los que no se está permitido ver ni acceder (documentos confidenciales, datos de carácter personal como el DNI, números de cuentas bancarias, etcétera).

Los ataques que podrían vulnerar la seguridad de esta dimensión son los siguientes:

Tabla 18: Ataques a la confidencialidad


Sniffing

Consiste en escuchar los datos sin interferir la conexión. Debido a la naturaleza de las tecnologías inalámbricas, las comunicaciones dirigidas desde un emisor hacia un receptor muchas veces pueden ser escuchadas por otros dispositivos, ya que la comunicación se propaga mediante ondas electromagnéticas y cualquiera que esté en su radio de acción puede verlas o capturarlas. El ataque podría darse en el momento en que un usuario, conectado desde una red inalámbrica, esté enviando un correo electrónico confidencial. Si el canal de comunicación no se encuentra securizado, un sniffer podría verlo.

Mecanismos de ingeniería social

Consiste en aprovechar la buena voluntad de los usuarios para solicitarles datos de acceso confidenciales. Ocurre en escenarios con un cierto nivel de confianza (preexistente o adquirida en el momento). El asaltante usa esta confianza para solicitar documentación o hace uso de algún tipo de trato de favor para obtener recursos de los que el asaltado dispone, como números de cuentas bancarias, claves de Internet, etcétera.


Consiste en la ejecución de código software maligno (por ejemplo, Javascript), por ejemplo, mientras se navega en páginas web poco recomendables.

Caballo de troya

Consiste en ejecutar un programa malicioso que permanecerá en el ordenador sin llamar la atención. Podría interpretarse como una puerta abierta por el que un intruso se puede introducir dentro del ordenador o dispositivo del usuario original, accediendo a sus datos y recursos.





Enrutamiento fuente

Consiste en modificar la ruta de vuelta de los paquetes. Dado que la información se divide en paquetes de datos, y estos contienen un origen y un destino, el ataque consiste en modificar el destino para que se dirijan al asaltante, el cual los modificaría de nuevo para que fuesen a su destinatario

Evil Twin

Consiste en instalar un punto de acceso ilegítimo en el entorno de actuación de una red conocida haciéndose pasar por un componente más de la red. De esta forma, se consigue que muchos usuarios se conecten a este punto de acceso. De este modo, el intruso puede visualizar todo el tráfico de información generado desde el equipo del usuario. Muchos expertos aseguran que muy pocos usuarios pueden protegerse a sí mismos de este ataque, aunque los profesionales parecen estar en mejores condiciones83. Este tipo de conexiones Wi-Fi fraudulentas pueden establecerse en un ordenador portátil con un simple programa y una llave USB que actúe como punto de acceso.

Man in the Middle

Un intruso adquiere la capacidad de leer, insertar y modificar a voluntad los mensajes entre dos partes sin que ninguna de ellas conozca que el enlace entre ellos ha sido violado. Este ataque se emplea típicamente para manipular activamente los mensajes, más que para intercepceptar la comunicación de un modo pasivo y puede incluir subataques como la interceptación de la comunicación (eavesdropping), incluyendo el análisis del tráfico y posiblemente un ataque a partir de textos planos (plaintext) conocidos; ataques a partir de textos cifrados escogidos; ataques de sustitución; ataques de repetición; ataque por denegación de servicio (denial of service), etcétera. El atacante podría, por ejemplo, bloquear las comunicaciones antes de atacar una de las partes. La defensa en ese caso pasa por el envío periódico de mensajes de estatus autenticados.

Fuente: INTECO

Consecuencias

Los ataques a esta dimensión podrían generar, según la ISO 18028-2:2006, los siguientes riesgos para los usuarios:

• Robo de información.


Integridad


• Según la metodología Magerit84, es la propiedad de que los datos o la información no sean modificados o alterados sin autorización. La integridad está ligada a la fiabilidad funcional del sistema de información, a su eficacia para cumplir las funciones del sistema.

83 Herranza, Arantxa: “Precaución antes los Evil Twin, puntos de acceso Wi-Fi de uso fraudulento”, mayo de 2007. Pc World, Techworld.




• Según las directrices de la OCDE para una política criptográfica, es la propiedad de que los datos o la información no hayan sido modificados o alterados de forma no autorizada.

• Según las directrices de la OCDE para la seguridad de los sistemas de información, consiste en que los datos o informaciones sean exactos y completos y en la preservación de este carácter exacto y completo.

• Según el Consejo Superior de Administración Electrónica del Ministerio de Administraciones Públicas85, es la seguridad de que la información, o los datos, están protegidos contra modificación o destrucción no autorizada, y la certidumbre de que los datos no han cambiado de la creación a la recepción.

• Según el Information Technology Security Evaluation Criteria (ITSEC)86, es la prevención de la modificación no autorizada de información.

• Según la ISO 7498-2, es la propiedad de los datos que garantiza que estos no han sido alterados o destruidos de modo no autorizado.

La integridad de los datos garantiza la exactitud o precisión de los mismos. Los datos están protegidos contra la modificación no autorizada, eliminación, creación y repetición.

En general, las medidas adoptadas para asegurar la protección de la integridad han de ser proporcionales a la naturaleza de los datos y de los procedimientos, los riesgos a los que están expuestos y el estado de la tecnología.

Vulnerabilidades

Un ataque a este requisito de seguridad consistiría en la modificación de la información por personas que no están autorizadas a hacerlo.

Los posibles ataques se detallan en la Tabla 19.


86 El ITSEC es un conjunto estructurado de criterios para evaluar la seguridad informática dentro de los productos y sistemas. Es el equivalente europeo del Libro Naranja desarrollado por el National Computer Security Center (NCSC) de la National Security Agency (NSA) del Departamento de Defensa de EE.UU.



Tabla 19: Ataques a la integridad


Enrutamiento fuente

Consiste en modificar la ruta de vuelta de los paquetes. Dado que la información se divide en paquetes de datos con un origen y un destino, el asaltante puede modificar el destino para que se dirijan a él y modificarlos de nuevo para que vayan a su destinatario

Modificación de datos

Consiste en la alteración, borrado o repetición de información o parte de ella sin el consentimiento de las personas autorizadas para hacerlo. Por ejemplo, la manipulación de una imagen fotográfica mediante programas de edición avanzada.

Fuente: INTECO

Consecuencias

Violar esta dimensión traería, según la ISO 18028-2006, las siguientes consecuencias:

• Destrucción de la información u otros recursos.

• Modificación o corrupción de la información.

• Interrupción del servicio.

Disponibilidad


• Según la metodología Magerit87, es el grado en el que un dato o los elementos que soportan la conexión a una red están en el lugar, momento y forma en que son requeridos por un usuario autorizado. La disponibilidad está asociada a la fiabilidad técnica de los componentes del sistema de información o de la red de comunicación.

• Según la ISO 7498-2, es la propiedad que requiere que los recursos de un sistema abierto sean accesibles y utilizables a petición de una entidad autorizada.

• Según el ITSEC, es la prevención de una negación ilícita de acceso a la información o a los recursos.

El ITU X.805 10/2003 (Telecommunication Standardization Sector of ITU)88 y la ISO 18028-2:2006 señalan que la disponibilidad garantiza que no haya denegación de acceso 87 Ministerio de Administraciones Públicas (2006). Op. cit. 79.

88 Sector de Normalización de las Telecomunicaciones de la UIT (10/2003). Arquitectura de seguridad para los sistemas que prestan de extremo a extremo las comunicaciones.


autorizado a los elementos de la red, a la información almacenada, a los flujos de información, a los servicios ni a las aplicaciones. En esta categoría se incluyen las soluciones de recuperación de desastres.

En general, las medidas adoptadas para asegurar la protección de la disponibilidad han de ser proporcionales a la naturaleza de los datos y de los procedimientos, los riesgos a los que están expuestos y al estado de la tecnología.

En la dimensión de la disponibilidad intervienen muchos y muy variados aspectos: instalaciones adecuadas y equipamiento físico, una adecuada plataforma tecnológica que permita hacer frente a escenarios variables de carga de trabajo o posibles fallos, procedimientos de explotación y de mantenimiento, protección contra código maligno y frente a intentos de intrusión o ataques de denegación de servicio y normas y procedimientos referentes a la gestión de la información que pueda almacenarse cifrada que garanticen la gestión de claves de seguridad. La eliminación de errores de codificación y la adopción de estándares y especificaciones públicas de programación pueden facilitar el control de la aplicación.

Vulnerabilidades

Un ataque a este requisito de seguridad se produciría cuando la red no estuviera disponible por motivos ajenos al emisor, por ejemplo, por un ataque por inhibidor de frecuencias o un colapso por un número elevado de peticiones.

Los ataques que pueden romper esta dimensión de seguridad se detallan en la siguiente tabla:

Tabla 20: Ataques a la disponibilidad


Explotar errores o fallos (bugs) de software

Consiste en aprovechar errores de implementación de software para acceder a recursos sin privilegio.

Denegación de servicio

Consiste en bloquear un determinado conjunto de servicios para que sus usuarios no puedan acceder a ellos. Se podría denegar el servicio cuando un gran grupo de ordenadores o dispositivos soliciten a la vez y de forma masiva el mismo servicio o recurso sin tener que utilizarlo; esto haría que los usuarios que de verdad lo necesiten no puedan acceder a él, ya que el servidor estaría totalmente saturado.





Mensajes de control de red

Se centra en utilizar mensajes ICMP89 para aprovechar las implementaciones de la pila TCP/IP 90. Se podría pensar que este ataque se incluye en los bugs de software pero, dada su naturaleza inherente al protocolo de comunicación, se debería tener en cuenta separadamente.

Interferencia/ inhibición

Consiste en lanzar interferencias de la señal sobre la banda de funcionamiento de la tecnología objeto del ataque o en inutilizarla con un inhibidor de frecuencias. Este ataque es usado generalmente en entornos cercanos a altos cargos de empresas y políticos, para inhabilitar acciones mediante el uso de tecnología de radio.

Fuente: INTECO

Consecuencias

Los ataques a esta dimensión de seguridad podrían tener las siguientes consecuencias (según la ISO 18028-2:2006):

• Destrucción de los recursos de red (el ataque puede dañar las antenas de conexión).

• Interrupción de servicios, clasificadas según detalle:

o Menos de una hora, considerándolos fácilmente recuperables.

o Hasta un día laborable, coincidente con un plazo habitual de recuperación con ayuda telefónica de especialistas externos o de reposición con existencia local.

o Hasta una semana, coincidente con un plazo normal de recuperación grave con ayuda presencial de especialistas externos, de reposición sin existencia local o con el arranque del centro alternativo.

o Más de una semana, considerado como interrupción catastrófica.

Control de acceso


• Según el Real Decreto 994/1999, es el mecanismo que, en función de la identificación ya autenticada, permite el acceso a datos o recursos.

89 ICMP (Internet Control Message Protocol, Protocolo de Mensajes de Control de Internet). Corresponde al subprotocolo de control y notificación de errores del Protocolo de Internet (IP).

90 Atenta contra las características del protocolo de comunicación, haciendo, por ejemplo, que la red de una organización se colapse por los mensajes de información enviadosdesde diversos ordenadores a petición de un asaltante.



• Según la ISO 7498-2, es el servicio de seguridad que previene el uso de un recurso salvo en determinados casos y de manera autorizada.

El control de acceso o autorización proporciona los mecanismos o permisos necesarios para la utilización de los recursos de la red y garantiza que sólo el personal o los dispositivos autorizados pueden acceder a la red, a la información almacenada, a los flujos de información, a los servicios y a las aplicaciones91, como por ejemplo el control de acceso basado en roles (RBAC).

El control de acceso es sólo un mecanismo para restringir el uso de recursos, pero no permite identificar quién se ha conectado o ha accedido a la red. Por ejemplo, un administrador de red puede proporcionar a varios empleados un nombre de usuario y contraseña de “invitado” para restringir el acceso; cada vez que alguien intente conectarse, deberá conocer el usuario/contraseña asociado para superar el control, si bien el administrador no podrá saber cuál de los empleados se ha conectado.

Bajo estos conceptos, el control de acceso considera:

• Autorización de derechos de acceso a distintos recursos del sistema.

• Acceso a redes, sistemas, aplicaciones, datos.

• Control y auditoría de acceso.

El acceso por usuarios que no pertenezcan a la organización daría lugar a riesgos si se produce desde localizaciones con un nivel de seguridad inadecuado. En algunos casos, se debe llevar a cabo un análisis de riesgos particular para determinar las medidas que se deben implantar. La profundidad del análisis de riesgos debería depender de las necesidades propias de la compañía.

Vulnerabilidades

Esta dimensión es esencialmente vulnerable cuando se quiere encontrar una red inalámbrica para acceder a ella sin autorización.

El ataque que aplica en esta dimensión es el barrido de frecuencias, es decir, el descubrimiento una red inalámbrica con el fin de acceder a ella y utilizar sus recursos como persona autorizada.

91 ITU X.805 10/2003 e ISO 18028-2:2006.


Tabla 21: Ataques al control de acceso


Barrido de frecuencias

Las redes inalámbricas utilizan cierto intervalo de frecuencias (llamado espectro) de ondas electromagnéticas por las que se comunican y puedan funcionar (establecer su cobertura, funcionamiento, etcétera). Este ataque consiste en rastrear el aire para descubrir una red inalámbrica y acceder a ella.

Fuente: INTECO

Consecuencias

Vulnerar esta dimensión podría generar, según la ISO 18028-2:2006, los siguientes riesgos:


• Modificación o corrupción de información.

• Robo, borrado o pérdida de información y otros recursos.


No repudio

Existen varias maneras de definirlo como criterio de seguridad en sistemas de información. Aunque la ITU X.805 10/2003 y la ISO 18028-2:2006 consideran que debe estar catalogada como una dimensión independiente de los requisitos de seguridad, en este estudio, en línea con la opinión de expertos y entrevistas realizadas, se considera una característica para potenciar la autenticación, confidencialidad e integridad.

Según la ITU y la ISO, el no repudio proporciona los medios técnicos para prevenir que una persona o entidad niegue haber realizado una acción. .

Vulnerabilidades

Por considerarse una característica y no una dimensión de la seguridad, no presenta ataques. A pesar de ello, puede ser evitado si el intruso es lo suficientemente hábil para no dejar rastro.

Consecuencias

Según la ISO 18028-2:2006, los riesgos de seguridad asociados al no repudio son:







• Interrupción de servicios.

4.2 Análisis del nivel de vulnerabilidad por tipo de tecnología inalámbrica

Una vez que se han definido detalladamente cada una de las dimensiones de seguridad utilizadas para medir el nivel de seguridad de las redes inalámbricas y los posibles ataques para vulnerarlas, se aplica la misma lógica de análisis para las tecnologías seleccionadas por su mayor potencial de uso en el ámbito español.

Este análisis incorpora diferentes niveles, dependiendo del tipo de tecnología, que variarán en base a diversos factores como la seguridad inherente a cada tecnología, la facilidad económica de crear una infraestructura para atacar una red, el uso y la amigabilidad de la tecnología, etcétera.

Las tecnologías seleccionadas se han agrupado tomando como criterio la similitud que guardan entre ellas:

• GPRS y GSM, al ser el primero una evolución natural del segundo y complementarse entre sí; GSM se utiliza para transmitir voz y GPRS para datos.

• UMTS y HSPA, al ser la segunda la optimización de la tecnología espectral UMTS/WCDMA.

• WLAN y WiMAX, dado que la segunda opera de manera muy similar a WLAN y a que es una alternativa a la comunicación mediante ondas de radio para el enlace DSL; además, conceptualmente persiguen un objetivo similar, aunque tienen características distintas.

• Bluetooth y NFC se estudiarán independientemente, dado que no existe ninguna similitud tecnológica entre ellas.

Los resultados se han obtenido de las entrevistas realizadas a las empresas colaboradoras, la opinión de los expertos consultados y la investigación bibliográfica.

La siguiente tabla resumen presenta los ataques sufridos por cada tipo de red inalámbrica y la dimensión de seguridad a la que afectan.




Tabla 22: Ataques por tipo de tecnología inalámbrica

Dimensiones de seguridad Ataques GSM/

GPRS UMTS/ HSPA/ WIMAX WLAN Bluetooth NFC

Spoofing SÍ SÍ SÍ SÍ SÍ NO Hijacking SÍ SÍ SÍ SÍ SÍ NO Mecanismos de ingeniería social

SÍ SÍ NO SÍ SÍ NO

Confianza transitiva NO NO NO SÍ NO NO

Creación de un puente NO NO NO SÍ NO NO

Autenticación (AU)

Adivinación de contraseña SÍ SÍ NO SÍ SÍ SÍ

Sniffing SÍ SÍ SÍ SÍ SÍ NO Mecanismos de ingeniería social

SÍ SÍ NO SÍ SÍ NO


SÍ SÍ SÍ SÍ NO NO

Caballo de troya NO NO NO SÍ NO NO

Enrutamiento fuente SÍ SÍ SÍ SÍ NO NO

Evil Twin SÍ SÍ NO SÍ SÍ SÍ

Confidencialidad (C)

Man in the Middle SÍ SÍ SÍ SÍ SÍ SÍ

Enrutamiento fuente SÍ SÍ SÍ SÍ NO NO

Integridad (I) Modificación

de datos SÍ NO SÍ SÍ SÍ NO

Explotar errores o fallos (bugs) de software

NO NO NO SÍ SÍ NO

Denegación de servicio SÍ SÍ SÍ SÍ SÍ NO

Mensajes de control de red NO NO NO SÍ NO NO

Disponibilidad (D)

Interferencia/ inhibición SÍ SÍ SÍ SÍ SÍ SÍ

Control de acceso (CA)

Barrido de frecuencia SÍ SÍ SÍ SÍ SÍ NO92

No repudio (N-R) No aplica

Fuente: INTECO

92 A pesar de que se ha especificado que este ataque no afecta a esta tecnología, realmente sí es posible escanearla, si bien, por su corto alcance de emisión (10 cm), obligaría al intruso a tener que desplazar el detector de frecuencias manualmente por toda la superficie de acceso para su identificación, lo que no lo hace muy práctico.



A continuación se considera cada una de las tecnologías en relación a los ataques a los que son vulnerables las diferentes dimensiones de seguridad. Y al final de cada una se presenta un cuadro resumen en el que se valora de forma cualitativa la seguridad de cada tecnología respecto a cada dimensión. Esta valoración se basa en el trabajo de investigación realizado durante el proyecto y tiene por objeto posibilitar la comparación entre las dimensiones de seguridad de una misma tecnología.

4.2.1 Tecnología GSM/GPRS

Autenticación (AU)

Bajo esta dimensión de seguridad, estas redes pueden ser vulneradas con diversos ataques como son el spoofing, el hijacking, mecanismos de ingeniería social y adivinación de contraseñas. Por el contrario, los ataques de confianza transitiva y creación de un puente no aplican, debido a que estas tecnologías no recurren a terceros en ningún momento de su ciclo de vida.

Con respecto a los ataques de spoofing y hijacking, existe un artículo escrito por Elad Barkan, Eli Biham y Nathan Keller (“Instant Ciphertext Only Cryptanalysis of GSM Encrypted Communication CRYPTO 2003”) en el que afirman ser capaces de romper el algoritmo criptográfico A593; si esto es así, esta dimensión podría ser vulnerada con cualquiera de los ataques mencionados. Lo cierto es que para ser capaces de descifrar una comunicación GSM, en primer lugar es necesario capturar la información que se ha transmitido, y para esto es necesaria una infraestructura sofisticada, que no se encuentra al alcance de cualquier usuario, por lo que esta tecnología se considera segura frente a estos posibles ataques.

En relación a los ataques de adivinación de contraseñas e ingeniería social, siempre es posible tratar de adivinar el PIN de la tarjeta SIM, aunque la probabilidad de acierto es baja por el alto número de combinaciones posibles. Bajo esta premisa, estas redes son vulnerables, pero aun así se confirma su elevado nivel de seguridad.

En general, con la autenticación en GSM/GPRS se consiguen identificar unívocamente al usuario dentro de la red, proteger el sistema de accesos no autorizados y crear una clave de sesión que permita el posterior cifrado de datos para las comunicaciones, haciendo segura esta tecnología.


Esta tecnología, bajo esta dimensión, puede ser vulnerada utilizando diversos ataques, como el sniffing, mecanismos de ingeniería social, ataques dirigidos por datos,

93 Algoritmo utilizado para cifrar las comunicaciones en un entorno GSM.



enrutamiento fuente, Evil Twin y Man in the Middle, mientras que el ataque de caballo de troya no aplica por ser exclusivo de la tecnología WLAN.

Un ataque de sniffing es posible, si bien la tecnología necesaria para hacerlo es muy compleja y sofisticada y no se encuentra al alcance de cualquiera. A día de hoy, sólo un operador puede intervenir una comunicación, y para ello se deben dar dos circunstancias: que el terminal esté utilizando su red y que sea bajo requerimiento de una orden judicial.

En cuanto a los mecanismos de ingeniería social, siempre es posible tratar de adivinar el PIN de la tarjeta SIM, con lo que estos ataques pueden vulnerar a este tipo de tecnologías inalámbricas. Para llevar a cabo un ataque dirigido por datos, se puede ejecutar un código maligno tras una navegación web por GPRS. Un ataque por enrutamiento fuente tiene sentido en el momento en el que al terminal se le asigna una dirección IP en GPRS.

Los ataques Evil Twin o Man in the Middle, al igual que el sniffing, requieren una infraestructura muy compleja, que debe ser capaz de emular la señal de una antena real de un operador. Esta circunstancia es posible, ya que una red móvil no se identifica. Sin embargo, debido a lo costoso y complejo de este ataque es muy improbable que se dirija a usuarios o pymes; podría darse en guerra o estados de excepción.

En general, para GPRS la mayoría de los aspectos de seguridad coinciden con los de GSM, con la diferencia de que se añaden los ataques propios de las redes de datos. Además, son posibles los ataques de sobrefacturación, en los que un atacante solicita datos haciéndose pasar por un usuario, capturando su dirección IP; el servidor envía a la víctima estos datos, que le son facturados.

Además, un aspecto que proporcionan las tecnologías GSM/GPRS es la protección de la identidad del usuario; para garantizar su confidencialidad, no se emplea su identidad usual (número de serie de la tarjeta SIM), sino una temporal, válida únicamente para la conversación creada en ese momento y para una antena determinada94.

En cuanto a los ataques sobre redes GSM/GPRS, el cifrado protege la señalización y los datos de los usuarios entre el dispositivo móvil y la estación base, pero no en el resto del trayecto, por lo que los datos viajan en claro (sin cifrar) a través de la infraestructura de la operadora95, pudiendo vulnerarse la confidencialidad.

94 Martínez Marcos, A.: “Seguridad en Tecnologías Inalámbricas”. Revista SIC, número 66.

95 Martínez Marcos, A. Op. cit. 94.


Integridad (I)

Puede ser atacada mediante modificación de datos o enrutamiento fuente. Dicho ataque es factible, según el documento mencionado en el apartado de autenticación, sobre la rotura del algoritmo A5. Además, un ataque por enrutamiento fuente tiene sentido en el momento en que al terminal se le asigna una dirección IP en GPRS.

Disponibilidad (D)

Bajo esta dimensión, esta tecnología podría ser vulnerada utilizando los ataques de denegación de servicio e interferencia/inhibición, mientras que los ataques de explotación de errores o fallos (bugs) de software y los mensajes de control de red no aplican, el primero porque el protocolo no está muy difundido y apenas se han descubierto errores y el segundo, porque no se conoce la especificación del protocolo y no se sabe cómo atentar con esta técnica (ni siquiera si sería posible).

Los ataques de denegación de servicio e interferencia/inhibición se analizados conjuntamente porque, por un lado, es posible saturar una antena para que no acepte conexiones y, por otro, se puede saturar el medio compartido para que se produzcan interferencias en las señales y estas no cumplan con su cometido.

En general, a pesar de ser una tecnología segura en cuanto a la disponibilidad, el ataque más fácil de realizar es la inhibición de frecuencias, pues afecta a todo lo que se transmita mediante ondas electromagnéticas, haciendo que la red no esté disponible. Aún así, la probabilidad de que se produzca es bastante pequeña porque se necesitan dispositivos que no están al alcance de cualquier usuario.


El control de acceso de una red GSM/GPRS requiere de forma obligatoria la utilización de una tarjeta SIM autorizada por un operador. Esta condición hace imposible realizar la conexión a una red GSM/GPRS sin el consentimiento previo de su propietario, por lo que, en principio, un barrido de frecuencias sería un ataque inútil. Sin embargo, dada la alta penetración en el mercado español de la telefonía GSM, es bastante sencillo adquirir una tarjeta SIM de un operador para realizar un ataque de este estilo.

Conclusión

Para estas tecnologías, violar cualquiera de las dimensiones de seguridad requiere una infraestructura prácticamente imposible de conseguir y, aunque teóricamente sí se puede violar, las características asociadas de la tecnología la hacen segura.

