Este año, uno de los eventos más importantes en el fútbol será la Copa del Mundo 2026. Es un torneo que va a celebrarse en tres países: México, Estados Unidos y Canadá. Por desgracia, los eventos de esta magnitud atraen no solo a los fanáticos, sino también a estafadores de todos los rincones del mundo. Ya hablamos de que los ciberdelincuentes están preparando el terreno para el Mundial en Internet; el tema que hoy nos ocupa es la seguridad digital de los fanáticos que vayan a estar físicamente en México.
México será la sede de trece partidos y espera recibir a millones de turistas. Todas estas personas se alojarán en hoteles, irán a los partidos, cenarán en restaurantes, pasarán por los aeropuertos y visitarán puntos turísticos. Y, en cada uno de esos sitios, casi seguro se querrán conectar a una red Wi-Fi pública.
Sondeamos más de 84 500 (¡!) puntos de acceso Wi-Fi públicos repartidos por Ciudad de México, Guadalajara y Monterrey, y tenemos mucho para contar sobre su seguridad. Un pequeño adelanto: no pocas redes siguen usando estándares de seguridad obsoletos. Lo ideal, así las cosas, es no irse de vacaciones sin tener una eSIM y protección en la que se pueda confiar.
Qué probamos y cómo
Andar a pie por todo México, buscando puntos de acceso públicos para controlar, habría sido un poco difícil… si bien eso es precisamente lo que hicimos en París, cuando viajamos para controlar la seguridad del Wi-Fi francés. Si te interesan los resultados de ese estudio, los encontrarás en nuestra publicación ¿Es segura la red Wi-Fi en París?.
Esta vez, la misión fue mucho más exigente: queríamos mapear el panorama inalámbrico en tres grandes ciudades. Para lograrlo, nos decidimos por hacer un poco de “wardriving“. Analizamos y registramos las redes inalámbricas utilizando un smartphone o una computadora portátil, pero no nos movimos a pie, sino en un vehículo. Conceptualmente, lo que hicimos es similar a lo que hace un teléfono cuando está buscando redes Wi-Fi y “oye” constantemente las redes cercanas. La diferencia es que, en lugar de conectarnos a esas redes, nosotros nos limitamos a tomar nota de sus datos.
La información que reunimos se usó estrictamente en modo de observación pasiva y con el fin de hacer un análisis de infraestructura. Los especialistas del Equipo de Investigación y Análisis Global (GReAT) de Kaspersky únicamente captaron los datos de servicio que se transmiten abiertamente; no intentaron autenticarse, interceptar tráfico, explotar los sistemas o interactuar de modo alguno con las redes inalámbricas que hallaban. Los puntos de acceso móviles instalados en autos y dispositivos móviles se excluyeron de la muestra.
Nuestro principal objetivo era Ciudad de México, que es la capital del país y una de las ciudades con más densidad poblacional de América Latina. Allí, dimos un paseo por los lugares turísticos más populares: el Estadio Azteca, el Aeropuerto Internacional de la Ciudad de México, Zócalo, Paseo de la Reforma, la colonia Roma, La Condesa, Polanco y Coyoacán.
En Guadalajara y Monterrey, seguimos rutas similares: estadios, aeropuertos, avenidas principales y barrios populares. A continuación, te mostramos un mapa de calor con las áreas que cubrimos. El rojo señala las zonas en las que había mayor densidad de puntos de acceso público; el amarillo, el verde y el azul indican densidades progresivamente más bajas.
Mapa de calor con la ubicación de todos los puntos de acceso Wi-Fi que cubrimos en Ciudad de México
Mapa de calor con la ubicación de todos los puntos de acceso Wi-Fi que cubrimos en Guadalajara
Mapa de calor con la ubicación de todos los puntos de acceso Wi-Fi que cubrimos en Monterrey
Mediante exploración radioeléctrica pasiva, registramos 84 500 señales y 69 500 identificadores de red únicos en las tres ciudades. La mayoría de las señales se captaron en Ciudad de México (61.4 %), seguida de Guadalajara (23.6 %) y Monterrey (14.8 %).
