Cuando se visitan hoteles diversos, se consigue tener una imagen muy buena de los distintos tipos de conexiones que ofrecen los alojamientos. Ya casi ningún hotel deja de ofrecer Internet a sus clientes, aunque todavía, por extraño que parezca, muchas son conexiones de pago.
Y si nos podemos conectar de manera gratuita, qué menos que echarle un vistazo al correo. O revisar qué novedades tenemos en Facebook, Twittear un poco, ver cómo vamos en los cargos de la tarjeta de crédito… Un momento.
Detengámonos. ¿Estamos conectándonos a «cualquier red» para transmitir nuestros datos (usuario y contraseña) en un hotel?
La seguridad de una red inalámbrica no depende de quién nos la ofrezca, sino de la red. Aunque estemos en un hotel de muchas estrellas, la red a la que nos estamos conectando puede ser un auténtico desastre. Y doy fe de ello, cuando sin ningún esfuerzo, accedí a la red corporativa de una cadena hotelera en Barcelona.
Una conexión WiFi puede ser muy peligrosa. No solo porque no sabemos cómo está gestionada, sino porque muchas otras personas están conectándose a la vez a ella, y no sabemos con qué fines. Mi compañero Josep Albors, asistente frecuente a eventos sobre hacking y seguridad, siempre comenta que prefiere tomar apuntes con lápiz y papel antes que conectar ningún dispositivo a determinadas redes.
Cuando lleguemos a un hotel y preguntemos por la conexión a Internet, pueden darse numerosos escenarios, y generalmente no podemos saber qué hay detrás de lo que nos están ofreciendo. La confianza es básica, pero precisamente la confianza es lo que emplean los delincuentes para robarnos. Me he encontrado conexiones más seguras en un hotel de tres estrellas en un polígono industrial de un pueblo de Murcia que en el hotel de lujo al que me refería del Puerto Olímpico de Barcelona.
Empecemos por el principio. Las conexiones WiFi vienen de la palabra «Wireless Fidelity», pero esa fidelidad se refiere a la señal de radio, no a la seguridad de la conexión. Una señal WiFi sin ningún tipo de protección transmite los datos «en abierto», de manera que cualquier persona que esté en el radio de alcance del punto de acceso puede capturar los datos y espiarlos. Un hotel que nos ofrezca ese tipo de conexión es básicamente inseguro.
En muchos casos nos encontramos que al establecer la conexión sí que se nos pide un usuario y contraseña. Y en este punto muchos clientes hoteleros creen que están estableciendo conexiones seguras. Craso error. Este usuario y contraseña lo único que garantiza es que podamos conectarnos a la red del hotel, en ningún caso nos proporciona un ápice de seguridad en nuestra conexión. Es un sistema de seguridad interno del hotel y solamente se refiere al tiempo de conexión de los clientes, ni por asomo nos garantiza que nadie esté espiando nuestros datos.
Así, la próxima vez que vayamos a un hotel y solicitemos la conexión a Internet, vigilemos que la conexión WiFi dispone de un sistema de seguridad básico. No hablo de WEP, que está demostrado que es bastante frágil. Deberíamos pensar en un mínimo de WPA. O si tenemos la suerte de que nos ofrezcan WPA2-Enterprise ten la seguridad de que estamos delante de gente que sabe lo que hace. Aquí no nos debería importar pagar por la conexión. Pero señores hosteleros, 20 euros de conexión por un par de horas de trabajo a 256 kb aunque sea segura… ¿no es mucho?
Fernando de la Cuadra