A su seguridad contribuyen aún más las medidas incorporadas en el protocolo GSM (algoritmo de encriptación A5). En todo caso, si se quisiera atentar contra estas



tecnologías, prácticamente sólo se podría llegar a quebrantar de alguna manera su disponibilidad.

Tabla 23: Nivel de vulnerabilidad de la tecnología GSM/GPRS

Tecnología AU C I D CA

GSMS/GPRS

Tecnología muy insegura Tecnología muy segura

Fuente: INTECO

4.2.2 Tecnología UMTS/HSPA

Este grupo tiene prácticamente las mismas características que la tecnología GSM/GPRS. Aunque son distintas, los riesgos en cada una de ellas son muy parecidos, principalmente debido a la complejidad de la infraestructura que se necesita para atentar contra ella.

Autenticación (AU)

Esta dimensión puede ser atacada mediante el spoofing, el hijacking, los mecanismos de ingeniería social y la adivinación de contraseñas, mientras que los ataques de confianza transitiva y creación de un puente no aplican, ya que el primero afecta sólo a equipos conectados a redes TCP/IP donde hay un servidor que gestiona la red y permisos y la segunda, a equipos con Wi-Fi.

Con respecto a los ataques de spoofing y hijacking, existe un parecido más que razonable con la tecnología GSM/GPRS, lo que justifica la posibilidad de estos ataques. En relación con la adivinación de contraseñas y los mecanismos de ingeniería social, siempre es posible tratar de adivinar el PIN de la tarjeta SIM (usada en UMTS y HSPA.


Esta tecnología puede ser atacada con mecanismos de ingeniería social, ataques dirigidos por datos, enrutamiento fuente, Evil Twin y Man in the Middle, mientras que los ataques de caballo de troya no aplican porque se producen en equipos conectados a redes TCP/IP como las de la tecnología WLAN.

Al igual que en el caso de las tecnologías GSM/GPRS antes descritas el ataque de sniffing, si bien es técnicamente posible, no es viable porque necesita un equipamiento similar al de un operador.



Con respecto a la ingeniería social, siempre es posible tratar de adivinar el PIN de la tarjeta SIM usada para las comunicaciones UMTS y HSPA, con lo que estos ataques tienen bastante sentido aquí. Para un ataque dirigido por datos, se puede ejecutar un código maligno llegado tras una navegación web. En cuanto al ataque de enrutamiento fuente, cobra sentido en el momento en que se le puede asignar una dirección IP a un dispositivo. Para un ataque Evil Twin o Man in the Middle ocurre lo mismo que para GSM/GPRS, que no tiene sentido en un entorno pyme o particular, pero para grandes empresas, al usar ciertas características de GSM, es posible la suplantación de una antena del operador, que no se tiene que autenticar con el terminal.

Integridad (I)

Esta dimensión puede ser atacada con un enrutamiento fuente, que cobra sentido en el momento en que se le puede asignar una dirección IP a un dispositivo; el cambio de la fuente de enrutamiento se hace basándose en el protocolo IP, utilizado en última instancia para que el destinatario reciba la información.

Al igual que ocurre con las tecnologías GSM/GPRS, el ataque de modificación de datos, si bien es técnicamente posible, no es viable, pues para emprenderlo es necesario disponer de un equipamiento similar al de un operador.

En general, para UMTS estas medidas de seguridad tienen una base centrada en GSM, y por encima de la cual se encuentra un mecanismo de criptografía y cifrado basado en desafíos aleatorios y generación de claves derivadas, que la hacen mucho más robusta que el propio GSM.

Disponibilidad (D)

Esta dimensión puede ser atacada mediante denegación de servicio e interferencia/inhibición, mientras que la explotación de bugs de software y de los mensajes de control de red no aplican, en el primero de los casos por no ser conocidos los errores de programación del software y en el segundo, por desconocerse la problemática en estas tecnologías.

Los ataques de denegación de servicio e interferencia/inhibición en estas tecnologías van de la mano, pues es posible saturar una antena para que no acepte conexiones, y por otro lado, se puede saturar el medio compartido para que se produzcan interferencias en las señales y estas no cumplan con su cometido.

A pesar de ser una tecnología segura en cuanto a la disponibilidad, el ataque más fácil de realizar es la inhibición de frecuencias, haciendo que la red no este disponible. A pesar de ello, la probabilidad de que se produzca es bastante pequeña, porque necesita dispositivos que no están al alcance de cualquier usuario. Sí es más probable que en



determinadas zonas o edificios dotados de mecanismos de seguridad mediante inhibidores de frecuencia, la utilización de estos dispositivos impida que haya disponibilidad o cobertura de red en el radio de acción del inhibidor, aunque la antena que emite la señal no se vea afectada.


Sobre esta dimensión de seguridad actúa el barrido de frecuencia. Para realizarlo es necesario disponer de un terminal 3G y de una tarjeta SIM, que sólo puede ser facilitada por el operador de telecomunicaciones. La presencia de redes UMTS se comprueba con teléfonos de tercera generación, viendo que está activado el icono del 3G. Para HSPA, se necesitaría un dispositivo bastante menos común que un teléfono móvil, sin ser especialmente difícil su adquisición.

Conclusión

Se concluye que este grupo de tecnologías se considera seguro, incluso más que el de GSM/GPRS. Ciertamente, su alto grado de protección se debe, en parte, a los protocolos de cifrado incorporados, que las hacen más robustas.

Por tanto, y a la vista de todo lo anterior, si se quisiese atentar contra la seguridad en estas tecnologías, prácticamente sólo se podría traspasar la dimensión de disponibilidad.

Tabla 24: Nivel de vulnerabilidad de la tecnología UMTS/HSPA


UMTS/HSPA


Fuente: INTECO

4.2.3 Tecnología WLAN/WiMAX

Tal y como se he describe en el epígrafe 3.3.2, “Tecnologías con elevada penetración y potencial de uso”, existen dos maneras de conectarse a una red WiMAX. Por un lado, el escenario en el que un usuario, a través de una antena, conecta directamente su dispositivo a la red WiMAX se podría considerar muy seguro, por las características inherentes al protocolo.

Por otro lado, si la conexión se realiza a través de un router intermedio (en el que el usuario se conecta al router y este a la red WiMAX), la parte del enlace entre el usuario y



el router será una comunicación WLAN, con la que compartirá todos los riesgos y amenazas.

La mayoría de los proveedores de red prefieren el segundo escenario, ya que:

• La eficiencia de las comunicaciones es bastante mayor (hay menos interferencias y la calidad del enlace es superior).

• En el primer escenario se obligaría al usuario a disponer de un dispositivo capaz de conectase a una antena WiMAX, mientras que prácticamente todos los ordenadores portátiles de hoy en día incorporan tarjetas inalámbricas WLAN de fábrica.

• Los problemas de seguridad se solventan en el segundo escenario con varios mecanismos ya existentes; además, estos routers WiMAX suelen incorporar características de seguridad.

Por estos motivos, se ha decidido considerar en conjunto los problemas de seguridad de las tecnologías WLAN y WiMAX.

Autenticación (AU)

En esta dimensión de seguridad, para la tecnología WLAN, son factibles los ataques de spoofing, hijacking, los mecanismos de ingeriría social, la confianza transitiva, la creación de un puente y la adivinación de contraseñas. Para WiMAX, aplicarían los riesgos de spoofing y hijacking.

En WLAN, los ataques de sniffing, spoofing y hijacking son viables desde el momento en que esta tecnología sólo cambia respecto a las redes tradicionales cableadas la modulación y el modo de transmisión de la señal; el resto de protocolos de comunicación son los mismos. La misma justificación se podría argumentar para el ataque de confianza transitiva. En cambio, en el caso de la creación de un puente, la propia definición del ataque hace que sea inherente y exclusivo de esta tecnología respecto a la dimensión de autenticación. Con respecto a los ataques de adivinación de contraseñas e ingeniería social, siempre es posible tratar de adivinar la clave de la red, con lo que estos ataques tienen bastante sentido en este entorno.

Aunque WiMAX sea vulnerable a los ataques de spoofing y hijacking, lleva incorporados mecanismos de seguridad para solventar estas vulnerabilidades, ya que la autenticación está basada en certificados digitales.




Si se quisiese realizar un ataque de spoofing o hijaking, la dificultad residiría en tratar de romper la seguridad que aportan los certificados digitales. El resto de ataques no aplicarían en WiMAX precisamente por la seguridad que confieren los certificados.

Para WLAN, en general, cabe destacar que muchos de los dispositivos de conexión tienen desactivada la seguridad para su interfaz inalámbrica. Esta tecnología se utiliza principalmente en entornos domésticos y, al incrementarse cada vez más su penetración en el mercado, los operadores advirtieron que los usuarios no se conectaban a la red inalámbrica que tenían contratada, sino a cualquiera. Para evitarlo, decidieron proveer sus dispositivos de red de clave WEP96.

Por último, cabe indicar que este tipo de claves no son del todo seguras, pero sirven como medida para evitar el acceso a la red, aunque romper el cifrado no es fácil. Aun así, existen hoy en día muchos paquetes de software gratuitos para descifrar la clave de seguridad WEP en redes inalámbricas.


Con respecto a la confidencialidad, en WLAN son viables los ataques de sniffing, los mecanismos de ingeniería social, los ataques dirigidos por datos, los caballos de Troya, el enrutamiento fuente, el Evil Twin y el Man in the Middle. En WiMAX aplicarían los ataques de sniffing, los dirigidos por datos, el enrutamiento fuente, el Evil Twin y el Man in the Middle.

Un ataque de sniffing puede ser realizado desde cualquier equipo con tecnología WLAN (normalmente un portátil) que, mediante software, es capaz de capturar la señal transmitida para analizarla. En función del tipo de cifrado que se haya utilizado (ver epígrafe 5.1.4), la confidencialidad de la información será mayor o menor. Lo mismo ocurriría en el caso de la tecnología WiMAX.

Los mecanismos de ingeniería social, los ataques dirigidos por datos, caballo de troya, el enrutamiento fuente y el Man in the Middle cobran sentido en el momento en que estos ataques son independientes del medio de transmisión, como en el caso de WLAN, y se absorben junto con los de las redes cableadas tradicionales. Lo mismo ocurre para WiMAX, con la excepción de que no aplican el ataque de caballo de troya ni la ingeniería social.

A veces se consigue vulnerar esta dimensión de seguridad a través de puntos de acceso no autorizados que se hacen pasar por los de la empresa, o por acceso públicos

96 WEP (Wired Equivalent Privacy o Privacidad Equivalente al Cable). Este tipo de protocolo está más desarrollado en el Epígrafe 5.2.5, “Protocolo WLAN, IEEE 802.11 o Wi-Fi”.



gratuitos, con el objetivo de engañar al usuario para que se conecte a ellos y así espiar toda su información. En particular, la confidencialidad en WiMAX está basada en el cifrado de datos con los algoritmos Triple DES97 o EAP, por lo que, para atacar esta dimensión, habría que romper uno de estos algoritmos de cifrado.

En general, debido a la gran popularidad de la tecnología WLAN, existen varios programas de software, tanto de pago como gratuitos, capaces de capturar y manipular la información que se está enviando a través de estas redes, si bien es cierto que no todos los dispositivos de red pueden ser configurados para capturar esa información y que esta no suele estar en un formato fácilmente legible.

Integridad (I)

En esta dimensión, tanto para WLAN como para WiMAX es posible realizar ataques de enrutamiento fuente y modificación de datos.

Estos dos ataques cobran sentido en el momento en que son independientes del medio de transmisión, como en el caso de WLAN, y se absorben juntos con el de las redes cableadas tradicionales.

Además, el ataque de modificación de datos es posible, pues el medio de transmisión y propagación puede estar compartido por cualquiera que se encuentre en el radio de cobertura de la comunicación.

En particular, para WiMAX los certificados digitales, junto a los algoritmos de cifrado TLS-EAP y 3DES, son suficientes para garantizar esta dimensión de seguridad. Además, la autenticación extremo a extremo (mediante TLS-EAP98) garantiza que la información llegue al destino solicitado sin ser interceptada.

Disponibilidad (D)

Con respecto a la disponibilidad, para WLAN son viables los ataques de explotación de bugs de software, denegación de servicio, mensajes de control de red e interferencia/inhibición. Para WiMAX aplican los ataques de denegación de servicio e interferencia/inhibición.

Con respecto a la explotación bugs de software y a los mensajes de control de red, cobran sentido en el momento en que son independientes del medio de transmisión, como es en WLAN, y se absorbe junto con el de las redes cableadas tradicionales.

97 En criptografía, se llama Triple DES al algoritmo que hace triple cifrado del DES. También es conocido como TDES o 3DES. fue desarrollado por IBM en 1978.

98 Extensible Authentication Protocol con Transport Layer Security.


Dada la popularidad de las redes WLAN, su disponibilidad es fácilmente atacable. Cualquier persona puede intentar conectarse y realizar, entre otros, un ataque de denegación de servicio. Además, estas redes tienen los mismos problemas de seguridad que las cableadas, ya que la única diferencia entre ellas está en el modo en que se conectan a la red (enlace).

En general, tanto WLAN como WiMAX, pueden sufrir ataques de denegación de servicio y de interferencia/inhibición porque la señal es inalámbrica.


Resulta bastante sencillo saber si existe una red inalámbrica WLAN si se está dentro de su radio de cobertura, por lo que realizar un ataque de barrido de frecuencias resulta trivial. Tan sólo habría que disponer de un terminal con interfaz Wi-Fi y escanear el medio en busca de redes inalámbricas.

Cierto es que un dispositivo de acceso a estas redes (router o punto de acceso) puede ocultar su nombre de red, pero aun así cualquier detector puede saber si existen o no redes a su alcance, aunque se desconozca su nombre. Además, está popularizándose la tecnología WLAN en los móviles, por lo que resulta incluso más accesible.

En cambio, detectar e identificar una red WiMAX resulta más tedioso, ya que los dispositivos necesarios para hacerlo no suelen ser de uso tan común .

En general, se puede saber si existe o no una red inalámbrica si se dispone de un dispositivo que sea capaz de escanear el medio en busca de ondas operando en determinadas frecuencias, reservadas exclusivamente para estas tecnologías.

Conclusión

Los diferentes mecanismos de seguridad de los protocolos 802.11 y 802.16 permiten que estas redes puedan ser inseguras, si no se utiliza ningún tipo de cifrado ni de protección, o muy seguras, mediante el uso de mecanismos de cifrado, certificados y autenticación con el protocolo 802.1x).

Para WLAN se aprecia que la dimensión de seguridad más débil es la autenticación, seguida de la confidencialidad, la disponibilidad y el control de acceso. El ataque más sencillo podría ser, para la dimensión de confidencialidad, el sniffing.



Tabla 25: Nivel de vulnerabilidad de la tecnología WLAN


WLAN


Fuente: INTECO

Para WiMAX, la seguridad es inherente al protocolo, por lo que es una tecnología bastante segura. Respecto a una posible comparación directa con WLAN, se diría que, al tener WiMAX un rango de cobertura muchísimo más extenso, la posibilidad de realizar un ataque del tipo interferencia/inhibición es más alta que en el caso de la tecnología Wi-Fi.

En cambio, en cuanto al control de acceso, el hecho de que la conexión a una red WiMAX sea más complicada la convierte en más segura que la tecnología WLAN.

Tabla 25: Nivel de vulnerabilidad de la tecnología WIMAX


WiMAX


Fuente: INTECO

4.2.4 Tecnología Bluetooth

Autenticación (AU)

Dada la naturaleza de esta tecnología, son posibles los ataques de spoofing y hijacking, los mecanismos de ingeniería social y adivinación de contraseñas. En cambio, no proceden los ataques de confianza transitiva ni de creación de puentes, que son del ámbito Wi-Fi.

Si la comunicación entre dos terminales Bluetooth no está configurada de manera segura, son posibles los ataques de sniffing y spoofing, mientras que, en caso contrario, la seguridad se puede romper con un ataque de hijacking. Los mecanismos de ingeniería social y adivinación de contraseñas siempre están presentes.

En general, son bastante conocidos los ataques por mecanismos de ingeniería social, que aprovechan el desconocimiento y la buena voluntad de los usuarios. Se pueden




evitar simplemente dejando el dispositivo Bluetooth apagado cuando no se vaya a utilizar, o no aceptando elementos y objetos de los que se desconozcan el origen.


En esta dimensión cobran sentido los ataques de sniffing, los mecanismos de ingeniería social, el Evil Twin y el Man in the Middle; en cambio, los ataques dirigidos por datos, los caballos de troya y el enrutamiento fuente no aplican a esta tecnología, pues no funciona bajo los protocolos TCP/IP que a los que se dirigen.

Realizar un ataque de sniffing sobre Bluetooth es bastante complicado debido a que, la técnica de salto de frecuencias impide a cualquier dispositivo que no esté emparejado con el maestro escuchar las comunicaciones, ya que no tiene acceso a la tabla de saltos utilizada para la transmisión de paquetes.

Un ataque del tipo Evil Twin puede ejecutarse en el momento en que el punto malicioso puede hacerse pasar por una entidad que desee enviar datos al dispositivo víctima, aunque este tipo de ataque, debido a la naturaleza de Bluetooth, debe pasar junto con el ataque de mecanismo de ingeniería social.

Los Man in the Middle pueden llegar a ser posibles debido a ciertas características del protocolo; aun así, sería necesario conocer parte de la información que se está transmitiendo en un momento determinado, lo cual resulta bastante difícil.

En general, existe un problema relacionado con la privacidad en Bluetooth. Todos los dispositivos tienen una dirección (o nombre) único a nivel mundial, otorgado por el Institute of Electrical and Electronics Engineers (IEEE), que es conocido como BD_ADDR. El hecho de que cada dispositivo se identifique usando su BD_ADDR hace que, una vez se conozca qué persona es dueña del dispositivo, se pueda hacer un seguimiento de sus comportamientos.

El Bluetooth debería usar como mecanismo de seguridad para garantizar la confidencialidad de los datos transmitidos el cifrado. El problema es que su implementación es opcional y siempre se realizaría tras una autenticación exitosa99. Aun así, violar este requisito de seguridad es bastante complejo y requiere conocimientos avanzados de informática y telecomunicaciones.

Integridad (I)

Dadas las particularidades de esta tecnología, no aplica el ataque de enrutamiento fuente, mientras que el ataque de modificación de datos tiene sentido por estar el medio 99 Moreno Tablado, A. Seminario de Tecnologías Wireless: “Seguridad en Bluetooth”.



de transmisión y propagación compartido por cualquiera que se encuentre en el radio de cobertura de la comunicación Bluetooth.

También puede darse el ataque denominado Bluebugging100 es la evolución del ataque bluesnarfing y consiste en obtener acceso a las funciones del teléfono móvil a través del Bluetooth, sin alertar al usuario de que se está accediendo a su dispositivo. Esta vulnerabilidad otorga al asaltante la capacidad de iniciar llamadas telefónicas, enviar y recibir mensajes de texto, leer y escribir datos en la agenda telefónica, escuchar conversaciones y conectarse a Internet.

Disponibilidad (D)

La disponibilidad en esta tecnología puede verse comprometida por ataques de explotación de bugs de software, denegación de servicio e interferencia/inhibición. En cambio, no aplica el ataque de mensajes de control de red, ya que el Bluetooth no utiliza el protocolo TCP/IP sobre el que funciona.

Los ataques de explotación de bugs de software se solían realizar en las primeras implementaciones de Bluetooth, cuando el protocolo estaba desarrollado pensando en el uso y no en la seguridad. En cuando a la interferencia/inhibición, cobra sentido en cualquier tecnología inalámbrica, igual que la denegación de servicio.

En cuanto a los mensajes de control de red, no tienen sentido porque el protocolo no está muy difundido, es decir, no se conoce su especificación y, por consiguiente, no se sabe cómo atentar con esta técnica.

Bluetooth utiliza un esquema de reconocimiento rápido y con saltos rápidos de frecuencia para garantizar la robustez del enlace. Es más robusto que casi todos los demás sistemas de comunicación porque salta más rápido y usa paquetes más pequeños, por lo que, cuando un paquete se pierde o no llega a su destino (por el motivo que sea), es más fácil y rápido reenviarlo. Sin embargo, existe un ataque de denegación de servicio en el que un atacante con un dispositivo Bluetooth y con el software adecuado podría emitir una solicitud constante de respuesta a otro dispositivo, lo que produciría una degradación temporal de la batería en el receptor y una desactivación temporal de los servicios del dispositivo101.

En general, es una tecnología bastante segura, aunque siempre puede sufrir ataques por inhibición de frecuencias que harían que la red no estuviese disponible. Estos ataques son improbables, ya que estos aparatos no están al alcance de cualquier usuario.

100 Preguntas y Respuestas de seguridad de www.bluetooth.com.

101 Martínez Marcos, A. Op. cit. 94.



Además se podría incluir la vulnerabilidad producida por el ataque bluejacking102, que se refiere al envío anónimo de anuncios o publicidad usando tecnología inalámbrica Bluetooth. No modifica ni suprime ningún dato del dispositivo receptor, pero conceptualmente es lo mismo que el envío de correo spam. Los dispositivos en modo invisible no son susceptibles a este tipo de ataques.


En cuanto al control de acceso en Bluetooth, un ataque de barrido de frecuencia siempre es posible, pues es bastante sencillo saber si existe otro dispositivo Bluetooth.

Sin embargo, existe la posibilidad de configurar el dispositivo para indicar a otros que está presente y evitar al tiempo que se detecte cuando se escanee el medio. Este mecanismo es el que se utiliza en la comunicación con vehículos, para que se asocien a determinados teléfonos móviles con Bluetooth y luego dejen de darse a conocer al medio, evitando el ataque de car whisperer103. El cual es un sistema que permite la recepción y envío de audio desde dispositivos manos libres con tecnología Bluetooth instalados en los vehículos. De esta forma un atacante puede comunicarse desde un dispositivo no autorizado, mediante una transmisión desde un ordenador portátil equipado con el sistema car whisperer, enviar contenido sonoro al auricular y recibirlo a través del micrófono del dispositivo.

Otros ataques asociados al control de acceso son el bluesnarfing y el bluebugging. El primer ataque se refiere al acceso no autorizado a un dispositivo inalámbrico a través de una conexión Bluetooth¸ con el posible robo de información. Los dispositivos en modo invisible no son susceptibles a este tipo de ataques. El segundo es la evolución del primero y consiste en obtener acceso a las funciones del teléfono móvil a través del Bluetooth, sin alertar al usuario de que se está accediendo a su dispositivo. Esta vulnerabilidad otorga al asaltante la capacidad de iniciar llamadas telefónicas, enviar y recibir mensajes de texto, leer y escribir datos en la agenda telefónica, escuchar conversaciones y conectarse a Internet.

Conclusión

Se concluye, por tanto, que esta tecnología es poco segura, porque depende en cierta medida de su correcto uso; si el usuario protege adecuadamente los dispositivos de posibles ataques, la tecnología será segura. La forma de atacar una comunicación que use esta tecnología iría dirigida a la dimensión de autenticación.

102 Op. cit. 100.

103 Op. cit. 100.


Tabla 26: Nivel de vulnerabilidad de la tecnología Bluetooth


Bluetooth


Fuente: INTECO

4.2.5 Tecnología NFC

Autenticación (AU)

Esta tecnología no tiene ningún apartado dedicado a la autenticación en particular por no aplicar. Aun así, los protocolos para realizar transacciones sí suelen solicitar alguna clave o contraseña, que podría adivinarse.


En esta dimensión de seguridad, sólo es viable un ataque del tipo Man in the Middle, leyendo la tarjeta NFC del usuario sin que este se de cuenta. En cambio, los mecanismos de ingeniería social, los ataques dirigidos por datos, los caballos de Troya y el enrutamiento fuente no cobran sentido en esta tecnología, ya que no hay contraseñas que robar y no utiliza la tecnología IP.

En general, dada la escasa distancia a la que deben estar los integrantes de una comunicación NFC, se considera que la información transmitida de manera inalámbrica es bastante segura, ya que la única forma de violar la confidencialidad de la comunicación es que exista otro dispositivo de las mismas características a la misma distancia, por lo que el usuario se percataría del intento de asalto.

Sin embargo, un ataque Evil Twin sí es posible; se pueden instalar puntos de acceso NFC falsos haciéndolos pasar por lectores auténticos. El principal riesgo es el acceso a datos confidenciales alojados en la tarjeta NFC, si bien no está previsto incorporar datos personales.

Integridad (I)

En esta tecnología no aplican ni los ataques por enrutamiento fuente ni la modificación de datos, dada la escasa distancia a la que se tienen que ubicar los elementos de la comunicación.



Disponibilidad (D)

Esta dimensión de seguridad puede ser atacada mediante interferencia/inhibición, mientras que la explotación de Bugs de Software, los ataques de denegación de servicio y los mensajes de control de red no son aplicables.