Esto es lo que analizamos:
- Identificadores de red inalámbrica (SSID): los nombres que aparecen en la lista de redes Wi-Fi disponibles.
- Información que se puede derivar de estos identificadores.
- Ajustes predeterminados de los routers e información sobre cómo los ISP despliegan sus redes.
- Frecuencias utilizadas y características de las señales.
- Carga de los canales y uso del espectro radioeléctrico.
- Configuración de seguridad de las redes inalámbricas:
- redes abiertas e inseguras,
- redes con WPS habilitado,
- redes seguras (WPA2/WPA3) con WPS activado.
Encontrarás la versión completa del estudio en el blog de Securelist.
Dime cómo te llamas y te diré quién eres
Sin quererlo, los nombres de las redes (su SSID) pueden revelar mucha información sobre el fabricante del hardware y sobre el ISP y sus métodos de despliegue. También pueden indicar si un punto de acceso pertenece a una empresa o a un particular.
De las redes públicas que registramos, aproximadamente el 34 % tenía aún el SSID asignado bien por el fabricante del router, bien por las convenciones de nombres del ISP. Para los atacantes, este dato es una pista bastante relevante: cuando encuentran una red con este tipo de nombre, que nadie se molestó en cambiar, pueden saber a qué proveedor pertenece el punto de acceso, qué hardware utiliza y cuál es, casi seguro, su configuración predeterminada.
También preocupa la gran cantidad de redes Wi-Fi (más del 30 %) que utilizan la dirección MAC del punto de acceso (su BSSID) como nombre visible para la red. Los primeros bytes de un BSSID contienen un identificador único organizacional (OUI), que revela quién fabricó el router. Esta es otra pista útil para los atacantes: les permite saber quién fabricó el hardware y probar las vulnerabilidades propias de los modelos de esa marca.
¿Está bien protegido el Wi-Fi mexicano?
Un punto de acceso protegido con WPA2 o WPA3 se puede considerar más o menos seguro. Todos los demás mecanismos de autenticación dan resultados mucho más débiles. Agrupamos las redes Wi-Fi públicas en cuatro categorías:
- seguras (WPA2/WPA3),
- inseguras (abiertas o con WEP),
- débiles (WPA),
- indeterminadas.
En las tres ciudades, los resultados fueron más o menos los mismos: cerca de un 82 % de los puntos de acceso que analizamos estaban protegidos con estándares seguros. Casi no vimos casos del protocolo WPA, que es obsoleto e inseguro. Sí descubrimos, sin embargo, que más de un 10% de los puntos de acceso eran completamente inseguros. Si te conectas a una red así, un atacante podría interceptar o vigilar en secreto tu tráfico.
Pero, para evaluar la seguridad de las redes, no basta con ver si se usan los protocolos WPA. También verificamos la presencia de WPS, una característica infame que ayuda a conectarse más rápido a una red sin ingresar una contraseña, pero que es muy vulnerable a los ataques. Descubrimos que WPS está habilitado en casi la mitad (el 47 %) de los puntos de acceso en Ciudad de México, el 43 % en Guadalajara y el 41 % en Monterrey. En promedio, un 45 % de los puntos de acceso sacrifican la seguridad en aras de la conveniencia y son, por ende, posiblemente vulnerables a ataques vinculados a la función WPS.
A menudo, esta función estaba activa incluso en redes con WPA2 o WPA3 que parecían seguras: casi la mitad de ellas utilizaba WPS. Esto demuestra que la presencia de WPA2 o WPA3 no basta para decir que un punto de acceso Wi-Fi es seguro, ya que las características adicionales como WPS pueden dejar abierta la puerta a los ataques.
Qué más necesita saber un turista
En un viaje, los riesgos digitales no se limitan al Wi-Fi público, en especial ahora que muchas personas usan una eSIM en lugar de ese tipo de redes. Los lugares concurridos siguen repletos de amenazas: cargadores USB públicos, códigos QR con enlaces cambiados, ataques por NFC y Bluetooth y, por supuesto, tácticas de ingeniería social. Repasemos estos riesgos.
