Sólo espero que la CIA, o la NSA o una de esas organizaciones con fondos reservados casi sin límites, no decida ir a por mi porque si así fuera el caso no tendría absolutamente nada que hacer. Y no me refiero sólo a que intenten hackearme, sino que implementen leyes para eliminar mi derecho a la privacidad (chip Clipper, DRM, puertas traseras, key scrowing, etc). Eso es lo que me da verdadero miedo.

Con respecto al tema de la segmentación de la red, decir que no siempre es viable, sobre todo en entornos caseros: conozco mucha gente cuya red casera es totalmente inalámbrica, por lo que la segmentación no es viable. Más seguro que WPA2 Personal sería usar WPA2 Enterprise pero no conozco ningún router o punto de acceso que implemente en la misma caja la lógica de un punto de acceso, soporte WPA2 Enterprise, un servidor RADIUS y una autoridad certificadora, más un almacén seguro de certificados. Creo que si implementase correctamente sería un producto estrella :)

Como los lectores se podrán dar cuenta, las entornos seguros son cada día más complejos y los ataques más accesibles (¿quién no puede comprarse una tarjeta gráfica nVidia con una potente GPU?).

Efectivamente, del WEP no hablemos. Me pone los pelos como escarpias.

Yo no obstante, si percibo que un atacante con recursos (tiempo y pasta, básicamente) va a por mí en ese tipo de cuestiones, creo que la única manera de frenarlo es invertir (tiempo, y posiblemente pasta) en ponérselo difícil.

Para Wi-Fi me ratifico: token y VPN, y por supuesto, segmentación absoluta de los recursos accesibles por la Wi-Fi respecto a los recursos críticos. Ni firewall, ni leches. Segmentación física de redes pura y dura.

Y en casa, segmentación y cambios frecuentes de clave/clave aleatoria.

Los que me dan miedo son los que no tengan segmentación alguna y tengan sus nodos inalámbricos en WEP, o WPA si me apuras. Que Dios los pille confesados.

Un saludo,

1. Para administración de sistemas remotos, siempre utilizo autentificación con clave pública DSA de al menos 1.024 bits. La autentificación mediante contraseña está deshabilitada (o habilitada sólo desde la consola).

2. Para redes inalámbricas, dependiendo del grado de seguridad que desee utilizo WPA Personal con clave aleatoria (generada con pwsafe, por ejemplo) de al menos 128 bits, o bien WPA2 Enterprise con autentificación TLS mediante certificados digitales de 1.024 bits.

Si alguien dispone de tiempo y dinero para molestarse en romper mis claves, es porque tiene algún tipo de interés, muy concreto, por hacerlo. Contra ese tipo de atacantes (los que tienen motivación y recursos) tengo poco que hacer. Contra los atacantes casuales o curiosos, creo que los mecanismos mencionados anteriormente son más que suficientes para mi y para bastante gente.

Dicho ésto, me parece excelente que haya gente con la suficiente inteligencia e imaginación como para que herramientas que fueron concebidas con un objetivo sean utilizadas para otros fines muy distintos. Ésa es, en mi más humilde opiión, una de las esencias del hacking, y lo que nos ha llevado a donde estamos hoy en día.