En general, es una tecnología bastante segura, pero siempre se pueden inhibir las frecuencias para que la red no esté disponible. La probabilidad de que esto ocurra es bastante pequeña, ya que estos aparatos no están al alcance de cualquier usuario.


Al ser esta tecnología bastante novedosa, las estaciones lectoras se identifican con unos dibujos bastante llamativos, formando curvas concéntricas sobre un mismo punto. Por tanto, la identificación de una red NFC es bastante sencilla (ver Figura 11). Para llegar a formar parte de la red o interactuar con ella se debe poseer un chip NFC, de lo que se desprende que un ataque de barrido de frecuencia no es posible, aunque sí que se puede saber dónde opera esta tecnología. Si la intención no es buena, es posible insertar chips NFC en lugares no identificados y habituales sin posibilidad de detección por el usuario, que sólo podría constatar la aparición de un mensaje de confirmación en el terminal móvil con NFC.

Conclusión

Dadas las características que definen esta tecnología y el uso que se hace de ella (las comunicaciones suelen ser de unos pocos segundos), podría considerarse relativamente segura. No obstante, si alguien estuviese interesado en quebrantar su seguridad, muy probablemente trataría de quebrantar la confidencialidad, ya que un ataque Man in the Middle no resultaría extremadamente complejo de implementar. También se podría transgredir la seguridad yendo contra la disponibilidad y el control de acceso, aunque a priori su éxito estaría menos garantizado. En cuanto a la autenticación no aplica a esta tecnología por las propias características de la misma.

Tabla 27: Nivel de vulnerabilidad de la tecnología NFC


NFC


Fuente: INTECO




5 SOLUCIONES DE SEGURIDAD CON APLICACIÓN A REDES INALÁMBRICAS

Tras el trabajo de campo y la investigación bibliográfica, se concluye que para lograr un nivel adecuado de seguridad, tanto para redes cableadas como para inalámbricas, es importante implantar un conjunto de medidas de seguridad técnicas y organizativas para los datos, la información, las aplicaciones y los sistemas que las sustentan y que, además, se mantengan en equilibrio las dimensiones de seguridad ya descritas: autenticidad, confidencialidad, disponibilidad, integridad y no repudio.

En este capítulo se exponen las medidas empleadas para garantizar las dimensiones de seguridad en cada tecnología inalámbrica. Además, independientemente de la tecnología, se detalla una serie de recomendaciones que han de seguirse para proteger la red.

5.1 Dimensiones de seguridad

Tomando como referencia las recomendaciones dadas por el Consejo Superior de Administración Electrónica (CSAE)104, se proponen las siguientes medidas generales de seguridad:

5.1.1 Control de acceso

• Implantar un procedimiento formalizado para regular el acceso a las redes o dispositivos, es decir, no dejar nunca una red abierta sin contemplar algún tipo de validación previa a la conexión, salvo en casos intencionados por motivos personales o profesionales (por ejemplo, puntos de acceso públicos en aeropuertos).

5.1.2 Autenticación

• Establecer algún mecanismo que permita asociar al usuario con el dispositivo conectado a la red, y que permita comprobar que se ha superado correctamente el control de acceso. Los objetivos de esta medida deben ser:

o Identificar y autenticar la identidad del usuario para acceder a la aplicación y a otros recursos, antes de permitirle realizar cualquier acción.

o Asignar a cada usuario un identificador único para su uso exclusivo y personal, de forma que cualquier actuación pueda ser trazada.




• Utilizar contraseñas únicas por cada usuario. En caso de requerir una seguridad fuerte, se recomienda utilizar algoritmos para la generación de claves105.

• Establecer mecanismos de autenticación. Se pueden considerar tres niveles:

o Autenticación simple: basada en mecanismos tradicionales de usuario y contraseña.

o Autenticación fuerte: basada en la utilización de técnicas de criptografía asimétrica y en el uso de certificados electrónicos. También suele referirse a la combinación de algo que el usuario posee (por ejemplo, una tarjeta electrónica) con algo que conoce (como las claves PIN).

5.1.3 Disponibilidad

La exposición de las tecnologías inalámbricas a todo el espectro de frecuencia hace que esta dimensión sea especialmente importante en este entorno. Para garantizarla se recomiendan de forma genérica las siguientes medidas:

• Adoptar dispositivos de protección física de los puntos de acceso inalámbricos.

• Generar mecanismos de prevención de ataques de denegación de servicio (control periódico de los protocolos utilizados y recibidos por los puntos de acceso).

5.1.4 Confidencialidad

• Utilizar mecanismos que permitan cifrar la información para que no pueda ser utilizada por terceros, dadas las consecuencias de la exposición al entorno de la información transmitida por una red inalámbrica. Para ello, se recomiendan una serie de mecanismos de cifrado:

o Cifrado simétrico: algoritmo en el que la clave para cifrar es igual a la de descifrar. La seguridad del proceso depende del secreto de la clave, no del algoritmo. El emisor y el receptor deben compartir la misma clave, desconocida para cualquier otro individuo, para cifrar y descifrar.

o Cifrado asimétrico: algoritmo de cifrado que utiliza claves distintas para cifrar y descifrar. De estas dos claves, una es conocida (pública) y la otra permanece en secreto (privada). Lo fundamental de este sistema reside en la confianza de que una determinada clave pública corresponde realmente

105 INTECO: “Recomendaciones para la creación y uso de contraseñas seguras“. Disponible en http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas

http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas




a quien proclama ser su propietario. Habitualmente, se utilizan diferentes pares de claves para distintos fines (firma electrónica, autenticación electrónica, confidencialidad).

o Definición de función resumen o hash: función de un solo sentido que, a partir de una cadena de bits de longitud arbitraria, calcula otra, aparentemente aleatoria, de longitud fija, normalmente un resumen. Se utiliza principalmente en la creación y verificación de la firma electrónica.

o Certificado reconocido: certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley de Firma Electrónica106 en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

En el tráfico de correo electrónico se recomienda utilizar el estándar S/MIME v2107 (o superior) para garantizar su seguridad.

Sobre esta dimensión, es importante destacar que todas las tecnologías tienen ya definidas por defecto su mecanismo de cifrado, siendo Wi-Fi la única sobre la que los usuarios pueden configurar el nivel de seguridad.

Para aquellas tecnologías donde no se tiene la opción de actuar, la alternativa más recomendable es implementar las medidas de seguridad sobre el dispositivo para que la información ya viaje cifrada, Esto se explica con mayor detalle en el epígrafe 6.

5.1.5 Integridad

No existen soluciones específicas para mantener la integridad de la información para redes inalámbricas, no son diferentes de las soluciones inherentes a las redes fijas. En cualquier caso, debido a la facilidad de detección de las tecnologías inalámbricas, es recomendable utilizar un doble mecanismo. Por un lado, la definición y aplicación de procedimientos para evitar la instalación de software no autorizado por la organización, y por otro, la disposición de un certificado digital/firma digital.

5.1.6 No repudio

En el caso específico de las tecnologías inalámbricas, el no repudio se evita aplicando un sistema de autenticación que permita trazar quién se ha conectado. Para ello, se 106 Ley 59/2003, de 19 de diciembre, de Firma Electrónica. Disponible en http://www.boe.es/boe/dias/2003/12/20/pdfs/A45329-45343.pdf

107 S/MIMEv2 (Secure Multipurpose Internet Mail Extensión, version 2) o S/MIMEv3 IETF, la cual es el sucesor de normalización de la S/MIMEv2 protocolo desarrollado por RSA Inc. Utiliza los mecanismos criptográficos especificados por CMS para garantizar mensajes con formato MIME.

http://www.boe.es/boe/dias/2003/12/20/pdfs/A45329-45343.pdf


recomienda complementar el mecanismo de autenticación con la creación y el mantenimiento de un directorio de registro de acceso (log), que registre el momento (fecha y hora) en que un usuario o proceso accede a la red.

5.2 Soluciones por tecnologías inalámbricas

A continuación se presentan las soluciones recomendadas para cada uno de los grupos de tecnologías inalámbricas identificados.

5.2.1 Tecnología GSM/GPRS/UMTS/HSPA

Las soluciones para estas cuatro tecnologías se estudian juntas pues, al tratarse todas ellas de tecnologías gestionadas por operadores de telecomunicaciones y de largo alcance, las medidas de seguridad son similares.


Todas estas tecnologías utilizan sistemas de control de acceso muy sólidos basados en la existencia de una tarjeta SIM y su registro previo en los sistemas del operador. Es decir, el proceso de acceso a la red de un operador pasa por que sus sistemas de red reconozcan la identificación generada por la SIM para autorizar su conexión. Por otro lado, esta forma de conectarse impide la suplantación, al no publicar la SIM su identificador real, sino uno temporal utilizado únicamente durante la comunicación establecida en ese momento. Tampoco es posible realizar una clonación de SIM, pues dos tarjetas no pueden estar conectadas al mismo tiempo a una red de telefonía.

Actualmente no existen medidas al alcance del usuario y/o las pymes para incrementar la seguridad en las dimensiones definidas. Por lo tanto, los aspectos de seguridad específicos de las tecnologías suministradas por los operadores de telecomunicaciones son las referidas a la protección del dispositivo de acceso.

Autenticación (A)

El registro previo de las tarjetas SIM por parte del operador, el hecho de que sean imprescindibles para establecer la comunicación y la emisión del dispositivo de su identificador personal permiten asociar estos dispositivos a una persona física o jurídica. Si bien esto no es posible en el caso de los móviles prepago (por no requerirse la autenticación del usuario en el momento del alta), en España esta situación cambiará en virtud de la Ley de Conservación de Datos relativos a las Comunicaciones




Electrónicas108, que obliga a las compañías a guardar los datos de usuarios y llamadas (salvo su contenido) y cederlos en investigaciones criminales.


Los protocolos de transmisión de datos permiten, por una parte, la utilización de los mecanismos de cifrado propios del mundo IP (ssl, https, IPSec...). Cuando se trata de protocolos diseñados específicamente para la telefonía móvil, incorporan protocolos seguros asociados como, en el caso del WAP, el WTLS. Su utilización depende de cada operador, ya que es el encargado de operar la red.

Disponibilidad (D)

La disponibilidad se comprueba constantemente por los operadores, en base a la información transmitida por las antenas y el control que de ellas realizan. En caso de que alguna de las antenas quede inutilizada, se alarma al centro de operaciones de red, lo que les permite actuar para su reparación. Normalmente, si una de las antenas sufre una caída por un ataque, es posible que el dispositivo siga funcionando si la antena más próxima tiene cobertura suficiente sobre la zona afectada; la red está protegida y cualquier incidencia no afecta al funcionamiento general de la misma.

Integridad (I) y no repudio (NR)

En cuanto a la integridad, tal y como se describe en el epígrafe 5.1.5, no existen soluciones específicas para garantizarla.

La aplicación de soluciones para el no repudio se basa en las medidas de autenticación disponibles y en el registro que todos los operadores realizan de las llamadas de los usuarios.

5.2.2 Tecnología WiMAX

Aunque esta tecnología comparte muchos de los ataques de la tecnología WLAN, el análisis de las soluciones se realiza por separado.

Control de acceso (CA) y Autenticación (A)

El controlador de servicio AAA (Authentication Authorization Accounting) es una solución para operadores que incluye la autenticación, autorización y registro para la implantación de servicios WiMAX. Este controlador cumple rigurosamente la norma establecida por la

108 Ley 25/2007, de 18 de octubre, de conservación de datos relativos a las comunicaciones electrónicas y a las redes públicas de comunicaciones. Disponible en http://www.boe.es/boe/dias/2007/10/19/pdfs/A42517-42523.pdf




especificación 1.0.0. de la Fase 3 del Grupo de Trabajo en Redes del WiMAX Forum109, que contempla funciones como el método de autenticación EAP110, IP móvil y las derivaciones requeridas de adaptación al WiMAX móvil.


La seguridad WiMAX soporta dos estándares de encriptación de calidad, DES3 y AES, que hacen que sea considerada una tecnología de vanguardia. Básicamente, todo el tráfico en redes WiMAX debe ser encriptado empleando el Counter Mode con Cipher Block Chaining Message Authentication Code Protocol (CCMP), que utiliza AES para transmisiones seguras y autenticación de la integración de datos.

La autenticación end-to-end de la metodología PKM-EAP es utilizada de acuerdo con el estándar TLS de encriptación de clave pública.

Disponibilidad (D)

Los operadores de servicio controlan constantemente la disponibilidad y correcto funcionamiento, en base a la información transmitida por las antenas y el control que de ellas realizan. En caso de que alguna de las antenas quede inutilizada, se alarma al centro de operaciones de red para que proceda a su reparación.


En cuanto a la integridad, tal y como se describe en el epígrafe 5.1.5, no existen soluciones específicas para garantizarla.

La aplicación de soluciones para el no repudio se basa en las medidas de autenticación disponibles, en este caso, en el servidor AAA.

5.2.3 Tecnología Bluetooth

La principal motivación de esta tecnología fue la creación de un protocolo de comunicación sencillo, rápido, ágil, efectivo y barato, de corto alcance y que consumiese pocos recursos, por lo que inicialmente no se pensó en ningún aspecto relativo a la seguridad. El gran éxito de esta tecnología y su uso frecuente hicieron necesario mejorar el protocolo para adaptarlo a los requisitos de seguridad . Por tanto, dependiendo de la versión de Bluetooth que se esté utilizando, es posible que tenga o no unas medidas de seguridad implícitas. En este apartado se describen las medidas de seguridad necesarias para la versión más antigua de Bluetooth. 109 Disponible en http://www.wimaxforum.org/technology/documents/WiMAXNetworkArchitectureStage2-3Rel1.0.0.zip

110 Extensible Authentication Protocol. Protocolo que permite la autenticación end-to-end y que se basa en protocolos criptográficos estándares.

http://www.wimaxforum.org/technology/documents/WiMAXNetworkArchitectureStage2-3Rel1.0.0.zip


Control de acceso (CA) y autenticación (A)

En general, y tal y como se ha comentado anteriormente, existen varios niveles de implementación del protocolo Bluetooth. El acceso a un dispositivo mediante esta tecnología se realiza a través de un proceso denominado emparejamiento. Para que un dispositivo pueda emparejarse a otro, se solicita una clave o código PIN que debe ser introducido en ambos dispositivos.

A partir de ese momento, el sistema solicita una aceptación del. Para evitar el riesgo de captura del código PIN durante la comunicación, la mejor defensa es la longitud de dicho PIN, por lo que se recomienda utilizar claves alfanuméricas de al menos ocho dígitos.

Para evitar que se empareje un dispositivo no deseado se recomienda seguir las siguientes recomendaciones:

• No realizar emparejamientos en lugares públicos.

• No aceptar ningún mensaje de conexión si no se reconoce el origen o la fuente

• Apagar la conexión Bluetooth cuando no se esté utilizando para evitar ataques de intento de acceso.

• Configurar el dispositivo en modo oculto, reduciendo así las posibilidades de que un atacante detecte el dispositivo cuando escanee el entorno.

• No publicar un nombre identificativo del dispositivo que dé pistas sobre el modelo y marca del móvil.

Disponibilidad (D)

No hay soluciones específicas para garantizar la disponibilidad de una comunicación Bluetooth ante ataques, ya que la emisión de esta tecnología depende del dispositivo.


El protocolo Bluetooth no cifra la información; por ello, para asegurar la confidencialidad de la información se hace necesario configurarlo desde el dispositivo y siempre después de haber realizado un emparejamiento. Se recomienda tener siempre activada la opción de cifrado en el dispositivo, aunque la implementación del protocolo no está disponible en versiones antiguas.




No hay mecanismos específicos para proteger la integridad de la información transmitida por Bluetooth. Tampoco hay soluciones específicas a los problemas de no repudio.

5.2.4 Tecnología NFC

La tecnología NFC actúa a muy corta distancia, lo que le confiera unos niveles de seguridad en la transmisión muy robustos que se detallan a continuación en base a las diferentes dimensiones de seguridad.


En NFC no se accede a ninguna red, simplemente se intercambia información entre un receptor y un emisor.

Autenticación (A)

La tarjeta o chip NFC integrado en el dispositivo almacena toda la información de autenticación del dispositivo, por lo que a la hora de realizar una acción se tiene perfectamente identificada qué tarjeta o dispositivo ha emprendido la operación.

Disponibilidad (D)

No hay soluciones específicas para garantizar la disponibilidad de una comunicación NFC ante ataques, ya que la emisión de esta tecnología depende del dispositivo emisor y receptor.


La información a través de NFC viaja cifrada. Este hecho, unido a la proximidad a la que se realizan las comunicaciones y a su corta duración (sólo se utiliza para el intercambio de datos), hace muy difícil que se puedan interceptar.

En este caso, se recomienda como principal medida de seguridad (al igual que en el caso de las tarjetas de crédito) no perder de vista el dispositivo a la hora de realizar la actividad de aproximación al medio de reconocimiento, y sólo aceptar el mensaje de confirmación si se está seguro de la legitimidad del punto de reconocimiento; si se tiene la sospecha de que ha sido manipulado, lo recomendable es dirigirse a otro punto más cercano.


No hay mecanismos específicos para proteger la integridad de la información que viaja a través de una comunicación NFC. Tampoco hay soluciones específicas a los problemas de no repudio.



5.2.5 Protocolo WLAN, IEEE 802.11 o Wi-Fi

Sin lugar a dudas, esta es la tecnología que permite más opciones de configuración del nivel de seguridad de la red, más allá de la protección del propio dispositivo. En función de las necesidades, la red Wi-Fi se puede dejar completamente abierta y sin cifrar para poder acceder a los recursos y datos fácilmente o hacer de ella un entorno muy seguro. Frente a las tecnologías NFC, Bluetooth y GSM/GPRS/UMTS/HSDPA, que no permite actuar a los usuarios sobre sus mecanismos de defensa, el Wi-Fi sí ofrece esta posibilidad.

Como consecuencia, las soluciones de Wi-Fi engloban, normalmente, más de una de las dimensiones de seguridad, por lo que el análisis se hará en función del tipo de solución, indicando en cada caso las dimensiones que protege.

Protocolos de seguridad

Todos los equipos que emiten señal Wi-Fi (routers o puntos de acceso, PC, etcétera) permiten configurar el protocolo de seguridad con el que se quiere transmitir, permitiendo así cubrir las dimensiones de control de acceso, confidencialidad y, en algunos casos, autenticación. Los diferentes protocolos existentes son:

• WEP (Wired Equivalent Privacy o Privacidad Equivalente al Cable). Fue el primer sistema de cifrado asociado al protocolo 802.11. Utiliza una clave simétrica. Se considera como el menos seguro de todos por su facilidad para romperlo, siempre y cuando la persona que quiera hacerlo tenga los conocimientos informáticos adecuados.

• WPA (Wi-Fi Protected Access o Protección de Acceso Wi-Fi). Este protocolo, evolución del WEP, es más robusto. Fue diseñado inicialmente como protocolo de autenticación para paliar las deficiencias del cifrado WEP. Aunque su longitud de clave es menor que la de WEP, su método de cifrado es más robusto.

• WPA2 (Wi-Fi Protected Access o Protección de Acceso Wi-Fi, versión 2). Estándar basado en el IEEE 802.11i. Este método es considerado bastante seguro, ya que utiliza el algoritmo de cifrado AES, por lo que su ruptura es bastante complicada.

• WPA PSK (Wi-Fi Protected Access Pre-Share Key o Protección de Acceso con Clave Precompartida). Según las entrevistas realizadas, esta opción de cifrado es la más segura para una pyme o un particular. Este método difiere del anterior en que existe una clave compartida por todos los integrantes de la red previamente a la comunicación (desde la configuración de los dispositivos). La fortaleza de la seguridad reside en el nivel de complejidad de esta clave.




Cualquiera de estos protocolos de cifrado de datos y autenticación de red se configura en dos pasos:

• En primer lugar, se debe configurar la clave en el router de acceso y, después, en los dispositivos que vayan a utilizar la red. Es decir se debe a la configuración del router mediante interfaz web, configurar la seguridad en la interfaz wireless y por último elegir el cifrado del tipo de seguridad que se quiera tener. En WEP, se deberá elegir entre una clave de 5 o 13 caracteres o una de 10 o 26 dígitos hexadecimales111, dependiendo de que se quiera una clave de 64 o 128 bits de longitud. En cambio, para una clave de la familia WPA, sólo se necesita entre 8 y 63 caracteres o 64 dígitos hexadecimales.

• En segundo lugar, se deberá hacer lo mismo en todos los dispositivos que se quieran conectar a la red, usando exactamente la misma configuración que para el router.

En general, los métodos descritos solucionan muchos de los problemas de seguridad de varias dimensiones, ya que son protocolos de nivel de enlace y hacen posible securizar en primera instancia las comunicaciones inalámbricas, equiparándolas a las cableadas. Aun así, las soluciones más potentes permiten solventar los ataques derivados del quebrantamiento de varias dimensiones, tales como la autenticación, la confidencialidad, la integridad y algunos ataques a la disponibilidad.

Como todas dependen de una clave compartida, en el momento en que sea conocida (por ser difundida o porque se conozca por ingeniería social o adivinación) estas dimensiones dejarán de ser seguras.

Autenticación por MAC

Estas opciones se pueden incrementar con una autenticación por direcciones MAC, que consiste en dotar al punto de acceso de la red de una lista con las direcciones MAC de las tarjetas inalámbricas que pueden asociarse a dicho punto. Este método se puede romper, pero para ello se necesitan conocimientos de informática avanzados. Con esta solución se preservarían las dimensiones de autenticación y control de acceso.

Servidor AAA (Authentication Authorization Accounting)

En el caso de grandes empresas se pueden utilizar servidores de autenticación centralizados, como Remote Authentication Dial-In User Service (RADIUS). Toda la infraestructura para disponer de un sistema con un servidor RADIUS forma parte del

111 Sistema de numeración de base 16. El conjunto de sus números van del 0 al 9 y de la A a la F.


protocolo 802.1x. Con ello se conseguiría solventar todos los problemas de seguridad de las redes inalámbricas asociados a la confidencialidad, autenticación, accesibilidad e integridad.

Protección de gestión de tramas o sistemas de identificación de puntos de acceso no autorizados

Esta solución permite que la red detecte tramas spoofed (de spoofing) de puntos de acceso o usuarios que aparentan serlo. Ante esta situación, el sistema, mediante una gestión inteligente de la red, es capaz de realizar las siguientes acciones de defensa:

• Identificar por triangulación el posicionamiento físico de dicho punto de acceso en un mapa de la empresa, de forma que puedan evitarse interferencias en la red.

• Evitar de forma proactiva que ningún ordenador u otro dispositivo de la empresa se conecte a ese punto no permitido, mediante el envío de mensajes de desconexión. El sistema global es capaz de recuperar la conexión de esos equipos a la red autorizada.

Protección mediante firewall

Existen soluciones para controlar, mediante el firewall, los ataques de malware a través de un dispositivo. El sistema de protección es capaz de identificar el equipo del que proviene el ataque y dar una orden al punto de acceso para que proceda a su desconexión.

Uso de NAC (Network Access Control)

Los sistemas de autenticación de dispositivos no sólo permiten controlar quién se puede conectar, sino también desde qué dispositivos se puede realizar dicho acceso y si el dispositivo conectado cumple con las políticas de seguridad de la empresa (incluso puede denegar el acceso a un equipo autorizado que no cumpla dichas medidas).

Contar con Virtual Private Network (VPN)

Una red privada virtual es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada, como por ejemplo Internet. De esta forma, puede controlar quién y qué máquina se conectó y el nivel de acceso. Para asegurar la integridad de la información, la VPN utiliza funciones de hash; los algoritmos hash más comunes son los Message Digest, versiones 2 y 5 (MD2 y MD5), y el Secure Hash Algorithm (SHA). Para asegurar la confidencialidad, se hace uso de algoritmos de cifrado como el DES (Data Encryption Standard), Triple DES (3DES) y EAS (Advanced Encryption Standard).



Otras medidas

• Apagar el acceso Wi-Fi cuando no se esté utilizando, para evitar el riesgo de ataques innecesarios.

• Ocultar la publicación del nombre de la red SSID para que no pueda ser identificada, aunque esto no evite que sea detectada.



6 DISPOSITIVOS MÓVILES

Una de las principales ventajas asociadas a las tecnologías inalámbricas es su contribución a la movilización de las comunicaciones. Para ello también es necesario contar con dispositivos pequeños y de fácil transporte que permitan el aprovechamiento de las ventajas de conexión que ofrecen estas tecnologías.

Los dispositivos móviles se dividen principalmente en dos grupos:

• Dispositivos móviles básicos, que permiten la recepción y envío de llamadas, mensajes de voz y de texto.