Estaciones de carga. Los cargadores USB públicos pueden ser riesgosos: un delincuente podría usarlos para obtener acceso a los datos de tu dispositivo o tratar de instalarle un programa malicioso. Encontrarás más información sobre estos ataques en nuestra publicación Robo de datos durante la carga de un teléfono inteligente.
Códigos QR peligrosos. Los delincuentes pueden poner códigos QR fraudulentos (de phishing) en sitios turísticos. Los códigos pueden venir con pretextos de lo más variados: podrías encontrarte, por ejemplo, con anuncios de “eventos” para los fans de cierto equipo o con enlaces que, en teoría, den acceso a descuentos o menús de restaurantes. La realidad es que todo código QR que esté en la calle se debe considerar inseguro y no se lo debe escanear con el smartphone, a menos que se haya instalado un analizador de amenazas para códigos QR.
Transmisiones, boletos y grupos de apuestas falsos. Anteriormente, describimos casos en los que los delincuentes distribuían malware a través de aplicaciones de IPTV falsas, que se aprovechaban del entusiasmo que genera la Copa del Mundo. Recuerda mantenerte alerta incluso si piensas ver los partidos desde tu casa. No confíes en el primer sitio que te ofrezca acceso gratuito a las transmisiones de los partidos, a grupos de apuestas o a recompensas por demás generosas.
Ataques por NFC y Bluetooth. Dejar la función Bluetooth habilitada en un lugar concurrido puede traerte problemas: alguien podría tratar de descubrir tu dispositivo, seguirte el rastro o iniciar una solicitud de emparejamiento no deseada. Los servicios NFC para pagos sin contacto también tienen sus riesgos, en especial si pagas en lugares de dudosa reputación.
Cuídate y cuida tus dispositivos
Aunque los puntos de puntos de acceso públicos y seguros (con WPA2 o WPA3) son comunes en Ciudad de México, Guadalajara y Monterrey, nuestro estudio muestra que las redes Wi-Fi públicas siguen siendo vulnerables. Siempre cabe recordar, además, que los atacantes pueden crear puntos de acceso falsos ―llamados gemelos malvados― que dicen ser (pero no son) la verdadera red Wi-Fi pública de un aeropuerto, un hotel, un café u otro sitio turístico.
Para el usuario promedio, es casi imposible saber qué tan seguro es un punto de acceso al momento de conectarse. Por ello, la opción más segura es usar datos móviles para acceder a Internet y olvidarse por completo del Wi-Fi. Si haces esto, tampoco necesitarás investigar sobre las leyes locales, las tarifas y otros detalles de las líneas celulares de cada país que planees visitar; en su lugar, simplemente podrás comprar una eSIM global, en línea y con dos clics. Encontrarás una guía sencilla sobre el proceso en nuestra publicación Internet en cualquier lugar con Kaspersky eSIM Store.
Si igual piensas conectarte al Wi-Fi público, usa siempre una VPN para proteger el dispositivo y tus datos cuando estés en una red desconocida, en especial si es insegura. Con esta estrategia, crearás un túnel cifrado entre tu dispositivo y el servidor de VPN que hará imposible interceptar tus datos en el camino. ¿Aún no has elegido una VPN? Puedes probar Kaspersky VPN Secure Connection, que viene incluida en la suscripción a Kaspersky Premium y Kaspersky Plus.
Ahora bien: si, aun con todo esto, igual piensas ir al Mundial sin ninguna solución de ciberseguridad, al menos sigue estas reglas básicas de higiene digital:
- No uses cargadores USB públicos.
- No envíes información confidencial a través de conexiones que no sean seguras.
- No inicies sesión en cuentas bancarias, de correo electrónico o de redes sociales a través de redes Wi-Fi inseguras.
- Apaga las funciones Bluetooth y NFC cuando camines por lugares concurridos.
- No confíes en los códigos QR que veas en la calle.
- Conéctate al Wi-Fi público solo cuando en verdad sea necesario.
¿Quieres leer algo más para apoyar a tu equipo no solo con entusiasmo, sino también con seguridad?