• De última generación o avanzados, que permiten trabajar bajo un sistema operativo (Pocket PC, Linux, Symbian, Palm OS, Windows Mobile o BlackBerry), funcionar como una agenda digital, recibir y enviar correos electrónicos, navegar por Internet mediante conexión GRPRS o Wi-Fi, conectarse vía inalámbrica a otros dispositivos o reproducir vídeos, música y capturar imágenes para enviarlas luego a otro dispositivo. Son, por ejemplo, las PDA, los móviles con acceso a servicios de correo electrónico, los portátiles y los PC de sobremesa.

Los dispositivos móviles han pasado de ser simples terminales para la transmisión de voz a complejos dispositivos o smartphones que permiten ejecutar aplicaciones, disponen de un sistema operativo, tienen la capacidad de transmitir datos y/o correos electrónicos y son capaces de almacenar información. Todas estas nuevas funcionalidades los convierten en pequeños ordenadores personales, por lo que también heredan todos los posibles riesgos asociados a ellos: malware, pérdida de información, etcétera.

Considerando esta realidad, junto con la característica de la mayoría de ellos de ser el principal medio de acceso y/o utilización de las tecnologías inalámbricas objeto de este estudio, los dispositivos móviles son tratados separadamente del análisis global realizado.

Además, debido a su elevada penetración y frecuencia de uso, el enfoque del análisis de este capítulo se centra en los dispositivos utilizados principalmente para la telefonía, descartando los ordenadores portátiles, cuya problemática es semejante a la de los PC de sobremesa.

6.1 Tendencias

El teléfono móvil se ha convertido en una herramienta de comunicación imprescindible en la nueva cultura del siglo XXI. Su índice de penetración ha crecido de forma espectacular en España en los últimos años, como se puede ver en el Gráfico 1, lo que ha permitido consolidarla como uno de los líderes mundiales en el uso de esta tecnología.




Según la Encuesta sobre equipamiento y uso de tecnologías de la información y comunicación en los hogares realizada por el INE112, el porcentaje de personas que utiliza el móvil en su vida diaria es del 83,3%.

Gráfico 20: Porcentaje de persona que utilizan teléfono móvil por edad

57,7%

98,0% 96,3% 93,0%84,6%

48,6%

70,9%

0%

10%20%

30%40%

50%

60%70%

80%90%

100%

10-14 16-24 25-34 35-44 45-54 55-64 65-74

Fuente: INE (2007)

Hay que considerar que parte de la población dispone de más de un terminal (ver Gráfico 2), normalmente uno particular y otro de empresa.

La telefonía móvil es, con diferencia, la tecnología más extendida, pero no todos los usuarios responden a ella de la misma manera. Como casi todos los avances tecnológicos, es la juventud la que más uso hace de ella, en una curva que decae según avanza la edad.

De mantenerse los actuales niveles de porcentaje de uso en las edades más tempranas, la tendencia será la de igualar las bandas superiores de edad al mismo porcentaje, a medida que se vaya produciendo el relevo generacional.

Otro factor que hay que considerar en el avance del móvil es la sustitución que se está produciendo de la telefonía fija en los hogares españoles (Gráfico 3). De acuerdo con los datos del INE y extrayendo una evolución temporal (ver Gráfico 21), durante 2006 las viviendas que únicamente disponen de móvil han superado a las que únicamente tienen fijo, que caen por debajo del 11,0%.

112 Disponible en http://www.ine.es/jaxi/tabla.do?path=/t25/p450/a2006s2/l0/&file=04001.px&type=pcaxis

http://www.ine.es/jaxi/tabla.do?path=/t25/p450/a2006s2/l0/&file=04001.px&type=pcaxis



Gráfico 21: Porcentaje de hogares que disponen únicamente de un tipo de teléfono

16,1%17,0%

9,7%

13,4%

15,5%

11,2%

8,1%8,8%10,6%

18,2%21,3%23,2%

0%

5%

10%

15%

20%

25%

2003 2004 2005 (primersemestre)

2005 (segundosemestre)

2006 (primersemestre)

2006 (segundosemestre)

Móvil Fijo

Fuente: INE (2007)

Hasta ahora, la primacía de la línea fija estaba motivada por la banda ancha. La ausencia de red de cable descartaba la posibilidad de una conexión a Internet a alta velocidad, pero esta realidad ha cambiado. Sin duda, 2006 ha sido el año del 3G/UMTS, la telefonía de tercera generación. Además, gracias a los beneficios que reporta el HSDPA, el acceso a Internet a través de la telefónica móvil irá ganando adeptos en los próximos años. Un estudio realizado por la Asociación Española de Empresas de Consultoría (AEC)113 prevé que casi la mitad de los usuarios se conectará a la red a través de sus teléfonos móviles en 2008.

Como se ha mencionado en el epígrafe 3, en 2007 se vendieron 9,7 millones de terminales 3G con tecnología UMTS, cifra que representa un 19,6% sobre el total de los clientes móviles (noviembre de 2007). Y aunque la evolución de los diferentes tipos de terminales móviles es y será exponencial, los teléfonos móviles avanzados serán los futuros líderes.

113 Estudio sectorial de las telecomunicaciones, 2008. Disponible en http://www.ae2010.es/Frontals/Detalle_Contenidos/_tYsBraNzHW4UHletc2j0wdIgmi35LQdoFJ8BtAbWx1M

http://www.ae2010.es/Frontals/Detalle_Contenidos/_tYsBraNzHW4UHletc2j0wdIgmi35LQdoFJ8BtAbWx1M



Figura 12: Evolución de unidades vendidas por tipo de dispositivo

USB / Tarjetas de memoria

BlackBerrySmartphones

Palm / PocketPC

Laptops

Desktops

1995 20102000 2005

Unidades vendidas

Fuente: Basado en McAfee 114

De la evolución de los propios dispositivos en el seno de las empresas (ver Gráfico 6 y Gráfico 7) y el uso que en las pymes se le da a la telefonía móvil y a las redes inalámbricas (en parte por las posibilidades que ofrece para la mejora de los procesos de negocio) da cuenta el hecho de que, por ejemplo, más de la mitad de las empresas las utilizan durante sus viajes de negocio (en concreto, en un 66,3% de las empresas los empleados se conectan a los sistemas TIC corporativos por redes telemáticas externas; Gráfico 22).

A pesar del elevado porcentaje de penetración el tamaño de la empresa influye, una vez más, en el uso que se da a estas redes externas: el 59,2% de las que tienen entre 10 y 49 empleados las utilizan, frente a un 75,8% de las empresas de entre 50 y 249 trabajadores y un 87,7%, en el caso de las organizaciones con más de 250 empleados.

114 McAfee Mobile Security: “Protección del dato y movilidad” en Jornada Respuestas SIC. Ponencias puesto final móvil corporativo. La seguridad en la última frontera, febrero de 2008, Madrid.



Gráfico 22: Empresas con empleados conectados por redes telemáticas externas a las TIC corporativas durante viajes de negocio (% sobre el total)

66,3%

76,8%

59,2%

87,7%

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%


En definitiva, y tomando en consideración la situación en los hogares y en las pymes, se prevé una evolución positiva de esta tecnología, aunque es necesario tomar conciencia de la problemática de la seguridad wireless.

Según Gartner115, las tecnologías clave de la telefonía móvil de aquí a 2011 serán:

• Las redes 3,5G (redes de nueva generación diseñadas para obtener una mayor eficiencia en el uso del espectro para el transporte de voz y de datos de forma simultánea, con el fin de reducir costes de infraestructuras y aunar servicios de tráfico de datos) y 3,75G (Long Term Evolution o LTE116), así como las tecnologías del tipo Metro Wirelss Broadband, sobre todo la Wi-Fi Mesh o redes malladas, consistente en la creación de áreas de cobertura en espacios abiertos mediante equipos de radio (nodos).

• La tecnología WiMAX alcanzará los 60 millones de usuarios en 2010, y se espera que en 2012 se vean los primeros despliegues de la tecnología 4G.

115 Wireless & Mobile Summit 2007. Disponible en http://www.gartner.com/2_events/conferences/emob7i.jsp

116 3GPP Long Term Evolution (LTE) es el nombre dado al proyecto de 3GPP para mejorar el estándar UMTS para hacer frente a las futuras necesidades. Estas mejoras son el aumento de la eficiencia, la reducción de los costes, la ampliación y mejora de los servicios prestados y una mayor integración con los protocolos ya existentes.

http://www.gartner.com/2_events/conferences/emob7i.jsp



• La tecnología Bluetooth también gozará de un lugar privilegiado. En cuanto a los terminales, se confirma el dominio de los dispositivos destinados al gran público frente a los especializados para profesionales (uno de cada diez).

• Los smartphones abarcarán más del 60,0% del mercado de la telefonía móvil en 2010 en Europa, con una aceleración de la disponibilidad de nuevas funciones en los terminales móviles (música, vídeo, DRM117, etcétera).

• Más de la mitad de las empresas destinarán más del 5,0% de sus presupuestos para TIC a las tecnologías móviles de aquí a 2009.

Por tanto, actualmente se está ante un fenómeno globalizado de movilización de las comunicaciones, de forma que cada vez será más sencillo y habitual disponer de una conexión inalámbrica en cualquier lugar y a cualquier hora.

6.1.1 Cifras relacionadas con la seguridad

De las entrevistas realizadas se desprende que la mayoría de las empresas españolas subestiman o simplemente no conocen las amenazas derivadas del uso inadecuado de los dispositivos móviles. Esta conclusión también se podría extraer del escaso número de denuncias por robo y de la escasa difusión de los problemas originados.

El análisis se centra en el robo de los dispositivos, con la consiguiente pérdida de datos y el coste que supone recuperarlos, y en el daño que pueden ocasionar las infecciones por ataques de virus.

Una aproximación muestra que un 28,0% de ejecutivos españoles perdieron alguno de estos dispositivos durante 2007, según datos de un reciente estudio de mercado encargado por Toshiba a Dynamic Markets sobre el comportamiento de los ejecutivos con sus agendas electrónicas, PDA o smartphones en el año 2006118. El estudio demuestra además que la medida de seguridad que los ejecutivos consideran más práctica y efectiva para mantener la información de negocios a salvo es el reconocimiento dactilar (26,0%). Por último, el 72% de los ejecutivos afirma que para evitar cualquier pérdida protegen la información almacenada en sus dispositivos con una contraseña.

Por otro lado, la Red de Tecnología de Wisconsin estima que en 2007 más de 250.000 teléfonos móviles y dispositivos portátiles se extraviaron en aeropuertos en Estados Unidos, de los que solamente el 25-30% fue devuelto a sus dueños. Las autoridades del

117 Digital Radio Mondiale o DRM es un estándar de radiodifusión sonora de radio digital desarrollado por el Consorcio Digital Radio Mondiale para mejorar la calidad de las transmisiones analógicas de la radio en las bandas de amplitud modulada.

118 Disponible en http://www.terra.es/tecnologia/articulo/html/tec15650.htm

http://www.terra.es/tecnologia/articulo/html/tec15650.htm



metro de Londres informan de que alrededor de 100.000 dispositivos son encontrados en sus subterráneos cada año.

Además, numerosos usuarios no tienen conciencia de los enormes riesgos inherentes a los dispositivos móviles. En 2007, InsightExpress realizó una encuesta online, encargada por Cisco Systems y la Alianza Nacional de Seguridad Cibernética (NCSA) entre 700 trabajadores de siete países que usaban estos dispositivos, y descubrió que el 73,0% de los usuarios no tenía conciencia de los riesgos de seguridad y las mejores prácticas para evitarlos119.

Según Jack Heine, analista de Gartner, el costo de cada teléfono móvil o PDA no recuperado es de 2.500 dólares debido a los datos que contiene. Gartner anuncia que las empresas con más de 5.000 empleados podrían ahorrar entre 300.000 y 500.000 dólares por año identificando y siguiendo los dispositivos120.

Otro de los riesgos inherentes a la pérdida o robo de los dispositivos es el robo de los datos. El riesgo de robo de datos es creciente; así lo manifiestan entidades como Identity Theft Resource Center (ITRC)121, que afirma que 19 personas son víctimas de robos de identidad cada minuto debido a la fuga de datos ocasionados por el robo de PDA122. Otras fuentes, como el Ponemon Institute, señalan que durante un periodo de tres años, 217 millones de americanos fueron víctimas de robos de identidad o estuvieron expuestos a los mismos123.

En cuanto a los virus o malware que afectan a este tipo de terminales, datos de un reciente estudio de Informa Telecoms & Media esponsorizado por McAfee124 señalan que, en el año 2007, el 83,0% de las 200 operadoras de telefonía móvil encuestadas había sido afectado por diferentes problemas e infecciones. El número de incidentes es aún muy bajo y afecta a pocos usuarios, si bien en 2006 fue de cinco veces mayor que en 2005; el coste para hacer frente a las amenazas fue de más de mil horas de trabajo, lo que supuso un incremento de un 700%.

119 Disponible en http://newsroom.cisco.com/dlls/2007/prod_082107b.html

120 Jack Heine: ¿Cuál es el costo de teléfonos y PDA perdidos?. Disponible en http://www.techweb.com/wire/story/TWB20010425S0006

121 Disponible en http://www.idtheftcenter.org/index.html

122 Disponible en http://www.idtheftcenter.org/artman2/publish/v_fact_sheets/Fact_Sheet_104.shtml

123 GRUPO SIA: “La seguridad en el puesto final móvil corporativo: estrategias y estado del arte”. en Jornada Respuestas SIC. Ponencias puesto final móvil corporativo. La seguridad en la última frontera. Febrero de 2008, Madrid.

124 Nota de prensa del estudio disponible en http://www.mcafee.com/us/about/press/corporate/2007/20070212_120001_b.html. El estudio está disponible en http://www.mcafee.com/us/enterprise/products/mobile_security/index.html

http://newsroom.cisco.com/dlls/2007/prod_082107b.html

http://www.techweb.com/wire/story/TWB20010425S0006

http://www.idtheftcenter.org/index.html

http://www.idtheftcenter.org/artman2/publish/v_fact_sheets/Fact_Sheet_104.shtml

http://www.mcafee.com/us/about/press/corporate/2007/20070212_120001_b.html

http://www.mcafee.com/us/enterprise/products/mobile_security/index.html



A pesar de estas cifras, y según un reciente informe de G DATA, la tendencia en el desarrollo de nuevas amenazas por parte de la industria del malware dirigidas a los dispositivos móviles está a la baja. En 2006, las incidencias registradas ascendieron a 73, en 2007 la cifra sólo llego a 22 y entre enero y febrero de 2008 sólo se han desarrollado seis nuevas amenazas. En la actualidad, según afirma el director del laboratorio de seguridad de G DATA Ralf Benzmüller125, tan sólo existen 101 virus que afectan a este tipo de dispositivos y ninguno de ellos presenta un potencial dañino destacable.

No obstante, según un estudio realizado por SearchMobileComputing126 sobre los aspectos más importantes para las organizaciones en materia de seguridad móvil, el tema de los virus sólo preocupa al 42,5% de los encuestados (ver Gráfico 23). La preocupación recae principalmente en la pérdida o robo de dispositivos móviles (87,5% de los participantes), el acceso no autorizado a la red (65,0%) y el robo de datos en reposo (47,5%).

Gráfico 23: ¿Cuáles son los aspectos más importantes para su organización en materia de seguridad móvil?

0%10%20%30%40%50%60%70%80%90%

100%

Pérdida o robo de dispositivos

móviles

Acceso no autorizado a la

red

Robo de datos en reposo

Virus Robo de datos por el aire

Incumplimento de normativas

Fuente: Estudio 2007, SearchMobileComputing.com

Dados los graves impactos que podrían generar a las personas y compañías la pérdida o el daño de este tipo de dispositivos, la necesidad de protegerlos resulta cada vez más importante.

125 Benzmüller, R.: “El miedo: el malware más dañino en seguridad móvil”. Revista Auditoria y Seguridad, mayo de 2008. Disponible en http://www.revista-ays.com/DocsNum22/Tribuna/Ralf.pdf

126 López Rebollal, E. y Jarauta Sánchez, J. : “Seguridad en entornos móviles corporativos”. Revista Seguridad en Información y comunicaciones (SIC), abril de 2008. Disponible en http://www.sia.es/noticias/SIC79_082-088.pdf

http://www.revista-ays.com/DocsNum22/Tribuna/Ralf.pdf

http://www.sia.es/noticias/SIC79_082-088.pdf



6.2 Problemas de securización: vulnerabilidades y consecuencias

Considerando las características propias de estos dispositivos, junto con la importancia que tienen en la sociedad actual, y siguiendo con la estructura de análisis de la problemática de las tecnologías inalámbricas, se ha definido una dimensión de seguridad denominada protección del dispositivo.

Es una realidad que el número de trabajadores móviles de las empresas está en continuo crecimiento, como confirma el estudio elaborado por IDC por encargo de Nokia Situación y tendencias de movilidad en España 2007127. Según el mismo, 8,5 millones de españoles cumplen con esta condición, por lo que necesitan un teléfono móvil o un portátil con conexión a Internet para llevar a cabo su actividad laboral; de ellos, 230.000 se conectan a Internet utilizando un dispositivo móvil. El informe revela que un 50% de las grandes empresas implementa una estrategia de movilidad, porcentaje que desciende al 40-45% en el caso de las medianas y al 35% en el de las pequeñas128.

La movilidad se constituye en un elemento que reporta importantes ventajas en el ámbito profesional y personal de los individuos; de hecho, uno de los factores clave en el éxito de la movilidad en las comunicaciones es la capacidad para conciliar la vida profesional y personal como consecuencia de la inmediatez.

La mejora en los anchos de banda y las coberturas territoriales ha permitido un crecimiento exponencial de la tecnología móvil en los últimos años, masificando el mercado y generando nuevas aplicaciones y servicios asociados a estos dispositivos.

A pesar de estas ventajas y de la actual tasa de penetración de los dispositivos móviles, estos tienen asociados vulnerabilidades o riesgos que afectan a su funcionamiento y a la información almacenada en ellos. La mayor parte de las organizaciones no están suficientemente preparadas para afrontar estos riesgos, en parte porque la penetración del uso de dispositivos móviles ha estado impulsada por los propios usuarios, y porque su diversidad hace muy difícil su tratamiento homogéneo: en la mayoría de los casos existen políticas de seguridad básicas que impiden mantenerlos en entornos seguros129. En un primer momento, en el que el servicio básico móvil era la comunicación por voz, la disparidad de modelos no representaba ningún problema para los profesionales, pero ahora que las posibilidades de comunicación van más allá, empieza a ser un punto delicado.

127 Disponible en http://media.noticias.com/static/tendenciasmovilidad.pdf

128 Grau, J.: “La integridad de la red y de la información corporativa en las comunicaciones móviles”. Revista Auditoria y Seguridad (SIC,) mayo de 2008. Disponible en http://www.revista-ays.com/DocsNum22/PersEmpresarial/Grau.pdf.

129 López Rebollal, E. y Jarauta Sánchez, J. Op. cit. 126.

http://media.noticias.com/static/tendenciasmovilidad.pdf

http://www.revista-ays.com/DocsNum22/PersEmpresarial/Grau.pdf


El motivo principal es la velocidad de cambio de los terminales, seguida del hecho de que un porcentaje importante de estos terminales se adquieren de forma personal y con un uso compartido. Por ejemplo, las PDA adquiridas por los empleados son utilizados para recibir correos electrónicos, pero a nivel particular utilizan el GPS, la agenda para contactos personales, la cámara fotográfica, etcétera.

En el caso de las PDA, como se puede ver en la siguiente figura, el problema se origina al ser mecanismos puentes para el acceso a las redes corporativas, como transmisoras de virus y malware, acceso VPN imperdonado, fuga de información confidencial o robo de credenciales.

Figura 13: Fuentes de infección de dispositivos móviles

Conexión P2PBluetooth

Sincronización PC

Acceso WIFI-LAN

Tarjeta de memoria

Virus informático

Red comunicaciones web, correo móvil

Red comunicaciones SMS, MMS, WAP

Fuente: INTECO

Bajo esta premisa y desde la perspectiva de la seguridad, la mayoría de empresas y los individuos no conocen o subestiman las amenazas o riesgos asociados a las tecnologías móviles. La probabilidad de pérdida de los dispositivos es cada vez más elevada, así como el acceso sin autorización, la amenaza constante de dispositivos infectados por la generación de virus o códigos maliciosos (malware) y la fuga y pérdida de información. Estas amenazas son inherentes a los propios dispositivos, dado que utilizan la amplia gama de posibilidades de comunicación (GPRS-UMTS, Bluetooth, WLAN), como vectores de ataque e introducción de virus y malware.

En definitiva, hay que abordar la seguridad considerando la movilidad como un servicio en que el dispositivo es un elemento más de la cadena de uso. Según David Fernández,




director de la división de movilidad de Microsoft130, hay niveles de seguridad implementados en los dispositivo (acceso, uso, instalación de aplicaciones, etcétera), seguridad de la red y seguridad como extensión de las políticas ya existentes en las empresas.

Los ataques relacionados con los dispositivos de seguridad se reflejan en la siguiente tabla.

Tabla 28: Ataque a la protección de dispositivos


Robo/pérdida/ daño

Consiste en robar el dispositivo de acceso con o sin violencia, o simplemente perderlo o dañarlo. Por ejemplo, un asaltante podría acceder a los mismos recursos y a la misma información que el dueño legítimo del dispositivo. En caso de pérdida o daño, el usuario podría no disponer de la información relevante contenida en el dispositivo.

Acceso no autorizado

Consulta de información disponible sin autorización del propietario. Se podría realizar simplemente si un usuario se ausenta de su puesto de trabajo y deja sin bloquear la PDA.

Malware Infección de los dispositivos mediante software con intenciones no claras para el propietario. Se suele asociar principalmente a la introducción de un virus o un programa espía.

Fuente: INTECO

Robo/pérdida/daño

La naturaleza de estos dispositivos los convierten en objeto de posibles sustracciones por individuos que deseen los propios aparatos o busquen en ellos la información que almacenan. Además, en la mayoría de los casos al interés por el propio dispositivo se une el deseo por obtener información personal, crediticia y/o bancaria, o corporativa de la empresa en la que el individuo trabaja.

Numerosos teléfonos avanzados (smartphones) ofrecen importantes capacidades de almacenamiento, conexiones Bluetooth, Wi-Fi y 3G con tasas de transferencia de datos de alta velocidad. Por ello, es mucha la información que un solo dispositivo puede contener. Además, en la medida en que cada vez más empleados fuera de la oficina acceden a aplicaciones esenciales a través de pequeños dispositivos, los datos corporativos son susceptibles de pérdida, robo o daño son cada vez más.

130 “Seguridad en entornos móviles”. Revista Auditoria y Seguridad (SIC), mayo de 2008. Disponible en http://www.revista-ays.com/DocsNum22/PersEmpresarial/Fernandez.pdf

http://www.revista-ays.com/DocsNum22/PersEmpresarial/Fernandez.pdf

http://www.revista-ays.com/DocsNum22/PersEmpresarial/Fernandez.pdf



Algunas empresas entrevistadas durante el desarrollo de este estudio han señalado que el número de víctimas de estos ataques se mantiene relativamente estable, aunque eso no significa que no se deban tomar medidas al respecto.

La divulgación de datos perdidos o robados de una empresa, sumada al aumento de los robos de dispositivos móviles, hace de ello preocupación pública, ya que afecta a los ciudadanos tanto en el plano personal como en el profesional y a las empresas en general. Por este motivo, los individuos y las organizaciones deben ser conscientes de esta realidad y tomar medidas de protección al respecto que pasan por el control de accesos, la recuperación de datos y el cifrado de la información confidencial.

Acceso no autorizado

Por las propias características de los dispositivos móviles, el acceso no autorizado puede producir importantes daños a los individuos y a las organizaciones.

Los ataques externos son caros y arriesgados, por lo que los cibercriminales optan por explotar las debilidades problemas internas de las organizaciones para conseguir la información que necesitan.

Según datos de Trend Micro131, más del 80% de las fugas de información en las compañías responde a problemas internos ocasionados por políticas de seguridad insuficientes, originadas principalmente por:

• La falta de capacitación básica a los empleados en riesgos de seguridad TIC.

• El incremento del número de usuarios con permisos de acceso excesivos.

• El tránsito de la información confidencial a través de la red sin el amparo de infraestructuras de seguridad corporativa.

• La pérdida de información por terceras partes relacionadas con la compañía.

Para evitar este tipo de ataques se requerirán políticas y procedimientos adecuados. Afortunadamente los criterios recogidos en la ISO 27000 sobre Sistemas de Gestión de Seguridad de la Información (SGSI) son perfectamente válidos para encarar estas necesidades. Pasan, en primer lugar, por la revisión de las políticas de seguridad y la preparación y revisión de los procedimientos que aplican.

131 López Rebollal, E. y Jarauta Sánchez, J. Op. cit. 126.



Malware

Con más de 2.500 millones de usuarios de móviles en el mundo y cerca de 1.000 millones de envíos de dispositivos móviles en 2006, los servicios para móviles se están expandiendo con funcionalidades diversas y, a un tiempo, el entorno móvil se está convirtiendo en objetivo de ataques maliciosos.

Los códigos malware para dispositivos móviles funcionan de manera análoga a como lo hacían con los ordenadores portátiles hace unos años (red, correo, spam, descargas…), pero su nivel de avance en este caso es 10 veces superior132, lo que también se ve incrementado por el uso particular que hacen los empleados de los móviles corporativos.

Las características propias del malware para dispositivos móviles son:

• Se utilizan comúnmente los SMS y MMS como mecanismos de propagación. Cualquier usuario podría recibir un supuesto ringtone o cualquier otro elemento que puede resultar ser malware. En este caso, el usuario debe encontrarse dentro de la cobertura de los servicios móviles de su proveedor o recibir el virus a través de alguno de sus contactos que ya esté afectado.

• Otra posible vía de difusión de los virus es la sincronización de los dispositivos vía puerto USB.

• La posibilidad de combinar el uso personal y profesional en los dispositivos. De esta forma, los ataques de efecto social (como los contactos asociados al dispositivo) pueden ser más efectivos.

Los efectos generales más comunes del malware para móviles, según PandaLabs133, son los siguientes:

• Mal funcionamiento del dispositivo, al bloquearse el teléfono móvil.

• Pérdida de productividad por agotamiento de la batería. El atacante juega con el estado de encendido o en espera del terminal móvil de la víctima, mediante el envío continuado de mensajes con datos basura que consiguen que el teléfono salga del modo standby para tratar de determinar si el mensaje recibido es válido. Con el cambio constante de estado entre encendido y en espera, la batería se va agotando a un ritmo veinte veces superior al normal.

132 Kay Miller, S.: Defending mobile devices from viruses, spyware and malware, 2007. Disponible en http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1220595,00.html

133 “El adware ha sido el tipo de malware que más ordenadores ha infectado durante el primer trimestre de 2008”, marzo de 2008. Disponible en http://www.pandasecurity.com/spain/homeusers/media/press-releases/viewnews?noticia=9196

http://searchsecurity.techtarget.com/generic/0,295582,sid14_gci1220595,00.html

http://www.pandasecurity.com/spain/homeusers/media/press-releases/viewnews?noticia=9196


• Costes indeseados originados por el envío de SMS a números de tarificación especial.

• Pérdida de datos e información tras un borrado de carpetas o de mensajes.

• Robo de datos confidenciales, como los números de teléfono de la agenda, los SMS u otra información sensible que pueda haber almacenada en el dispositivo.

En el ámbito de los fabricantes, operadores móviles, empresas y usuarios, las consecuencias podrían ser las siguientes:

Tabla 29: Consecuencias relacionadas con la vulnerabilidad de los dispositivos

Fabricantes dispositivos Operadores móviles Empresas Usuarios

Costes de devolución de los dispositivos infectados. Daño a la imagen y reputación de la empresa en el mercado.

Pérdida de imagen, descontento del cliente e inestabilidad de los clientes. Minutos facturables perdidos en los dispositivos infectados por virus. Llamadas al servicio de atención al cliente por la infección o sus consecuencias. Servicio interrumpido (por ejemplo, ataque de denegación de servicio vía SMS).

Pérdida de productividad del empleado. Impacto en la productividad global de la empresa. Costes de reponer o de reparar el dispositivo. Riesgo de pérdida de datos.

Dispositivo inutilizable. Pérdida de productividad. Pérdida de información personal valiosa e información en general. Devolución del dispositivo para su reparación o solicitud de un nuevo dispositivo

Fuente: Trend Micro

Basándose en la clasificación ISO 18028-2:2006, los expertos y los entrevistados concluyen que las consecuencias personales y profesionales generales de estos ataques podrían ser las siguientes:




• Revelación de información por personas no autorizadas.



6.3 Soluciones de seguridad

En este apartado se describen las medidas y soluciones de seguridad existentes para proteger los dispositivos móviles en sí, independientemente de la tecnología inalámbrica que utilicen.

Todas las soluciones indicadas podrán ser implantadas en mayor o menor medida en función de la capacidad de procesamiento del terminal o dispositivo utilizado.

6.3.1 Políticas de gestión de asignación de perfiles de usuarios

El parque de móviles en las empresas está creciendo cada día más, lo que conlleva una gestión bastante más difícil y compleja. Los motivos de este aumento son el abaratamiento de los terminales y de las tarifas y la facilidad y la conveniencia del uso de estos dispositivos para desarrollar un trabajo cada día más competitivo. Adicionalmente, los empleados utilizan en numerosas ocasiones los móviles de la empresa para fines particulares, por lo que es más necesario que nunca establecer mecanismos de control sobre ellos. Por regla general, no existen medidas concretas para evitarlo, pero sí para controlarlo y evitar así riesgos de seguridad.

En general, unas buenas prácticas en seguridad para entornos móviles incluyen las siguientes acciones:

• Actualizar la política de seguridad.

• Elaborar una guía de buenas prácticas para usuarios, prestando especial atención a la formación y concienciación.

• Establecer una política de realización de copias de seguridad periódicas (anuales, semestrales, mensuales, semanales y diarias, según el volumen de los datos).

• Implantar mecanismos de reinicio y borrado remoto de los dispositivos.

• Aplicar el control de acceso a los dispositivos para prevenirlos del uso inadecuado por usuarios no legítimos.

• Realizar una gestión centralizada de los dispositivos.

• Cifrar los datos sensibles corporativos o personales para favorecer la confidencialidad.

• Establecer una protección antimalware.

• Gestionar un control de políticas de puntos de acceso.



• Prevenir las fugas de información.

A continuación, se identifican las soluciones más habituales para la resolución de problemas de seguridad y de gestión en dispositivos móviles.

Sistemas de gestión centralizada de dispositivos

Están basados en procesos automáticos que, de un modo flexible y rentable, permiten controlar y administrar recursos móviles minimizando los costes administrativos destinados a TIC. Estos controladores suelen ser compatibles con un alto espectro de plataformas para dispositivos móviles y para ordenadores de sobremesa y portátiles. Con esta solución se puede mantener el control de todos los dispositivos móviles y su información de forma centralizada, permitiendo así una mayor eficiencia a la hora de gestionarlos.

Las principales características de estos sistemas son:

• Control del inventario de terminales móviles de la empresa.

• Bloqueo y borrado remoto de información en caso de pérdida o robo del terminal móvil. Los dispositivos más modernos incluyen cliente OMA MD (Open Mobile Alliance Device Management), que permite varias funciones básicas de gestión, entre ellas la reinicialización de los dispositivos.

• Control remoto del software instalado por los usuarios y borrado si no cumple con las políticas de seguridad establecidas por la empresa.

• Aplicación de las políticas de seguridad de los sistemas operativos, desde el control de permisos a los usuarios hasta la denegación de acceso a determinados entornos o áreas privadas. En este caso, la recomendación efectuada por las empresas entrevistadas es la utilización del software original, de forma que se puedan realizar las actualizaciones de seguridad pertinentes, además de poder recurrir a los departamentos de TIC si fuera necesario. Estas políticas pueden incluir mecanismos que obliguen a los usuarios a aplicar las medidas más habituales para securizar un dispositivo móvil, como los códigos de acceso al dispositivo, la realización de copias de seguridad periódicas y la encriptación de la información.

Los dispositivos de acceso a redes inalámbricas son el activo sobre el que más capacidad de acción y configuración de la seguridad tienen los usuarios, por lo que se recomienda ser prudente y aplicar las mejores soluciones para trabajar de forma segura en un entorno inalámbrico.



NAC (Network Access Control)

Esta solución trabaja principalmente en la dimensión de la autenticación y se puede encontrar, principalmente, como una opción dentro de paquetes comerciales de algunos antivirus.

El NAC está orientado a detectar la existencia de malware activo en un terminal para evitar que pase a la red. Así es posible controlar y gestionar la autenticación tanto del usuario como del dispositivo.

La fortaleza de esta solución radica en la posibilidad no sólo de identificar el dispositivo, sino también de diagnosticar si cumple con los requisitos y políticas de seguridad establecidas a priori por el propietario (la empresa). En caso de no cumplir con estos requisitos, el sistema obliga al dispositivo a actualizarse antes de conectarse a la red, pudiendo llegar incluso a denegarle el acceso.

Existen también sistemas de protección perimetral asociados al NAC en los que las conexiones ya no sólo pasan a través de firewalls, sino que también incorporan soluciones tipo IDS (sistema de detección de intrusos) o IPS (sistema de prevención de intrusos) para detectar ataques y anticiparse a ellos. Además, se puede utilizar un SCM (Secure Content Management) para paliar el malware, el spam y filtrar la navegación web.

La unión de todo ello con una capa de VPN (Virtual Private Network o túnel de cifrado) representaría una solución bastante poderosa en la protección de los dispositivos.

Además, el sistema NAC permite controlar y detectar el software instalado en un dispositivo, determinar si está permitido o no y, en el último caso, desinstalarlo en remoto. A este respecto, existen dos filosofías en cuanto a la protección de dispositivos: una de ellas consiste en mantener una lista “blanca” de aplicaciones que se pueden ejecutar, y la otra, opuesta, en mantener una lista “negra” con las que no tienen permiso. Algunos fabricantes recomiendan la primera de ellas, ya que mantiene la seguridad desde el dispositivo hacia la red, el exterior.

Soluciones para mantener la privacidad de los datos almacenados en las PDA y teléfonos inteligentes

Tanto las agendas electrónicas o PDA como los teléfonos de última generación se caracterizan por disponer de una gran capacidad de cómputo y almacenamiento de datos. Por ello suelen contener información empresarial o particular de elevado valor y, en algunos casos, de carácter confidencial para sus propietarios, quienes pierden el control sobre ella en el momento en que extravían el dispositivo móvil o son víctimas de un robo. Además, ciertas aplicaciones, como el correo electrónico, dificultan el



seguimiento de la información almacenada. Todo esto puede llegar a ser un foco de riesgo para los negocios y los particulares.

Para solventar los problemas mencionados anteriormente existen soluciones que actúan de forma directa sobre la información, protegiendo la propiedad intelectual empresarial y el resto de datos almacenados en el dispositivo mediante una combinación eficaz de productos de cifrado. Estas soluciones son capaces de funcionar sobre varios sistemas operativos (Symbian, Pocket PC, Windows Mobile Smartphone y Palm).

Estas herramientas hacen que la información sea ilegible por terceras personas mediante la aplicación de algoritmos de cifrado.

Soluciones para la autenticación de información en la red

Los “autenticadores” suelen ser llaves que se conectan a los dispositivos móviles y son capaces de generar claves para cifrar información. Son mecanismos extremadamente fáciles de utilizar y llevan asociado un alto grado de seguridad. Entre los posibles usos de estos mecanismos está la ayuda a las empresas a proteger información privada a través de la gestión de las identidades de los usuarios o mediante la firma de transacciones.

6.3.2 Políticas de gestión de riegos y actuaciones en caso de sustracción o extravío

Políticas de gestión de riegos

Por parte del departamento de IT, la prevención y el control de riesgos en entornos móviles se basa en los mecanismos de seguridad tradicionales, como las políticas de seguridad. Estas se deben definir para que minimicen todos los posibles acontecimientos que interrumpan la actividad normal de una empresa.

Sólo un reducido número de organizaciones dispone de políticas de seguridad que consideren los riesgos de los dispositivos móviles. No obstante, son el primer paso para securizar los entornos móviles, por lo que deben llevarse a cabo en base a:

• Las necesidades de movilidad de los usuarios y de los propios dispositivos. Las políticas han de poder responder a los siguientes interrogantes.

o Quién: usuarios y grupos de usuarios del dispositivo.

o Qué: acciones realizadas con los dispositivos: emisión y recepción de e-mails, actualización, descarga, etcétera.

o Sobre qué: ordenadores o dispositivos móviles, o grupos de ellos.




o Dónde: qué áreas, dónde están, servidores de datos, de aplicaciones, pantallas táctiles, dispositivos, control de redes, etcétera.

• Las necesidades de acceso a las redes, sistemas o datos.

o Redes: qué redes, quién puede acceder, con qué permisos, para hacer qué.

o Sistemas: qué sistemas, con qué permisos.

o Datos: quién puede leer, modificar, escribir o borrar qué datos.

• Las acciones que están permitidas y las que están expresamente prohibidas (lista “blanca” y lista “negra”).

• La especificación de las medidas de seguridad que se tienen que llevar a cabo para tratar de alcanzar las mejores prácticas en este aspecto dentro de la empresa. Para ello, se recomienda dentro de la organización134:

o Incrementar los conocimientos sobre la naturaleza de los diferentes riesgos.

o Determinar el impacto cuantificado de la pérdida de información o de los problemas para acceder a sus aplicaciones.

o Conocer las herramientas disponibles para gestionar los riesgos informáticos.

o Ajustar la gestión de riesgos IT al valor de la corporación.

o Crear una capacidad sistemática y corporativa para gestionar los riesgos a la seguridad.

• Los procesos de formación y de auditoría. La mejor defensa, sin ningún tipo de duda, es una buena formación por parte del usuario. A su vez, los procesos de auditoría interna y la obligación de cumplir determinados requisitos de seguridad pueden ayudar a establecer una foto del estado de la seguridad dentro de la empresa, y con ella, ayudar a mejorarla en un proceso continuo.

134 Fuertes, L.: Gestión de riesgos IT. Cómo implantar las mejores prácticas.



Actuación en caso de pérdida o sustracción del dispositivo

El riesgo más frecuente, cuando se utilizan dispositivos móviles, es su pérdida o sustracción. En esta situación se debe actuar según la política de seguridad de la empresa o de la compañía de telecomunicaciones que presta el servicio. En cualquier caso, y con carácter general, los pasos más habituales son:

• Presentar una denuncia ante la policía, informando del hecho.

• Informar al departamento de IT, si el dispositivo es gestionado por el mismo, para que proceda según lo establecido. Si dispone de sistemas de protección y gestión de dispositivos, los pasos normales serían:

o Bloqueo del dispositivo.

o Borrado remoto de la información contenida en el dispositivo.

o Recuperación de la información perdida en un nuevo dispositivo.

• Ponerse en contacto directamente con el operador de telecomunicaciones que proporciona el servicio, si ese dispositivo no es gestionado por ningún departamento de IT, para solicitar el bloqueo del terminal. Para ello será necesario disponer del código IMEI135, habitualmente impreso en la parte posterior del equipo, bajo la batería, o marcar la secuencia “*#06#” para que aparezca en la pantalla. En caso de pérdida o robo, este es el dato fundamental que hay que proporcionar al operador de telefonía móvil para que bloquee el terminal y no se pueda volver a utilizar, con independencia de la tarjeta SIM que se pretenda utilizar136.

6.3.3 Políticas de recuperación de la información ante contingencias

El mecanismo más extendido para solucionar problemas de pérdida de información es la definición de políticas de copias de seguridad o backup. Se suelen establecer en función de las necesidades de cada usuario/empresa pero, en general, se recomienda que tengan la suficiente frecuencia para no ocasionar un grave perjuicio a la empresa, en el supuesto de perder toda o parte de la información. El otro aspecto clave es que el lugar, soporte o medio en el que se realice el backup o copiado de la información, que debe estar bien protegido y, en el mejor de los caso, en un lugar distinto de donde se almacena la información original. 135 El IMEI (International Mobile Equipment Identity) es un código pregrabado en los teléfonos móviles GSMque identifica al aparato unívocamente a nivel mundial.

136 Red. es: Manuales Plan Avanza: Ciudadanía móvil, 2008. Disponible en http://www.red.es/prensa/pdf/ciudadania_movil.pdf

http://www.red.es/prensa/pdf/ciudadania_movil.pdf



Existe, por otra parte, una metodología formal, denominada plan de contingencia, que trata de normalizar el proceso por el cual se analizan los riesgos. A través del mismo se toman medidas preventivas para evitar la pérdida de información y se definen los planes de recuperación. Se divide en las siguientes fases137:

• Identificación de los posibles riesgos y amenazas. Esta fase es crucial, pues el olvido de algún elemento puede ser crítico a la hora de recuperar el sistema.

• Evaluación de los riesgos identificados, catalogándolos y asignándoles un grado de importancia.

• Asignación de prioridades en la recuperación de aplicaciones y procesos del negocio.

• Establecimiento de los requerimientos de la recuperación.

• Elaboración de la documentación del plan.

• Verificación e implementación del plan.

• Distribución y mantenimiento del plan.

Para la evaluación de los impactos de los riesgos, se deben tener en cuenta los siguientes costes:

• Costes de reemplazar los equipos, redes y demás infraestructuras. Es el coste más “limpio” para el negocio, ya que lo único que se verá afectado será la cuenta corriente de la empresa.

• Costes por falta de producción. Se basa en estimaciones de la producción asociada a la información disponible (por ejemplo, teléfonos de contacto de clientes o proveedores). Generalmente se sabe cuánto se produce diariamente, y se puede estimar cuánto se dejaría de producir si se perdiera la información en cuestión.

• Costes de reputación. Son sin duda los más peligrosos y a la vez los más difíciles de evaluar. Los clientes son lo primero dentro de cualquier compañía y su confianza en el negocio es fundamental. Esta confianza puede verse debilitada si se da una imagen de incapacidad para solucionar problemas de pérdida de información, y si esta sensación se extiende en el mercado, las consecuencias para la empresa pueden ser irreversibles.

137 Click-off. Seguridad Informática. Disponible en http://clik-of.com/plancontingencia.htm

http://clik-of.com/plancontingencia.htm


Para la asignación de prioridades a las aplicaciones y a los procesos del negocio se deberá establecer un orden lógico según la necesidad de cada área implicada, por lo que se deberá saber qué función tiene cada área y qué hace cada sistema. Se debe poder distinguir entre lo que es más urgente (acción que se debe realizar en primer lugar) y lo más importante (impacto que hay que evitar o conseguir) para saber qué se debe restaurar primero, pensando siempre en el peor caso posible para evitar sorpresas.

Para el establecimiento de los requerimientos de recuperación, la clave es definir un periodo de tiempo aceptable y viable para lograr que todo el sistema esté de nuevo activo. Este periodo debe ser verificado para comprobar que es realista y factible por toda la organización.

Para la elaboración, verificación y distribución de la documentación del plan se debe contar con la siguiente información:

• Números de teléfono, direcciones y mapas o planos de localización. Aunque resulte obvio, es necesario tener bien apuntado los teléfonos generales (como el de los bomberos), así como los mapas de los centros alternativos de trabajo.

• Responsabilidades, procedimientos y prioridades. Cada persona tiene su responsabilidad dentro del plan y debe tener unos pasos a seguir previamente establecidos. También debe aparecer todos los procesos y sus prioridades.

• Información sobre adquisiciones y compras. En el momento del desastre se debe saber a quién acudir para reabastecerse y el tiempo que llevará hacerlo.

• Diagramas de las instalaciones. Contar con ellos permite abordar el problema de una manera mucho más rápida y eficiente. Las redes claramente documentadas y etiquetadas permiten incluso subcontratar la instalación de los sistemas a empresas especializadas.

• Sistemas, configuraciones y copias de seguridad en cinta u otros medios. Se debe poseer copias de seguridad actualizadas en otra ubicación física y con el contenido y las configuraciones de los servidores y redes bien documentados.

En resumen, la seguridad de los dispositivos móviles debe ser una tarea cuya responsabilidad esté compartida entre el usuario y la empresa o prestador del servicio. Con la ayuda de mecanismos, políticas o herramientas existentes en el mercado se pueden paliar la gran mayoría de los problemas de seguridad existentes, ya que, como se ha podido comprobar, estas medidas son principalmente correctivas frente a robos, accesos o pérdidas de formación.



7 CONCLUSIONES Y RECOMENDACIONES

7.1 Conclusiones

En los capítulos anteriores se ha realizado un exhaustivo estudio de las diferentes tecnologías inalámbricas utilizadas en España, así como de los principales riesgos y vulnerabilidades y sus soluciones. En base a estos análisis, se puede concluir que:

• Las medidas de seguridad disponibles para los usuarios y las pymes van encaminadas a proteger los dispositivos de acceso, a nivel individual o mediante una gestión centralizada, mientras que los proveedores (de servicios de telecomunicaciones, fabricantes de terminales y equipos de red) asumen la seguridad intrínseca de la tecnología y los organismos competentes definen las políticas y normas de seguridad.

• La seguridad de las tecnologías, y de las redes en general, puede ser analizada desde el punto de vista de cobertura de las dimensiones de seguridad identificadas:

o Control de acceso.

o Autenticación.

o Disponibilidad.

o Confidencialidad.

o Integridad.

o No repudio.

• La vulnerabilidades (y, por consiguiente, los ataques) de las tecnologías inalámbricas son comunes a todas ellas, ya que funcionan por ondas de radio, si bien la forma de llevar a cabo los ataques es diferente.

o Todas las tecnologías de comunicaciones provistas por operadores, como GSM/GPRS/UMTS/HSPA y WiMAX, son suficientemente seguras, por lo que el usuario debe prestar atención a la protección de su dispositivo, el eslabón más débil de la cadena.

o En cambio, en las tecnologías cuya utilización y gestión corresponden al usuario final la seguridad depende en gran medida de:




- Una gestión del servicio responsable por parte del usuario y una configuración para la solicitud de contraseñas con cada conexión (Bluetooth).

- La observación visual del entorno de validación y custodia del dispositivo (NFC).

- La utilización por parte del usuario de al menos un mecanismo de cifrado, siendo los más recomendables el WPA PSK para pymes y el WPA para usuarios finales (wireless LAN o 802.11).

Por otro lado, también se ha constatado que la seguridad es una prioridad en todas las empresas, por lo que las nuevas tecnologías implementan mejores y más robustas soluciones de seguridad, siendo responsabilidad del usuario final la gestión del dispositivo de acceso.

Sin embargo, todas estas medidas de seguridad son instituidas de forma libre por los diferentes fabricantes y actores del sector, sin que exista ninguna normativa, legislación o regulación que establezca cuales deben ser los criterios de seguridad que una red inalámbrica tiene que cumplir.

Las principales medidas de seguridad van encaminadas a proteger los dispositivos de acceso, bien a nivel individual o mediante una gestión centralizada, delegando la seguridad intrínseca de la tecnología en los organismos que definen los estándares, las políticas y las normas de seguridad para las tecnologías inalámbricas.

En cuanto a los problemas derivados del malware, se concluye que no es responsabilidad de las tecnologías evitar los problemas asociados, sino que dependen en gran medida de los dispositivos utilizados, del software de protección instalado y de las políticas de seguridad definidas, sin olvidar la gestión responsable de los usuarios finales.

Por último, se puede concluir que los entornos inalámbricos en general son seguros y que basta con seguir una serie de recomendaciones básicas para evitar riesgos. En cualquier caso, se recomienda acudir a los diferentes proveedores y especialistas en seguridad para solicitar asesoramiento en cada caso particular.

Tendencias

La globalización, junto con la convergencia de redes y la tendencia hacia unas comunicaciones “todo-IP”138, hacen que ahora más que nunca la seguridad deba entenderse como una necesidad global end-to-end de la red, independientemente de la 138 Disponible en http://vlex.com/vid/322883

http://vlex.com/vid/322883


tecnología y medio por el que se comunica. Por otro lado, la creciente capacidad de los terminales móviles hace que los problemas y las soluciones cada vez se asemejen más a los de un PC de sobremesa.

Por tanto, frente a un panorama en el que las tendencias en seguridad no deben distinguir ni el dispositivo utilizado para acceder la tecnología, ni desde dónde se hace, se puede concluir que el futuro de la seguridad en las comunicaciones pasa por establecer mecanismos que garanticen que la información enviada llega al destino deseado, sin posibilidad de ser interceptada, descifrada ni modificada. Además, esta tecnología deberá impedir el acceso no autorizado de cualquier intruso y/o dispositivo no reconocido, además de garantizar al usuario que se conecta a una red segura, de una forma segura y que esa red es la que dice ser y asegurar en todo momento la disponibilidad de la señal.

Respecto a los dispositivos móviles, sus medidas de securización tienden a ser las mismas que las de un PC. En el aspecto de la movilidad, la tendencia es la de implementar sistemas de gestión centralizada de los dispositivos móviles, para cubrir incidentes de pérdida, robo y recuperación de información.

En cuanto a la información que viaja por la red, cada día se hace más necesario asegurar que está “limpia” de malware. En el futuro, los propios operadores del servicio deberán vigilar el tráfico y establecer unos mínimos controles de seguridad, si bien la responsabilidad final, basada en la utilización de software de seguridad actualizado y de unas buenas prácticas al conectarse a la red, seguirá correspondiendo al usuario que se conecta.

Por último, cabe destacar que uno de los principales caballos de batalla de los operadores y suministradores de tecnologías de comunicación inalámbricas será la garantía de disponibilidad de la red frente a las interferencias existentes en el medio, provocadas en gran medida por otras redes, sistemas de protección mediante inhibidores de frecuencia, situaciones de emergencia, situaciones climatológicas extremas, etcétera.

Se concluye, por tanto, que la evolución va encaminada cada vez más hacia unas tecnologías y dispositivos más seguros. La industria y los organismos independientes definirán todo tipo de soluciones al alcance de los usuarios.

En contra de esta tendencia de evolución tecnológica, está la desinformación general de los usuarios, que no son capaces de absorber y asimilar todos los adelantos tecnológicos ni sus posibilidades, dejando a veces al descubierto aspectos básicos de seguridad por mero desconocimiento o despreocupación.



7.2 Recomendaciones

A partir del conocimiento adquirido según la experiencia previa y lo analizado a lo largo de la realización del presente estudio, INTECO recomienda acciones ligadas a la colaboración, certificación y concienciación de las pymes y ciudadanos y al impulso de un marco regulativo o legislativo:

• Colaboración. Fomentar mediante foros u otras acciones la colaboración de todos los agentes participantes para la identificación de soluciones globales de seguridad, con el objetivo de ofrecer al usuario final una oferta completa.

• Certificación. Es importante que la Administración regule el cumplimiento de unos mínimos de seguridad en comunicaciones inalámbricas para las pymes y los usuarios finales. Esta regulación, además, se puede complementar con la certificación en seguridad de redes inalámbricas, que deberían cumplir las pymes en función de la información que manejan, su tamaño y el sector de actividad y los proveedores de servicios de comunicación inalámbricas en cuanto al servicio prestado/instalado al usuario final.

• Concienciación. La red no es el elemento débil de la cadena, sino los dispositivos y los puntos de acceso. Se debe, por tanto, trabajar de forma intensa en concienciar a los ciudadanos y a las pymes sobre lo importante que es cumplir con unos mínimos de seguridad en las comunicaciones inalámbricas para salvaguardar su información y/o la de sus clientes.

• Regulación/legislación. No existe ninguna legislación ni normativa que establezca unos mínimos de seguridad en la instalación y utilización de redes inalámbricas, por lo que se recomienda la definición de un marco regulatorio y/o legislativo.

Colaboración

Del estudio y entrevistas realizadas se extrae que todos los actores trabajan de forma individual la problemática de la seguridad en el entorno inalámbrico (dispositivos, redes, software, etcétera). En algunos casos se han identificado alianzas que permiten combinar esfuerzos con el fin de asegurar unas comunicaciones más seguras.

La seguridad es un requisito que debe cubrirse con unos mínimos más allá de un interés comercial concreto para asegurar la confianza del usuario en la tecnología y fomentar su utilización. La sensación generalizada de inseguridad puede provocar un descenso en la utilización de dichas tecnologías.

Para ofrecer soluciones end-to-end mínimamente seguras, es importante fomentar la colaboración de todos los agentes, con el fin de identificar el mínimo que debe alcanzarse



para que el usuario final se sienta seguro utilizando las tecnologías inalámbricas. Estas colaboraciones se pueden fomentar mediante la creación de foros donde participen todas las empresas involucradas.

Asimismo, se recomienda que el catalizador de estas colaboraciones entre los diferentes actores sea la propia Administración Pública, a través de organismos independientes que, de forma imparcial y desde la defensa de los intereses de los ciudadanos, involucren a todas las empresas que componen la cadena de valor. El objetivo de estos foros sería establecer criterios comunes de seguridad, utilizando este aspecto como un servicio al ciudadano, y no como un criterio de diferenciación competitiva entre las diferentes industrias. El fomento de la seguridad generalizada va en beneficio de todos, pues ayuda a incrementar el uso de estas tecnologías y, por consiguiente, su competitividad.

Certificación

La seguridad es cuestión de confianza y, por ello, es recomendable definir fórmulas que permitan identificar qué comunicaciones y qué empresas/entornos cumplen unos mínimos de seguridad para que se pueda trabajar con ellas de forma tranquila y segura. Para ello, se recomiendan tres vías de certificación:

• Proveedores de servicio/dispositivos. Deberían garantizar que el producto que entregan y/o comercializan cumple unos mínimos de seguridad, tanto a nivel de políticas como de software, de forma que el usuario final pueda sentirse respaldado por la experiencia de estos proveedores al contratar el servicio.

• Intermediarios. Empresas que ponen a disposición de sus clientes la utilización de tecnologías inalámbricas que tienen en propiedad. Los usuarios de accesos inalámbricos de redes deberían tener la certeza de que la utilización de dichas comunicaciones inalámbricas no les supone ningún riesgo.

• Las pymes. Dado que utilizan tecnologías inalámbricas para su actividad laboral, deberían poder asegurar a sus clientes que la información que tienen con ellos está protegida incluso en un entorno wireless y que cumple con lo establecido por la Ley Orgánica de Protección de Datos Personales y el Reglamento de Medidas de Seguridad.

Al igual que en la recomendación anterior, se propone que la Administración Pública o bien un organismo privado homologado establezca un sello de garantía que certifique que las instalaciones inalámbricas cumplen unos mínimos de seguridad.



Concienciación

Una de las principales conclusiones de este estudio es que la seguridad depende en gran medida del usuario final. En muchos casos son las propias políticas de seguridad que el usuario define, así como las buenas prácticas en la utilización de los dispositivos, las que permiten mantener un nivel de seguridad de los dispositivos y comunicaciones inalámbricas adecuado.

Esta situación hace que sea de vital importancia que las empresas facilitadoras de los servicios inalámbricos (operadores o instaladores de Wi-Fi) conciencien mediante planes de comunicación, tanto a las pymes como a los usuarios finales, de lo importante que es mantener y cumplir unos mínimos de seguridad para garantizar una utilización satisfactoria de las tecnologías inalámbricas de comunicación. Para ello se puede recurrir a diversos mecanismos como campañas publicitarias, manuales de instalación de los productos en cuestión, inclusión en las diferentes guías de usuario utilizadas por los clientes, etcétera.

Por su parte, las administraciones o algún organismo con competencia en la materia pueden contribuir a esta concienciación, con la publicación continuada en sus sitios web de recomendaciones sobre seguridad.

Regulación/legislación

La ausencia de una normativa o regulación específica provoca que los proveedores de servicios de comunicación inalámbrica no se vean obligados a cumplir ningún tipo de mínimos, aunque sea de su propio interés por el bien de su negocio.

A este respecto, se hace necesario que la Administración como poder legislativo establezca y promueva el cumplimiento de unos mínimos de seguridad (información en el momento de la instalación, de los riesgos que existen y las recomendaciones de seguridad, la configuración de seguridad mínima obligatoria o WAP, etcétera) en todas las instalaciones inalámbricas (sobre todo Wi-Fi), de forma que los usuarios estén protegidos.




8 ANEXO I: SOLUCIONES GLOBALES

Las soluciones de seguridad deben estar enfocadas hacia139:

• Identificar, autenticar y, cuando corresponda, autorizar el acceso a los sistemas de información.

• Identificar al remitente y receptor de las comunicaciones electrónicas.

• Controlar el acceso a las personas autorizadas para la utilización de datos e información y para proteger los procesos informáticos frente a manipulaciones no deseadas.

• Mantener la integridad de la información y elementos del sistema, para prevenir pérdidas o alteraciones.

• Garantizar la disponibilidad de la información y de las aplicaciones.

• Prevenir la interceptación, alteración y acceso no autorizado a la información.

• Gestionar las incidencias de seguridad.

• Auditar y controlar la seguridad.

Las soluciones recomendadas en este capítulo para asegurar óptimos niveles de seguridad se estructuran bajo el siguiente esquema:

Figura 14: Soluciones de seguridad

Soluciones globales

Soluciones por tecnología

Dimensiones de la seguridad• Control de acceso• Autenticación• Confidencialidad• Integridad• Disponibilidad• No repudio• Protección de dispositivos

Otras recomendaciones• Políticas de seguridad• Auditorías de seguridad• Análisis y gestión de riesgos• Organización y personas

Soluciones de securización

Soluciones globales

Soluciones por tecnología

Dimensiones de la seguridad• Control de acceso• Autenticación• Confidencialidad• Integridad• Disponibilidad• No repudio• Protección de dispositivos

Otras recomendaciones• Políticas de seguridad• Auditorías de seguridad• Análisis y gestión de riesgos• Organización y personas

Soluciones de securización

Fuente: INTECO

139 Ministerio de Administraciones Públicas. Consejo Superior de Administración Electrónica (2004). Op. cit. 80.



8.1 Soluciones globales

Las soluciones de seguridad presentadas a continuación se consideran a nivel global, independientemente del tipo de red (cableada o inalámbrica) y de las tecnologías que la compongan, y son recomendaciones que permiten responder adecuadamente a los objetivos que engloba el concepto de seguridad.

Existen tres principios unificados de seguridad140:

1) Primer principio de seguridad: “El intruso utilizará cualquier artilugio que haga más fácil su acceso al sistema y posterior ataque”. Existe una diversidad de frentes desde los que se puede producir un ataque. Esto dificulta el análisis de riesgos, porque el delincuente aplicará la filosofía del punto más débil.

2) Segundo principio de seguridad: “Los datos deben protegerse sólo hasta que pierdan su valor”. Aquí se habla, por tanto, de la caducidad del sistema de protección, del tiempo en que debe mantenerse la confidencialidad o secreto del dato.

3) Tercer principio de seguridad: “Las medidas de control se implantan para ser utilizadas de forma efectiva. Deben ser eficientes, fáciles de usar y apropiadas al medio”. Es decir, deben funcionar en el momento oportuno, optimizando los recursos del sistema y pasando desapercibidas para el usuario.

La aplicación de estas recomendaciones dependerá del tamaño de la empresa. Por su parte, los ciudadanos deberán aplicar aquellas medidas que mejor se ajuste a sus necesidades.

8.1.1 Dimensiones de seguridad

En este capítulo se describirán las soluciones que, a lo largo de este estudio, se han identificado para proteger de manera efectiva cada una de las dimensiones de seguridad identificadas en el epígrafe 4.1.1, “Dimensiones de seguridad y vulnerabilidades”:

• Control de acceso: corresponde a la capacidad esencial de proteger los accesos a la red.

• Autenticación: es la capacidad de verificar que un usuario que accede a un sistema o a una determinada información es quien dice ser.

• Confidencialidad: es la condición que asegura que la información sólo pueda estar disponible y ser analizada por personas autorizadas para ello.

140 Martínez Barberá, H.umberto: Seguridad en Redes de Ordenadores. Universidad de Murcia.


• Integridad: condición que asegura que la información puede ser modificada, entendiendo por tal su creación y borrado, por personas autorizadas para ello.

• Disponibilidad: es aquel estado en el que el dato o la información está en el lugar, la forma y el modo debido cuando es requerida por la persona autorizada.

• No repudio: es la capacidad de demostrar que se ha realizado un hecho determinado. A pesar de ser una característica que potencia las dimensiones de autenticación, confidencialidad e integridad, se incluye en este análisis para evitar las vulnerabilidades.

• Protección de dispositivos: entendida también a nivel transversal, corresponde al riesgo de que el dispositivo de acceso a la red caiga en manos no autorizadas o bajo amenazas de software externo.

Para asegurar los conceptos propios de cada una de las dimensiones de seguridad y tomando como referencia las recomendaciones dada por el Consejo Superior de Administración Electrónica (CSAE), se podrían ofrecer las siguientes recomendaciones a nivel general:


• Implantar un procedimiento formalizado de registro de altas y bajas de acceso de usuarios a todos los servicios de la aplicación y del sistema.

• Informar a cada usuario de todos sus derechos de acceso, siendo necesaria su comprensión y aceptación de las condiciones.

• Mantener actualizado el registro de todas las personas con acceso a ciertos servicios, revisándolo periódicamente para evitar duplicados o sobrantes.

• Eliminar de forma inmediata las autorizaciones de acceso a los usuarios que dejen la compañía.

• No permitir la utilización de claves compartidas o multiusuario.

• Asociar el control de acceso con los requisitos de autenticación, confidencialidad, integridad y disponibilidad exigidos por el recurso al cual se intenta acceder.

• Establecer políticas de autorización de acceso a usuarios.

• Revisar periódicamente los accesos privilegiados (por ejemplo, cada tres meses).



• Exigir a los usuarios el cumplimiento de las recomendaciones relativas a las dimensiones de identificación y autenticación (contraseñas, certificados, tarjetas, etcétera) y a los equipos no atendidos (desconexión de sesiones, protección si procede con bloqueador de teclado o llave…).

• Adoptar medidas en relación con el trabajo desde fuera de las instalaciones de la organización (teletrabajo).

• Establecer procedimientos de protección de los activos, medidas de protección física y medidas contra la introducción y propagación de virus o de otro código dañino.

• Implementar sistemas de identificación de puntos de acceso no autorizados. Existen sistemas de gestión topográfica de la red wireless desplegada que permiten monitorizar la existencia de frecuencias no autorizadas en el radio de acción de la empresa. Mediante una gestión inteligente, estos sistemas posibilitan la identificación mediante triangulación de la posición del punto de acceso no autorizado y evitan que otros dispositivos se conecten a él.

• Desconectar el punto de acceso cuando se detecta que desde él se está produciendo un ataque con malware.

• Elaborar y mantener una lista de usuarios autorizados; estos deben tener un conjunto de atributos de seguridad que puedan ser mantenidos individualmente.

• Asignar a cada usuario un identificador único para su uso exclusivo y personal, de forma que cualquiera de sus actuaciones pueda ser trazada.

• Implantar en el sistema el requisito de identificación de los usuarios y autenticación de su identidad para acceder a la aplicación y a otros recursos antes de que se les permita realizar cualquier acción.

• En relación con la identificación y el uso de contraseñas:

o Los usuarios deberían seleccionar sus propias contraseñas; el sistema debe permitirlo y ayudar al usuario a elegirla.

o El sistema debería exigir para la contraseña al menos ocho caracteres alfanuméricos. Además, convendría que la almacenase de forma cifrada.

o Se debe establecer un mecanismo de control de acceso al sistema o a la información que lo bloquee, por ejemplo, en el momento en que se introduzca tres veces una contraseña incorrecta, y un registro de los logs.




o La contraseña debería ser cambiada regularmente y denegarse el acceso al usuario en caso de que no cumpla los plazos establecidos (caducidad de la contraseña).

o Hay que concienciar al usuario de que las contraseñas no deben tener información de fácil composición (por ejemplo, fechas asociadas con el usuario o series regulares, números de teléfono, nombres de familiares, repetición de caracteres seguidos, etcétera), no deben ser compartidas o dadas a conocer a otros usuarios y nunca deben quedar escritas en un lugar de fácil acceso141.

• Respecto a la autenticación, se pueden considerar dos niveles:

o Autenticación simple: basada en mecanismos tradicionales de usuario y contraseña.

o Autenticación fuerte: basada en la utilización de técnicas de criptografía asimétrica y en el uso de certificados electrónicos. También suele referirse a la combinación de algo que el usuario posee (por ejemplo, una tarjeta electrónica) con algo que conoce (como las claves PIN). Un modelo de autenticación fuerte es el certificado o firma digital, conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante142.

• Si lo que se quiere es establecer un control de acceso a la red basado en políticas definidas por el administrador, se recomienda utilizar un NAC (Network Access Control). De esta forma, no sólo se determina quién se puede conectar, sino que también se controla los dispositivos desde los que se puede realizar dicho acceso. Esta solución también permite registrar si el dispositivo conectado cumple con las políticas de seguridad de la empresa. De esta forma, se puede incluso denegar el acceso a un equipo autorizado cuando no cumpla con dichas medidas de seguridad.

• En relación con los accesos remotos al sistema, se debería contar con una VPN (Virtual Private Network). Una red privada virtual es una tecnología de red que permite una extensión de la red local sobre una red pública o no controlada; es el caso de Internet, que permite controlar quién y qué máquina se conectó y conocer el nivel de acceso.

141 INTECO: Recomendaciones para la creación y uso de contraseñas seguras. Disponible en http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/recomendaciones_creacion_uso_contrasenas






• Cifrar la información cuando la naturaleza de los datos y de los tratamientos y los riesgos a los que estén expuestos lo requiera.

o Cifrado simétrico: algoritmo de cifrado en el que la clave para cifrar y descifrar es la misma. La seguridad del proceso depende del secreto de la clave, no del secreto del algoritmo. El emisor y el receptor deben compartir la misma clave, que debe ser desconocida para cualquier otro individuo.

o Cifrado asimétrico: algoritmo de cifrado en el que la clave utilizada para cifrar es distinta a la utilizada para descifrar. De estas dos claves, una es conocida (pública) y la otra permanece en secreto (privada). Lo fundamental de este sistema reside en la confianza de que una determinada clave pública corresponde realmente a quien proclama ser su propietario. Habitualmente, se utilizan diferentes pares de claves para distintos fines (firma electrónica, autenticación electrónica, confidencialidad).

o Definición de función resumen o hash: función de un solo sentido que, a partir de una cadena de bits de longitud arbitraria, calcula otra, aparentemente aleatoria, de longitud fija, normalmente un resumen. Se utiliza principalmente en la creación y verificación de la firma electrónica.

o Certificado reconocido: los certificados electrónicos expedidos por un prestador de servicios de certificación que cumpla los requisitos establecidos en la Ley de Firma Electrónica, en cuanto a la comprobación de la identidad y demás circunstancias de los solicitantes y a la fiabilidad y las garantías de los servicios de certificación que presten.

• Los algoritmos deberían permitir una longitud mínima de claves de 128 bits (al menos 16 caracteres alfanuméricos).

• Utilizar el estándar S/MIME, v2143 o superior, para contar con un correo electrónico seguro.

• Implantar procedimientos de apoyo a los mecanismos de cifrado (control de acceso físico y lógico, autenticación, gestión de claves, etcétera) para evitar la divulgación no autorizada de la información almacenada en dispositivos y soportes electrónicos o en tránsito a través de redes de telecomunicaciones.

143 S/MIMEv2 (Secure Multipurpose Internet Mail Extensión version 2). Op. cit. 107.



• Contar con una VPN (Virtual Private Network). Para asegurar la confidencialidad se hace uso de algoritmos de cifrado como DES (Data Encryption Standard), Triple DES y AES (Advanced Encryption Standard).

Integridad (I)

• Implantar procedimientos de explotación de la aplicación y de los sistemas adecuados a la protección de la integridad.

• Implantar procedimientos de copias de respaldo de ficheros y bases de datos, y de protección y conservación de información en soportes reescribibles como CD-ROM o DVD.

• Proteger los archivos de información mediante el atributo de sólo lectura.

• Realizar un análisis periódico de los accesos y de los recursos utilizados.

• Adoptar medidas de protección frente a código dañino en los servidores de aplicación, en los equipos de los usuarios y en los soportes circulantes (por ejemplo, CD-ROM, disquetes, USB, etcétera).

• Definir y aplicar procedimientos para evitar la instalación de software no autorizado por la organización.

• Disponer de una VPN (Virtual Private Network). Para asegurar la integridad de la información, la VPN utiliza funciones de hash. Los algoritmos de hash más comunes son los Message Digest, versiones 2 y 5 (MD2 y MD5), y el Secure Hash Algorithm (SHA).

• Disponer de un certificado o firma digital, conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante144. Este medio de identificación es el certificado digital.

• Establecer un mecanismo de suma de comprobación o checksum. Es un sistema que se utiliza para comprobar rápidamente que ciertos datos no han sido modificados (aunque no detecta cuáles han sido los cambios). Su versión más simple consiste en sumar byte a byte la información y guardar esta suma. Para saber si la información ha sido modificada bastará con volver a calcular su suma y




comprobar el resultado. En una versión más útil se usa un resumen digital mediante el algoritmo MD5145.

• Contar con un cifrado de datos. Es un mecanismo de seguridad consistente en modificar la información de tal manera que el resultado de esa modificación no se pueda interpretar y que sólo se pueda llegar a la información original mediante una clave secreta. Existen dos tipos de cifrado aplicables, el simétrico y el asimétrico.

• Contar con un plan de contingencia, documento que describe con un alto nivel de detalle qué se debe hacer en caso de que ocurra cualquier desastre que afecte al sistema de información y de datos. Debe cubrir problemas como el robo de servidores de información, su borrado o pérdida, incendios, inundaciones, recuperación por copias de seguridad, etcétera, y contener información relativa tanto a máquinas y dispositivos como a la infraestructura.

Disponibilidad (D)

• Adoptar procedimientos de explotación que garanticen la fiabilidad de la aplicación y de los soportes en los que resida la información y adoptar medidas de seguridad física.

• Adoptar medidas de protección física de los puntos de acceso inalámbricos.

• Actualizar periódicamente o cuando sea necesario el software de base y aplicar correcciones a sus debilidades.

• Proteger los equipos que soporten la aplicación contra fallos de suministro eléctrico mediante sistemas de alimentación ininterrumpida (SAI o UPS, Uninterruptible Power Supply), ya que pueden originar una alteración o la pérdida de datos.

• Contar, dependiendo del tamaño de la organización y de sus necesidades, con suministro eléctrico y hardware duplicados.

• Adoptar medidas apropiadas de seguridad física en el entorno donde se encuentren los equipos que den soporte a la aplicación.

145 Este algoritmo resume cualquier documento, independientemente de su tamaño o naturaleza, en una fila de 128 bits. En el momento en el que se modifique cualquier cosa (palabra, forma, letra, figura, color, etcétera), su resumen digital MD5 dará una hilera de 128 bits totalmente distinta.



• Implantar procedimientos de protección y vigilar el funcionamiento de mecanismos capaces de evitar la instalación de software no autorizado y otros que la evolución de las amenazas o de la tecnología hagan necesarios.

• Ejecutar baterías de test y comprobar las listas CERT (esta opción está más enfocada a los desarrolladores de software). Las baterías de test consisten en crear baterías de pruebas (entradas de datos) a un software ya implementado para ver los resultados que se obtienen (salidas de datos) y cerciorarse de que realmente deben salir esos datos. Las listas CERT se publican indicando errores de programas que, generalmente, no han sido todavía corregidos. Consultando esas listas se puede saber qué entradas provocan qué errores.

• Generar mecanismos de prevención de ataques de denegación de servicio mediante un control periódico de los protocolos utilizados en los puntos de acceso.

No repudio (NR)

• Disponer de un certificado o firma digital: es el conjunto de datos en forma electrónica, consignados junto a otros o asociados con ellos, que pueden ser utilizados como medio de identificación del firmante146 (certificado digital).

• Crear y mantener un directorio de registro de acceso (log) que registre el momento (fecha y hora) en que un usuario o proceso crea, modifica o borra un archivo o datos y los datos del usuario o del proceso.

Protección del dispositivo

• Actualizar la política de seguridad según vaya transcurriendo el tiempo.

• Elaborar una guía de buenas prácticas para usuarios, prestando especial atención a la formación y concienciación.

• Establecer una política de realización de copias de seguridad periódicas (anuales, semestrales, mensuales, semanales y diarias, dependiendo del volumen de los datos).

• Implantar mecanismos de reinicio y borrado remoto del dispositivo.

• Aplicar el control de acceso al dispositivo para prevenirlo del uso por usuarios no legítimos.



• Realizar una gestión centralizada de dispositivo.

• Cifrar los datos sensibles corporativos o personales para favorecer la confidencialidad.

• Establecer una protección antimalware.

• Gestionar un control de políticas de puntos de acceso.

• Prevenir las fugas de información.

8.1.2 Otras recomendaciones

En este apartado se describen acciones adicionales a los aspectos tecnológicos, que deben ser consideradas para implementar una solución de seguridad completa y efectiva.

Políticas de seguridad

Incluyen todas aquellas normas, reglas o prácticas de seguridad que afecten a las dimensiones de seguridad anteriormente descritas (autenticación, confidencialidad, integridad, disponibilidad de la información), a todos los actores implicados (responsable o propietario de la aplicación o los datos de carácter personal y usuarios) y a la regulación del modo en que los bienes que contienen información sensible son gestionados, protegidos y distribuidos en el seno de las organizaciones.

Para cumplir con los objetivos descritos anteriormente, el contenido de la política de seguridad de una compañía debe incluir:

• El objeto del documento.

• El ámbito de aplicación de la política.

• Los recursos que se encuentran protegidos.

• Las funciones y obligaciones del personal.

• Las normas, procedimientos, reglas, estándares y medidas para garantizar la autenticidad, confidencialidad, integridad, disponibilidad y conservación de la información.

• El procedimiento de identificación, autenticación y control de accesos.

• El procedimiento para la gestión de incidencias de seguridad.

• La gestión de soportes y copias de respaldo.



• La política o el procedimiento de control de los accesos a través de las redes.

• Los planes de contingencia y de continuidad del servicio.

• Los controles periódicos de verificación del cumplimiento de las normas y procedimientos establecidos.

Auditorías de seguridad

Se refiere a un proceso, basado en las normas ISO 9000:2000, sistemático, independiente y documentado con el fin de obtener información para evaluar de manera objetiva los resultados obtenidos en materia de seguridad.

Cada empresa en función de su tamaño debería incluir las siguientes recomendaciones en sus procedimientos:

• La auditoría a la seguridad debe ser objetiva y periódica para asegurar que la organización ejecuta los procedimientos correctamente.

• La aplicación informática que sustente la seguridad de las redes debe estar dotada de un registro de eventos o “pista de auditoría” que permita identificar al menos los usuarios, fechas, horas y procesos mediante los cuales se ha realizado, o intentado realizar, alguna modificación de la información sensible.

• Se ha de revisar periódicamente que los usuarios cumplen con los requisitos de seguridad establecidos por la compañía, por ejemplo, con el cambio periódico de contraseñas, la conservación de la información relacionada con el puesto de trabajo o los backup periódicos.

• Es necesario revisar periódicamente las medidas organizativas y técnicas de seguridad para mejorar su eficacia.

• Hay que realizar periódicamente análisis de vulnerabilidades de las redes mediante la utilización de herramientas disponibles en el mercado para detectar y corregir problemas de seguridad.

Análisis y gestión de riesgos

Se refiere a la selección y clasificación de los activos que hay que proteger de las amenazas a las cuales son vulnerables y, a su vez, a la selección e implementación de las medidas de seguridad adecuadas para conocer, prevenir, impedir, reducir o controlar los riesgos identificados y así minimizar su potencialidad o sus posibles perjuicios.



• Es recomendable realizar y mantener un inventario de los activos a proteger (información, equipamiento del sistema, soportes e información, otros equipos como los de climatización y alimentación, etcétera).

• Para cada activo se debe identificar a su propietario, así como su valor e importancia en términos cuantitativos o cualitativos, en función de los requisitos de autenticidad, integridad, confidencialidad y disponibilidad que le son aplicables.

• En relación a la información, se debe documentar a qué usuarios se autoriza el acceso y los atributos relacionados con el referido acceso.

• Es necesario definir procedimientos de etiquetado y manipulación de la información para cada uno de los distintos niveles en los que se clasifica y las diferentes actividades: acceso, modificación, copia, almacenamiento, transmisión y destrucción.

Organización y personas

Se contemplan las principales actividades que deberían desarrollar las personas dedicadas a la seguridad de las redes dentro de una compañía, con dedicación completa o compartida con otras funciones. Incluye, por ejemplo, la aplicación de la política de seguridad, el desarrollo de normas, sistemas y procedimientos de detección de amenazas, la protección de activos y la acción ante eventos, así como la administración de la seguridad y de las correspondientes salvaguardas, preventivas o correctivas frente a anomalías.

• Definir y documentar las funciones y obligaciones del personal, en particular en relación con el acceso y la utilización de los sistemas de información y a los datos de carácter personal.

• Definir las responsabilidades relacionadas con la seguridad en cada puesto de trabajo.

• Dar a conocer al personal las medidas de seguridad que afecten al desarrollo de sus funciones y que en su caso deban aplicar, así como las consecuencias de su incumplimiento.

• Formar y concienciar al personal respecto a sus obligaciones en materia de seguridad.

• Suministrar al personal que maneje datos de carácter personal u otra información que haya de protegerse el mobiliario adecuado para almacenar la información (en soporte papel o electrónico).



• Controlar periódicamente que el personal que tenga relación con la seguridad de la información de la compañía cumpla con las obligaciones establecidas.

• Establecer criterios de confidencialidad de la información manipulada en los casos de personal con contratos temporales o pertenecientes a empresas subcontratadas.

• Garantizar que el usuario esté sensibilizado respecto de los riesgos que puede implicar un tratamiento incorrecto de la información de carácter personal.




9 ANEXO II: MARCO REGULATORIO DE LA SEGURIDAD EN REDES INALÁMBRICAS

El desarrollo de redes inalámbricas y su seguridad, hasta el día de hoy, no se ha visto acompañado de un marco regulador específico.

Los expertos consultados, las entrevistas y la investigación bibliográfica han confirmado esta situación. Actualmente no existe una legislación específica que regule la actuación de las redes inalámbricas respecto a su seguridad, por lo tanto, las directrices a seguir deben enfocarse a la legislación actual que mejor se ajuste al caso de estudio.

A pesar de eso, la comisión de cualquier delito haciendo uso de medios informáticos o electrónicos (delito informático) generará sanciones dependiendo de las órdenes jurisdiccionales que se apliquen en cada caso. Estas sanciones pueden ser:

• Sanciones vía administrativa.

• Sanciones por vía civil.

• Sanciones aplicando el derecho laboral.

• Sanciones vía penal, que tendrán preferencia sobre las de tipo administrativo.

Para tener una visión general de la normativa existente, en este capítulo se analiza brevemente la normativa española y europea relacionada de una forma u otra con el entorno de redes inalámbricas.

9.1 Normativa española

Actualmente existen en España leyes o normativas relacionadas con la tecnología, incluyendo aspectos como la neutralidad tecnológica, la protección de datos, el cumplimento de estándares, etcétera.

Estas normas son las siguientes:

9.1.1 Ley Orgánica 15/1999, del 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)

Se complementa con el reglamento estipulado en el Real Decreto 1720/2007147.

147 Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Disponible en http://www.boe.es/boe/dias/2008/01/19/pdfs/A04103-04136.pdf



El objetivo de esta ley es garantizar y proteger, en lo concerniente al tratamiento de los datos personales (automatizados o no), las libertades públicas y los derechos fundamentales de las personas físicas y, especialmente, su honor e intimidad personal y familiar.

La LOPD es de aplicación a los datos de carácter personal registrados en soporte físico (incluyendo el papel) que los haga susceptibles de tratamiento, y a su uso posterior por sectores públicos y privados.

El personal que tenga acceso a estos datos está obligado al secreto profesional respecto a ellos y, por tanto, no podrá comunicarlos a terceras personas para un fin distinto de aquel para el que fueron recabados.

Asimismo, el personal deberá mantener en las bases de datos la información necesaria para el desarrollo de sus funciones, es decir, los datos no deben ser excesivos en relación con el ámbito y las finalidades determinadas. Los datos de carácter personal serán exactos y puestos al día, de forma que respondan con veracidad a la situación actual del afectado.

Los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco:

• De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de estos y de los destinatarios de la información.

• Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.

• De las consecuencias de la obtención de los datos o de la negativa a suministrarlos.

• De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.

• De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

Con el fin de mantener la confidencialidad, integridad y disponibilidad de la información, la LOPD exige la existencia de un documento de seguridad con las normas y procedimientos para cumplir los puntos anteriores.

Los afectados, personas de las que se almacenan datos de carácter personal, tienen una serie de derechos amparados por esta ley:




• Derecho de información. Cuando el afectado proporciona sus datos, debe ser informado de lo expuesto en los puntos anteriores.

• Derecho de acceso, cancelación, rectificación y oposición. El afectado puede ver la información que se dispone de él, cambiar esos datos para que sean correctos y exactos, cancelar la información y oponerse a que se almacene, en este caso, con perjuicio de la funcionalidad para la que fueron recabados.

9.1.2 Real Decreto Legislativo 1/1996, de 12 de abril, de Ley de Propiedad Intelectual148

Esta ley se complementa con la Ley 23/2006, de 7 de julio149, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril.

La Ley de Propiedad Intelectual establece que la propiedad intelectual de una obra literaria, artística o científica corresponde al autor por el solo hecho de su creación.

La propiedad intelectual está integrada por derechos de carácter personal y patrimonial, que atribuyen al autor la plena disposición y el derecho exclusivo a la explotación de la obra, sin más limitaciones que las establecidas en la ley.

Son objeto de propiedad intelectual todas las creaciones originales literarias, artísticas o científicas expresadas por cualquier medio o soporte, tangible o intangible, actualmente conocido o que se invente en el futuro, comprendiéndose entre otras las siguientes.

• Los libros, folletos, impresos, epistolarios, escritos y discursos.

• Conferencias, informes forenses, explicaciones de cátedra y cualesquiera otras obras de la misma naturaleza.

• Los proyectos, planos, maquetas y diseños de obras arquitectónicas y de ingeniería.

• Los gráficos, mapas y diseños relativos a la topografía, la geografía y, en general, a la ciencia.

• Las obras fotográficas y las expresadas por procedimiento análogo a la fotografía.

148 Real Decreto Legislativo 1/1996, de 12 de abril, de Ley de Propiedad Intelectual. Disponible en http://www.boe.es/boe/dias/1996/04/22/pdfs/A14369-14396.pdf

149 Ley 23/2006, de 7 de julio, por la que se modifica el texto refundido de la Ley de Propiedad Intelectual, aprobado por el Real Decreto Legislativo 1/1996, de 12 de abril. Disponible en http://www.boe.es/boe/dias/2006/07/08/pdfs/A25561-25572.pdf






• Los programas de ordenador.

También son objeto de propiedad intelectual en los términos del libro I de la presente ley las colecciones de obras ajenas, de datos o de otros elementos independientes como las antologías y las bases de datos que por la selección o disposición de sus contenidos constituyan creaciones intelectuales, sin perjuicio, en su caso, de los derechos que pudieran subsistir sobre dichos contenidos.

La protección reconocida en el presente artículo a estas colecciones se refiere únicamente a su estructura en cuanto a la forma de expresión de la selección o disposición de sus contenidos, no siendo extensiva a estos.

A efectos de la presente ley, y sin perjuicio de lo dispuesto en el apartado anterior, se consideran bases de datos las colecciones de obras, de datos o de otros elementos independientes dispuestos de manera sistemática o metódica, y accesibles individualmente por medios electrónicos o de otra forma.

La protección reconocida a las bases de datos en virtud del presente artículo no se aplicará a los programas de ordenador utilizados en la fabricación o en el funcionamiento de bases de datos accesibles por medios electrónicos.

9.1.3 Ley 17/2001, de 7 de diciembre, de Marcas150

Para la protección de los signos distintivos se concederán, de acuerdo con la presente ley, los siguientes derechos de propiedad industrial:

• Las marcas.

• Los nombres comerciales.

La solicitud, la concesión y los demás actos o negocios jurídicos que afecten a los derechos señalados en el apartado anterior se inscribirán en el Registro de Marcas, según lo previsto en esta ley y en su reglamento.

El Registro de Marcas tendrá carácter único en todo el territorio nacional y su llevanza corresponderá a la Oficina Española de Patentes y Marcas, sin perjuicio de las competencias que en materia de ejecución de la legislación de propiedad industrial corresponden a las comunidades autónomas, según se desarrolla en esta ley.

El derecho de propiedad sobre la marca y el nombre comercial se adquieren por el registro válidamente efectuado de conformidad con las disposiciones de la presente ley.

150 Ley 17/2001, de 7 de diciembre, de Marcas. Disponible en http://www.boe.es/boe/dias/2001/12/08/pdfs/A45579-45603.pdf





Esta ley tiene el mismo problema que la propiedad intelectual. Los productores de contenidos ignoran los requisitos de esta ley y utilizan indebidamente marcas y nombres comerciales, lo cual puede acabar en una demanda de la empresa afectada.

9.1.4 Ley 20/2003, de 7 de julio, de Protección Jurídica del Diseño Industrial151

Esta ley tiene por objeto establecer el régimen jurídico de la protección de la propiedad industrial del diseño.

Todo diseño que cumpla los requisitos establecidos en esta ley podrá ser registrado mediante su inscripción, válidamente efectuada, en el Registro de Diseños.

La solicitud, la concesión y los demás actos o negocios jurídicos que afecten al derecho sobre el diseño solicitado o registrado se inscribirán en el Registro de Diseños, según lo previsto en esta ley y en su reglamento.

El Registro de Diseños tendrá carácter único en todo el territorio nacional y su llevanza corresponderá a la Oficina Española de Patentes y Marcas, sin perjuicio de las competencias que en materia de ejecución de la legislación de propiedad industrial corresponden a las comunidades autónomas, según se establece en esta ley.

9.1.5 Circular 1/2006 del Fiscal General del Estado del 27 de mayo de 2006, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003152

La Circular se aborda a partir del importante cambio que la reforma llevada a cabo por la Ley Orgánica 15/2003, de 25 de noviembre, del Código Penal ha supuesto en la configuración de los delitos contra la propiedad intelectual e industrial, que se han trasformado de dos delitos semipúblicos, sujetos al régimen de denuncia previa del ofendido, en delitos públicos perseguibles de oficio. La reforma introduce además otras novedades en la regulación de estos tipos delictivos, que requieren establecer unos criterios de interpretación y actuación unitaria del Ministerio Fiscal en la persecución eficaz de las conductas vulneradoras de esos derechos que el legislador ha considerado como merecedoras de un reproche de naturaleza penal.

151 Ley 20/2003, de 7 de julio, de Protección Jurídica del Diseño Industrial. Disponible en http://www.oepm.es/cs/Satellite?c=Normativa_C&cid=1150364394370&classIdioma=_es_es&pagename=OEPMSite%2FNormativa_C%2FtplContenidoHTML

152 Circular 1/2006 del Fiscal General del Estado del 27 de mayo de 2006, sobre los delitos contra la propiedad intelectual e industrial tras la reforma de la Ley Orgánica 15/2003. Disponible en http://aui.es/IMG/pdf_CIRCULAR1-2006-FISCALIA.pdf

http://www.oepm.es/cs/Satellite?c=Normativa_C&cid=1150364394370&classIdioma=_es_es&pagename=OEPMSite%2FNormativa_C%2FtplContenidoHTML

http://www.oepm.es/cs/Satellite?c=Normativa_C&cid=1150364394370&classIdioma=_es_es&pagename=OEPMSite%2FNormativa_C%2FtplContenidoHTML

http://aui.es/IMG/pdf_CIRCULAR1-2006-FISCALIA.pdf



9.1.6 Orden PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información153

Este reglamento regula el marco de actuación, y crea los organismos necesarios, para poner en marcha los procesos de evaluación y certificación al alcance de la industria y la Administración. Bajo este esquema se incluye el CCN (Centro Criptográfico Nacional) y el CC (Common Criteria):

• Centro Criptológico Nacional: tiene por función elaborar y difundir normas, instrucciones, guías y recomendaciones para garantizar la seguridad de los sistemas de las tecnologías de la información y las comunicaciones de la Administración, así como coordinar la promoción, el desarrollo, la obtención, la adquisición y puesta en explotación y la utilización de la tecnología de seguridad de los sistemas mencionados. También tiene por objeto formar al personal de la Administración especialista en el campo de la seguridad de los sistemas de las tecnologías de la información y las comunicaciones, velar por el cumplimiento de la normativa relativa a la protección de la información clasificada en su ámbito de competencia, constituir el organismo de certificación del esquema nacional de evaluación y certificación de la seguridad de las tecnologías de información, de aplicación a productos y sistemas en su ámbito, y establecer las necesarias relaciones y firmar los acuerdos pertinentes con organizaciones similares de otros países.

• Common Criteria (ISO/IEC 15408): establecen un conjunto de requisitos para definir las funciones de seguridad de los productos y sistemas de la tecnología de la información y los criterios para evaluar su seguridad.

9.1.7 Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios154

Se presta especial atención a la protección de los datos personales en la prestación de servicios de comunicaciones electrónicas. A este respecto, conviene señalar que esto se realiza a través de la regulación desde un triple punto de vista: el tratamiento de los datos que obren en poder de los operadores relativos al tráfico, facturación y localización de los abonados y usuarios, la elaboración de las guías telefónicas de números de abonados y 153 ORDEN PRE/2740/2007, de 19 de septiembre, por la que se aprueba el Reglamento de Evaluación y Certificación de la Seguridad de las Tecnologías de la Información. Disponible en http://www.boe.es/boe/dias/2007/09/25/pdfs/A38781-38805.pdf

154 Real Decreto 424/2005, de 15 de abril, por el que se aprueba el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios. Disponible en http://www.boe.es/boe/dias/2005/04/29/pdfs/A14545-14588.pdf






la prestación de servicios avanzados de telefonía, como la identificación de la línea de origen y el desvío automático de llamadas.

Se regulan también los demás derechos de los usuarios de servicios de comunicaciones electrónicas, en aspectos tales como el contenido de los contratos entre los usuarios finales y los operadores, el derecho de desconexión de determinados servicios, el derecho a indemnización por la interrupción del servicio o el procedimiento de suspensión o interrupción de aquel ante situaciones de impago.

9.1.8 Orden ITC/912/2006, de 29 de marzo, por la que se regulan las condiciones relativas a la calidad de servicio en la prestación de los servicios de comunicaciones electrónicas155

El objeto de esta orden es el establecimiento de las condiciones relativas a la calidad de servicio en la prestación de los servicios de comunicaciones electrónicas y a otros aspectos afines, en desarrollo de lo previsto en el Reglamento sobre las condiciones para la prestación de servicios de comunicaciones electrónicas, el servicio universal y la protección de los usuarios, aprobado por el Real Decreto 424/2005, de 15 de abril. Dichas condiciones se refieren a:

• La información a los usuarios sobre los niveles de calidad de servicio relativos a los servicios de telefonía disponible al público, acceso a Internet y consulta telefónica sobre números de abonado.

• El contenido de los contratos con los usuarios en lo relativo a la calidad de servicio.

• Los niveles mínimos para el servicio universal.

• El aseguramiento de la calidad en la precisión de la facturación a los usuarios finales.

• El tratamiento de los sucesos que conlleven una degradación importante de la calidad de servicio.

• El desglose de la facturación detallada.

• Las modalidades de presentación de la facturación desglosada a efectos de la protección de los datos de carácter personal.

155 Orden ITC/912/2006, de 29 de marzo, por la que se regulan las condiciones relativas a la calidad de servicio en la prestación de los servicios de comunicaciones electrónicas. Disponible en http://www.boe.es/boe/dias/2006/03/31/pdfs/A12469-12484.pdf



9.2 Normativa europea

Actualmente, en Europa la normativa ISO 1799:2005 marca las líneas generales en cuanto al fomento del uso de mejores prácticas en la gestión de la seguridad de la información.

Esta normativa tiene por función identificar controles independientes de la tecnología que sean de aplicación general para organizaciones pequeñas, medianas y grandes y a diferentes aplicaciones, sistemas y plataformas tecnológicas, facilitar la adopción de controles proporcionados al riesgo, atender la demanda relativa al desarrollo, implantación y medida de prácticas de seguridad efectivas y proporcionar principios y recomendaciones de gestión en los que basar la política de seguridad de la información en cualquier soporte, sin restringirse únicamente a los aspectos específicos de seguridad de tecnologías de la información y de las comunicaciones.

En general, los estados miembros deberían incorporar soluciones eficaces e interoperables en materia de seguridad de la información como requisito básico para sus actividades.



10 ANEXO III: FUNCIONAMIENTO GENERAL DE LAS REDES DE TRÁFICO DE DATOS

A nivel general, las redes de tráfico de datos siguen una especificación común y estándar denominada pila OSI (Open System Interconnection), que define cómo debería ser una comunicación. La divide en siete capas (hay una versión que la divide en cinco, agrupando las tres últimas en una sola) según la funcionalidad que debería tener cada una, permitiendo que cuando se desee mejorar algún punto en particular, tan sólo se deba cambiar o modificar una capa, respetando las especificaciones para las demás.

Estas capas, por orden, son las siguientes:

• Capa física: es la encargada de la transmisión de la información a nivel puramente físico, es decir, mediante la modulación de las ondas (electromagnéticas, haz de luz, etcétera). En este nivel operan los denominados hubs.

• Capa de enlace: gracias a esta capa es posible un direccionamiento físico de un dispositivo. Se encarga de transmitir sin errores los datos al nivel físico y solventar los problemas de la pérdida, duplicidad o deterioro de la información. Además, se encarga del direccionamiento físico, de la topología y el acceso a la red y del control de la distribución ordenada de las tramas. En este nivel operan los denominados switchers.

• Capa de red: es la encargada de hacer que la información llegue de un origen a un destino, aun cuando no están conectados directamente, como es en el caso de Internet. A este nivel operan los routers.

• Capa de transporte: normalmente, cuando se envía un flujo de información (denominado paquete) este no viaja de forma íntegra por la red, sino que se suele fraccionar en fragmentos más pequeños. La misión es esta capa es recoger todos estos fragmentos más pequeños y ensamblarlos en uno solo, para pasarlo a la capa de sesión. Los dos modos principales de comunicación a nivel de transporte son TCP y UDP. Con TCP, el destinatario se asegura que la información le va llegar correctamente al cien por cien y en orden, pero dentro de un intervalo de tiempo de aceptabilidad. UDP asegura que la información llegará en un periodo escaso de tiempo, pero no toda. TCP es utilizado para el envío de datos y UDP para envío de multimedia como voz y vídeo en tiempo real.

• Capa de sesión: tiene como misión establecer y gestionar las conexiones entre usuarios o procesos finales.



• Capa de presentación: gestiona cómo debe representarse al usuario final la información enviada o recibida (formatos, colores, estilos, bytes, etcétera).

• Capa de aplicación: en ella se definen los protocolos de alto nivel para las comunicaciones de las entidades. Estos protocolos son los más conocidos; algunos de ellos son HTTP (HyperText Markup Language, lenguaje de marcas de hipertexto) para navegar por Internet, POP3 (Post Office Protocol, protocolo de servicio postal) y SMTP (Simple Mail Transfer Protocol, protocolo para transferir correo simple) para recibir y enviar correos electrónicos, FTP (File Transfer Protocol, protocolo de transferencia de ficheros) para transferir ficheros, etcétera.

La arquitectura de una red corresponde con el siguiente dibujo:

Figura 15: El camino entre capas OSI de un flujo de información

Puente

AplicaciónTransporte

RedLink

Físico

LinkFísico

RedLink

Físico


RedLink

Físico

Data

Data

Router

Puente


RedLink

Físico

LinkFísico

RedLink

Físico


RedLink

Físico

Data

Data

Router

Fuente: INTECO

Un paquete de información es enviado a través de una red hasta un destino. Los recursos intermedios necesarios para que llegue dicha información no tienen por qué implementar todas las funcionalidades de la pila OSI, tan sólo las capas más bajas.

De todo ello se puede deducir que para convertir un sistema cableado en uno inalámbrico, si las capas tienen una funcionalidad correctamente delimitada, tan sólo habría que cambiar las dos primeras (el nivel de enlace y el físico). Esta es la idea de las comunicaciones inalámbricas, aunque la modificación de estas dos capas no deja de ser extremadamente complicada, ya que la definición de una capa inalámbrica debe tener en cuenta problemas y dificultades muy importantes que no se tienen en medios cableados o guiados.



Por tanto, si la capa de una tecnología es igual a la de otra, las ventajas e inconvenientes serán también los mismos. Así pues, los peligros que se puedan llegar a presentar a nivel de aplicación, de transporte o a nivel de red serán generalmente los mismos en una tecnología inalámbrica que en una cableada. De hecho, todas las soluciones utilizadas para las tecnologías cableadas se pueden utilizar en las inalámbricas (aunque no siempre tendrán el mismo efecto), y la mayoría de las soluciones existentes para securizar las redes inalámbricas son protocolos que securizan el nivel de enlace.




11 ANEXO IV: METODOLOGÍA Y FUENTES CONSULTADAS

11.1 Metodología

En base a los objetivos y resultados buscados en el informe se ha definido una metodología de trabajo basada en la realización de entrevistas cualitativas, en el análisis y búsqueda de información en fuentes independientes y en la participación de una panel de expertos cuya principal misión es asesorar al equipo de trabajo en el enfoque y avance del trabajo realizado.

11.1.1 Listado de empresas colaboradoras

Para la realización de este estudio se ha contado con la participación de empresas de reconocido prestigio, que han aportado su conocimiento y experiencia en el ámbito de la seguridad en redes inalámbricas.

Las empresas participantes han sido las siguientes:

Aladdin

Alcatel-lucent

Cisco

Check Point

Écija Abogados

Ericsson

everis

HP

Magirus

Microsoft

Mobipay

Mossec

Nokia

Ono

Panda Software

Sun

Symantec

Telefónica

Trend Micro

Vodafone

Zitralia


Figura 16: Metodología y resultados del informe

ENTREVISTAS A EMPRESAS RELEVANTES DEL SECTOR

Identificación de la cadena

de valor

Diseño delcuestionario

de entrevistas

Realización de entrevistas

ESTUDIO DE INFORMES Y FUENTES DE INFORMACIÓN

Identificación de las fuentes

Análisis de la información disponible

PANEL DE EXPERTOS

Identificación de los

componentes

Realización dereuniones de

consulta

Análisis de las recomendaciones

RESULTADOS

Caracterización delas tecnologíasinalámbricas

Vulnerabilidades ysoluciones de

seguridad

Recomendaciones para la

Administración y la industria

ENCUESTAS DE UTILIZACIÓN DE INALAMBRICAS EN HOGARES

Elaboración Diseño

de la

encuesta

y captación

muestrade la

Realizaciónde

auditoríasde seguridad

Lanzamientode la

encuesta yrecopilaciónde datos

Obtención deresultados

diagnóstico

Obtención deconclusionesde encuestas

ENTREVISTAS A EMPRESAS RELEVANTES DEL SECTOR

Identificación de la cadena

de valor

Diseño delcuestionario

de entrevistas

Realización de entrevistas

ESTUDIO DE INFORMES Y FUENTES DE INFORMACIÓN

Identificación de las fuentes

Análisis de la información disponible

PANEL DE EXPERTOS

Identificación de los

componentes

Realización dereuniones de

consulta

Análisis de las recomendaciones

RESULTADOS

Caracterización delas tecnologíasinalámbricas

Vulnerabilidades ysoluciones de

seguridad

Recomendaciones para la

Administración y la industria

ENCUESTAS DE UTILIZACIÓN DE INALAMBRICAS EN HOGARES

Elaboración Diseño

de la

encuesta

y captación

muestrade la

Realizaciónde

auditoríasde seguridad

Lanzamientode la

encuesta yrecopilaciónde datos

Obtención deresultados

diagnóstico

Obtención deconclusionesde encuestas

Fuente: INTECO

11.1.2 Panel de expertos

El panel, formado por un grupo de gerentes y socios de la consultora everis, ha tenido como fin asesorar al equipo de trabajo, tanto en el enfoque como en la validación de las conclusiones y resultados obtenidos.

La composición del panel de expertos ha sido la siguiente:

• Pablo Argaiz, socio del sector Telecom.

• Luciano Moyano, gerente senior del área de Redes.

• Conrad López, gerente senior del área de Redes.

• Jesús Martin Tello, gerente senior del sector Telecom.



• Joaquín Guerrero, gerente Telecom.

• Miguel Ángel Thomas, gerente de Seguridad.

11.1.3 Entrevistas a empresas relevantes del sector

Como paso previo a la realización de las entrevistas a las empresas del sector más relevantes, se ha definido una cadena de valor de la seguridad en las redes inalámbricas, a partir de la cual identificar a los principales actores del sector.

Figura 17: Cadena de valor de securización en redes inalámbricas

Empresas de seguridad

Usuarios

Fabricantes de elementos de red

Fabricantes de terminalesFabricantes de terminales

Fabricantes y/o proveedores

Organismos independientes

Facilitadoresde serviciosde acceso y

conectividadde acceso

Proveedoresde contenidosy servicios

de software

Empresas de seguridad

Usuarios

Fabricantes de elementos de red

Fabricantes de terminalesFabricantes de terminales

Fabricantes y/o proveedores

Organismos independientes

Facilitadoresde serviciosde acceso y

conectividadde acceso

Proveedoresde contenidosy servicios

de software

Fuente: INTECO

• Proveedores de contenidos y servicios: cualquier empresa que toma la determinación de poner información a disposición de terceros mediante su conexión a la red (estos actores también pueden ser usuarios).

• Facilitadores de servicios de acceso y conectividad: operadores de telecomunicaciones y proveedores de soluciones inalámbricas para pymes y particulares.

• Fabricantes de elementos de red: empresas del sector encargadas de fabricar o proveer de elementos de red (routers, switches, hub, puntos de acceso wireless, antenas de comunicación, etcétera) a los propios facilitadores de servicios de acceso y conectividad o a las pymes.

• Fabricantes de terminales: empresas fabricantes o proveedoras de terminales con la capacidad de conectarse a las tecnologías inalámbricas definidas en este estudio: GSM/GPRS/UMTS/HSPA, RFID, NFC, Bluetooth, 802.11.

• Fabricantes y/o proveedores de software: empresas proveedoras o desarrolladoras de sistemas operativos, que permiten el funcionamiento de los diferentes dispositivos de acceso.




• Usuarios: personas físicas o pymes que se conectan a una red inalámbrica.

• Empresas de seguridad: empresas desarrolladoras, proveedoras o mayoristas de soluciones hardware y software de seguridad: antivirus, soluciones específicas, etcétera.

• Organismos independientes: organismos, incluida la propia Administración, que a partir de normativas, estándares o leyes promueven y regulan los aspectos de la seguridad en las comunicaciones inalámbricas.

Una vez definido el listado de empresas que iban a ser entrevistadas para ampliar el alcance y profundidad del estudio, se diseñó un cuestionario donde se recogían las siguientes cuestiones cualitativas:

• Identificación de la lista de requisitos de seguridad.

• Identificación de los ataques y soluciones existentes en el mercado.

• Listado de tecnologías que estudiar.

• Legislación y normativa relevante.

• Recomendaciones y tendencias.

A partir de este cuestionario se realizaron las entrevistas a las empresas más relevantes del sector.

11.1.4 Encuestas a usuarios pertenecientes a hogares conectados a Internet

Realización y análisis de resultados de 3.233 encuestas a usuarios pertenecientes a hogares conectados a Internet sobre dispositivos móviles y redes inalámbricas156. Las características del trabajo de campo son:

• Universo: Usuarios españoles de Internet, con acceso frecuente a Internet desde el hogar, mayores de 15 años. Para delimitar con mayor precisión el concepto de usuario, se exige una conexión a Internet desde el hogar de al menos una vez al mes.

• Tamaño y distribución muestral: se ha extraído una muestra representativa de 3.233 usuarios de Internet, mediante afijación muestral según un modelo polietápico:

156 Los datos de los resultados cuantitativos obtenidos de la muestra, tienen su base en opiniones y percepciones de los usuarios encuestados.



o Estratificación por comunidades autónomas para garantizar un mínimo de sujetos en cada una de estas entidades.

o Muestreo por cuotas de tamaño del hogar, edad, sexo, actividad laboral y tamaño del hábitat157.

Tabla 30: Distribución muestral por CC.AA. (%)

CC.AA. Muestra Obtenida

Muestra Teórica

Andalucía 15,7 15,2 Aragón 3,4 3,0 Asturias 3,7 2,5 Baleares 1,9 2,7 Canarias 1,9 4,7 Cantabria 1,9 1,3 Castilla-La Mancha 3,1 2,9 Castilla y León 6,2 5,4 Cataluña 15,1 18,5 País Vasco 5,5 4,7 Extremadura 1,2 1,4 Galicia 6,7 4,5 Madrid 18,4 18,6 Murcia 2,4 2,5 Navarra 0,9 1,4 La Rioja 0,6 0,7 Comunidad Valenciana 9,2 10,0

Fuente: INTECO. Mayo 2008

Aunque las desviaciones entre la muestra obtenida (mayo de 2008) y la teórica (enero de 2008) han sido pequeñas, la muestra de esta oleada (que incluye el total de encuestas recogidas con sus escaneos correspondientes) se ha equilibrado al universo en base a los datos poblacionales por comunidades autónomas, para el universo descrito anteriormente, y a las variables de cuota, para alcanzar un ajuste más perfecto.

• Captura de información: entrevistas online a partir de un panel de usuarios de Internet, con un total 3.233 encuestados.

• Trabajo de campo: realizado en mayo de 2008.

157 Estas cuotas se han obtenido de datos representativos a nivel nacional de internautas mayores de 15 años que se conectan más de una vez al mes desde el hogar facilitados por Red.es, entidad pública empresarial del Ministerio de Industria, Comercio y Turismo (Las TIC en los hogares españoles: 11ª Oleada-Octubre 2006).


• Error muestral: de acuerdo con los criterios del muestreo aleatorio simple para variables dicotómicas en las que p=q=0,5 y para un nivel de confianza del 95,5%, se establece el siguiente cálculo del error muestral: muestra total n=3.233, error muestral ±1,72%.

Tabla 31: Distribución muestral por categorías sociodemográficas (%)

Concepto Muestra Obtenida

Muestra Teórica

Actividad Ocupado 81,7 71,7 Parado 4,3 4,6 Estudiante 5,8 16,1 Jubilado 4,6 3,0 Otros inactivos 3,5 4,6 Tamaño hogar 1 6,2 3,2 2 20,6 15,4 3 23,4 28,7 4 y más 49,8 52,7 Sexo Hombre 47,1 53,7 Mujer 52,9 46,3 Hábitat Hasta 20.000 27,3 24,8 De 20.001 a 100.000 24,2 24,1 Más de 100.000 y capitales 48,5 51,1 Edad Hasta 24 20,7 23,4 25-35 41,7 28,2 35-49 27,9 31,8 De 50 y mas 9,7 16,6

Base muestra teórica= 3.523 Base muestra obtenida=3.233 Fuente: INTECO. Mayo 2008

Dado que tanto los datos finales de la encuesta de enero de 2008 como los de mayo de 2008, que son objeto de comparación en este informe, se han ponderado para ajustarse al mismo universo de estudio, son perfectamente homogéneos en cuanto a distribución geográfica, sexo, edad, tamaño del hogar y otras variables sociodemográficas relevantes. Es decir, no presentan variación en tales dimensiones a efectos del análisis.

11.1.5 Estudio de informes y fuentes de información

Este estudio se ha abordado a partir de tres vías:




• Análisis del mercado de las telecomunicaciones en España, taxonomía de las tecnologías inalámbricas existentes en el ámbito mundial y su proyección de uso en el mercado español.

• Información sobre los principales riesgos, ataques y soluciones de seguridad de las diferentes redes inalámbricas.

• Información sobre normativa, estándares y regulación de aplicación a la seguridad de las tecnologías estudiadas.

Para ello se han consultado fuentes de toda índole, desde organismos y empresas independientes hasta información de foros de Internet de sitios especializados en el tema.

A continuación se listan las fuentes consultadas en este estudio:

• 3G América

• Aaron E. Earle, Auerbach Publications

• Abi Research

• Afina

• Aladdin

• Albalia Interactiva

• Android

• Apple

• Arm

• Asociación de Usuarios de Internet (http://www.aui.es)

• Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones

• AT&T, Seguridad de la Información

• Ayuntamiento de Mijas

• Banda Ancha (http://www.bandaancha.es)

• Birdstep Enterprise Division

• Blog Bits de Actualidad (http://actualidad.insight-networks.net)

• Blogwimax

• Bluehack: the Spanish Bluetooth Security Group

• Bluesocket

• Bluetooth.com

• British Telecom

• Calypso Wireless

• Cloakware

• Cloudmark

• Comisión del Mercado de las Telecomunicaciones (CMT)

http://www.aui.es/

http://www.bandaancha.es/

http://actualidad.insight-networks.net/

http://actualidad.insight-networks.net/


• Comisionado de la Unión Europea

• Converting Magazine

• CSIC-Consejo Superior de Investigaciones Científicas

• Department of Defense Standard

• Diarios 5 Días, ABC, Cibersur, El Mundo, El País, The Independent

• Enisa

• everis

• F-Secure

• Fundación Auna (http://www.fundacionauna.com)

• Fundación OPTI (Observatorio de Prospectiva Tecnológica Industrial)

• Fundación Orange

• Fundación Telefónica

• Gaptel-Red.es (http://www.Gaptel-Red.es)

• Gartner

• GSM Association

• GSM Forum

• GSM Spain (http://www.gsmspain.com/)

• http://www.wikio.es

• Huawei

• IBM

• ID Techex Ltd

• IDATE

• IDG Communications

• IDTrack

• INE-Instituto Nacional de Estadística

• Iniciativa FON

• INTECO

• INTEL

• Inteligentis ltd.

• International Standard Organization - ISO

• Ironport

• ITU-International Telecommunication Union

• Kaspersky

• Lansur

• Magirus

• MaisMedia, Soluciones Integrales para Internet (http://www.Maismedia.com)

• Maravedis, Telecom Market Research & Analysis

• mBalance

• Microsoft


http://www.fundacionauna.com/

http://www.gaptel-red.es/

http://www.gsmspain.com/

http://www.wikio.es/

http://www.maismedia.com/


• Ministerio de Administraciones Públicas-Consejo Superior de Administración Electrónica

• MKM Publicaciones Editorial

• Motorola

• Móvil Data Chile (http://www.moviladmin.cl/)

• National Institute of Standard And Technology-NIST

• National Mobile Phone Crime Unit (UK)

• Netasq

• News.com (http://www.news.com)

• Nordea bank

• Nortel

• Noticas de Consultoras (http://Consultant-News.com)

• Nova kbm

• O2

• Observatorio Wireless

• Open Mobile Terminal Platform (OMTP)

• Orange

• Palm

• Partner Communications Company ltd.

• Phonemag (http://www.phonemag.com)

• Praesidium Services LTD.

• Radware

• Red.es

• Reuters

• Revista Macworld IDG Communication

• Revistas ON World, PCActual, PCWorld, Prensa.Com, Red

• RFC Group

• RIM (BlackBerry http://www.blackberry.com)

• Safenet

• Sánchez Castillo, Ericc. Redes Celulares PCS y Trunking

• SanDisk Corporation

• Secretaría de Estado de Telecomunicaciones

• Seguridad Informática en Banco de Colombia

• Serious Organized Crime Agency (SOCA)

• SGI Soluciones Globales Internet

• Siemens

• Sky Mobilemedia

• Solaiemes


http://www.moviladmin.cl/

http://www.news.com/

http://consultant-news.com/

http://www.phonemag.com/

http://www.blackberry.com/



• SonicWALL Distributed Wireless Solution

• Sophos Security

• Strix Systems

• Swisscom Mobile

• Symbian

• Telecentros.es (http://www.telecentros.es/)

• Telecom (http://www.telecom.com)

• Telecom Italia

• Telecom.com (http://www.telecoms.com)

• Teliasonera

• Tendencias Tecnológicas (http://www.tecnotendencias.com/)

• Tonse Telecom. Research

• UMTS Forum

• Universidad Carlos III Madrid

• Universidad de Bremen

• Universidad de Cambridge

• Universidad de Castilla-La Mancha

• Universidad de Colombia

• Universidad de Deusto

• Universidad de Murcia

• Universidad de Nebrija, Madrid

• Universidad de Ruhr

• Universidad de Valencia

• Universidad Politécnica de Valencia

• Universidad Pontificia de Comillas, ICAI

• Universitat Oberta de Catalunya

• University of Auckland

• University of Austin, Texas

• Vnunet.com (http://www.vnunet.com)

• Web de tecnología de Terra (http://www.terra.es/tecnologia)

• Wi-Fi Alliance

• Wikipedia

• WiMax Elche

• WiMAX Forum

• ZDNnet

http://www.telecentros.es/

http://www.telecom.com/

http://www.telecoms.com/

http://www.tecnotendencias.com/

http://www.vnunet.com/

http://www.terra.es/tecnologia


INDICE ANÁLITICO

1G, 20, 46

2G, 21, 22, 54

3G, 17, 20, 21, 23, 28, 47, 51, 52, 53, 54, 89, 114, 122, 170

3GPP, 55, 116

AES, 105, 108, 146

Bluetooth, 4, 5, 9, 11, 17, 18, 23, 27, 32, 38, 39, 63, 64, 65, 66, 82, 83, 94, 95, 96, 97, 98, 105, 106, 108, 116, 121, 122, 134, 166, 170

CDMA2000, 20, 21, 46

cdmaOne, 21, 46

Cordless Phone, 27, 46

CSD, 21, 22, 46

D-AMPS, 21, 46

DES, 92, 110, 146

EDGE, 21, 47

Femtocell, 25, 47

FOMA/W-CDMA, 47

GPRS, 4, 5, 9, 10, 17, 21, 23, 35, 51, 52, 53, 54, 55, 82, 83, 84, 85, 86, 87, 88, 89, 103, 108, 121, 134, 166

GSM, 4, 5, 9, 10, 17, 21, 22, 23, 24, 25, 35, 49, 50, 51, 52, 53, 54, 55, 58, 61, 82, 83, 84, 85, 86, 87, 88, 89, 103, 108, 131, 134, 166, 171

HC-SDMA, 22, 47

HIPERLAN, 26, 47

HIPERMAN, 25, 47

HSCSD, 22, 47

HSDPA, 22, 25, 29, 52, 55, 56, 57, 108, 114

HSPA, 4, 5, 9, 10, 17, 22, 55, 56, 57, 58, 82, 83, 87, 88, 89, 103, 134, 166

HSUPA, 22, 55, 57

iDEN, 22, 47

IPSec, 104

IrDA, 27, 47, 65

ISO, 21, 69, 71, 73, 76, 77, 80, 81, 123, 125, 150, 158, 160, 171

ITU, 77, 80, 81, 171

LAN, 3, 8, 11, 15, 19, 23, 26, 33, 46, 69, 70, 135

LTE, 22, 47, 116

MAN, 3, 8, 15, 19, 24, 25, 46

MD5, 110, 146, 147

Mobile FI, 23, 47

Mobile WiMAX, 23, 25, 47

NFC, 4, 5, 11, 27, 66, 67, 68, 82, 83, 98, 99, 107, 108, 135, 166

OCDE, 71, 73, 74, 76

PAN, 3, 8, 15, 19, 26, 27, 46, 48

PDC, 23, 47

PHS, 23, 47

RFID, 9, 27, 66, 67, 166

SSID, 110

ssl, 104

TD-SCDMA, 23, 47

Trunking, 25, 172

UMA, 23, 47

UMB, 24, 47

UMTS, 4, 5, 9, 10, 17, 21, 22, 24, 28, 29, 35, 46, 47, 52, 53, 54, 55, 57, 82, 83, 87, 88, 89, 103, 108, 114, 116, 121, 134, 166, 173




UMTS-TDD, 24, 47

VPN, 110, 121, 128, 144, 146

VSAT, 20, 24

WAN, 3, 8, 15, 19, 20, 23, 46

WAP, 104

WCDMA, 55, 82

WEP, 91, 108, 109

WiBro, 25

Wi-Fi, 5, 9, 10, 17, 18, 23, 29, 32, 40, 41, 58, 59, 60, 75, 87, 91, 93, 94, 102, 107, 108, 110, 112, 116, 122, 139, 167, 173

WiMAX, 4, 5, 23, 25, 29, 47, 61, 62, 63, 82, 89, 90, 91, 92, 93, 94, 104, 105, 116, 134, 173

Wireless-Mesh, 26

WLAN, 4, 5, 25, 26, 58, 59, 61, 62, 70, 82, 83, 85, 87, 89, 90, 91, 92, 93, 94, 104, 107, 121

WPA, 108, 109

WPA PSK, 11, 108, 135

WPA2, 108


ÍNDICE DE GRÁFICOS

Gráfico 1: Comparación entre la población española y el número líneas de telefonía móvil...........................................................................................................................................28

Gráfico 2: Penetración de la telefonía móvil en los hogares españoles ............................30

Gráfico 3: Equipamiento de teléfono en las viviendas principales.....................................31

Gráfico 4: Uso del teléfono móvil por tramos de edad y género........................................31

Gráfico 5: Equipamiento de los hogares en España .........................................................32

Gráfico 6: Porcentaje de empresas que disponían de infraestructura tecnológica (% sobre el total) ...............................................................................................................................34

Gráfico 7: Telefonía móvil y uso de dispositivos móviles avanzados en las pymes en España (% sobre el total) ..................................................................................................35

Gráfico 8: Porcentaje de empresas con acceso a Internet por tipo de tecnología (% sobre el total de empresas con conexión a Internet)...................................................................36

Gráfico 9: Utilización de medidas de seguridad en el teléfono móvil por usuarios en España...............................................................................................................................38

Gráfico 10: Usos del Bluetooth en teléfonos móviles avanzados por usuarios en España...........................................................................................................................................39

Gráfico 11: Incidentes en dispositivos móviles de usuarios en España ............................39

Gráfico 12: Usos de las redes inalámbricas en lugares públicos por usuarios en España40

Gráfico 13: Estado de la protección de accesos inalámbricos a Internet en el hogar .......40

Gráfico 14: Estado de la protección de accesos inalámbricos a Internet en el hogar en España...............................................................................................................................41

Gráfico 15: Comparativa de incidencias de seguridad ......................................................42

Gráfico 16: Porcentaje de empresas con conexión a Internet que usan servicios de seguridad a nivel interno (por tamaño de empresa, % sobre el total de empresas con acceso a Internet) ..............................................................................................................43



Gráfico 17: Porcentaje de empresas que han actualizado sus servicios de seguridad en los últimos tres meses (por tamaño de empresa, % sobre el total de empresas con acceso a Internet) ..............................................................................................................43

Gráfico 18: Porcentaje de empresas que han tenido algún problema de seguridad en los últimos doce meses (por tamaño de empresa, % sobre el total de empresas con acceso a Internet) .............................................................................................................................44

Gráfico 19: Comparativa entre las medidas de seguridad utilizadas por pymes y grandes empresas...........................................................................................................................45

Gráfico 20: Porcentaje de persona que utilizan teléfono móvil por edad ........................113

Gráfico 21: Porcentaje de hogares que disponen únicamente de un tipo de teléfono ....114

Gráfico 22: Empresas con empleados conectados por redes telemáticas externas a las TIC corporativas durante viajes de negocio (% sobre el total) ........................................116

Gráfico 23: ¿Cuáles son los aspectos más importantes para su organización en materia de seguridad móvil?.........................................................................................................119



ÍNDICE DE TABLAS

Tabla 1: Tecnologías WAN................................................................................................20

Tabla 2: Tecnologías MAN ................................................................................................25

Tabla 3: Tecnologías LAN .................................................................................................26

Tabla 4: Tecnologías PAN.................................................................................................27

Tabla 5: Puntos de acceso (2006).....................................................................................29

Tabla 6: Incidencias de seguridad más recientes detectadas por los usuarios según momento en que se ha producido (% acumulados) ..........................................................41

Tabla 7: Tecnologías con bajo nivel de penetración y potencial de uso en España .........46

Tabla 8: Análisis de penetración y potencial de uso de tecnología GSM..........................51

Tabla 9: Análisis de penetración y potencial uso de la tecnología GPRS .........................53

Tabla 10: Análisis de penetración y potencial uso de la tecnología UMTS.......................55

Tabla 11: Análisis de penetración y potencial de uso de la tecnología HSPA ..................58

Tabla 12: Análisis de penetración y potencial uso de la tecnología Wi-Fi.........................60

Tabla 13: Análisis de penetración y potencial uso de tecnología WiMAX.........................63

Tabla 14: Análisis de penetración y potencial uso de la tecnología Bluetooth ..................65

Tabla 15: Análisis de penetración y potencial uso de la tecnología NFC..........................68

Tabla 16: Ataques por dimensión de seguridad ................................................................70

Tabla 17: Ataques a la autenticación.................................................................................72

Tabla 18: Ataques a la confidencialidad ............................................................................74

Tabla 19: Ataques a la integridad......................................................................................77

Tabla 20: Ataques a la disponibilidad................................................................................78

Tabla 21: Ataques al control de acceso.............................................................................81

Tabla 22: Ataques por tipo de tecnología inalámbrica.......................................................83



Tabla 23: Nivel de vulnerabilidad de la tecnología GSM/GPRS........................................87

Tabla 24: Nivel de vulnerabilidad de la tecnología UMTS/HSPA ......................................89

Tabla 25: Nivel de vulnerabilidad de la tecnología WLAN.................................................94

Tabla 26: Nivel de vulnerabilidad de la tecnología Bluetooth ............................................98

Tabla 27: Nivel de vulnerabilidad de la tecnología NFC....................................................99

Tabla 28: Ataque a la protección de dispositivos ............................................................122

Tabla 29: Consecuencias relacionadas con la vulnerabilidad de los dispositivos...........125

Tabla 30: Distribución muestral por CC.AA. (%) .............................................................168

Tabla 31: Distribución muestral por categorías sociodemográficas (%)..........................169




INDICE DE FIGURAS

Figura 1: Estructura general del estudio............................................................................16

Figura 2: Redes según cobertura geográfica ....................................................................19

Figura 3: Tecnologías con elevada penetración y potencial de uso en España................48

Figura 4: Comunicación a través de tecnología GMS .......................................................49

Figura 5: Sistemas de celdas hexagonales GSM..............................................................51

Figura 6: Funcionamiento GPRS.......................................................................................53

Figura 7: Dispositivo HSPA ...............................................................................................57

Figura 8: Arquitectura básica de una red WLAN en modo infraestructura ........................60

Figura 9: Funcionamiento de la tecnología WiMAX...........................................................62

Figura 10: Funcionamiento de la tecnología Bluetooth .....................................................65

Figura 11: Funcionamiento de la tecnología NFC .............................................................68

Figura 12: Evolución de unidades vendidas por tipo de dispositivo ................................115

Figura 13: Fuentes de infección de dispositivos móviles.................................................121

Figura 14: Soluciones de seguridad ................................................................................140

Figura 15: El camino entre capas OSI de un flujo de información...................................162

Figura 16: Metodología y resultados del informe.............................................................165

Figura 17: Cadena de valor de securización en redes inalámbricas ...............................166


http://www.inteco.es

http://observatorio.inteco.es

http://www.inteco.es/

http://observatorio.inteco.es/

Documents

Estudio sobre la seguridad y buenas practicas en ... · Instituto Nacional de Tecnologías de la Comunicación Estudio sobre la situación de seguridad y buenas prácticas en dispositivos