Dic 11

Portal Nauta de ETECSA no es seguro.

La Empresa de Telecomunicaciones de Cuba (ETECSA) retomó el tema de la seguridad informática en un artículo publicado en su sitio oficial. Esta vez para alertar a sus usuarios sobre posibles formas de robo de credenciales.

Contradictoriamente, en el mismo escrito, titulado: “Cómo proteger su cuenta de acceso Nauta”, admiten que el portal del usuario Nauta no es seguro. El portal sirve precisamente para realizar operaciones que requieren la máxima protección como el cambio de contraseña de acceso a Internet o correo electrónico, recargar la cuenta, transferir saldo y visualizar estadísticas privadas sobre el tiempo de navegación.

A modo de preguntas y respuestas, Etecsa trata de aclarar dudas en cuanto a la seguridad. La pregunta tres del artículo: “¿El Portal de usuario Nauta garantiza una conexión segura?” la responden sin rodeos: “No. El portal de usuario Nauta aún no cuenta con un certificado válido.”

Cada vez que un cliente de Etecsa accede al portal Nauta para gestionar su cuenta los navegadores le avisarán que la conexión no es segura, sin embargo, Etecsa exhorta a seguir con la operación. También incluyen una serie de recomendaciones consideradas “avanzadas” para el usuario común y que además no resuelven el problema.

Navegar sobre un certificado no válido es como contarle un secreto a alguien, sin estar seguros de que se trata de la persona correcta. Los millones de clientes que se conectan diariamente en las zonas wifi están expuestos al llamado phising o suplantación de identidad, en otras palabras, corren el riesgo de que terceros roben su usuario y contraseña de Internet o correo electrónico debido a navegar usando una conexión no segura.

Se comprobó que acceder al portal del usuario desde los navegadores Internet Explorer, Firefox, Google Chrome y Opera en una PC, todos advertían no entrar al sitio por no contar con un certificado válido. Etecsa no puede comprobar la autenticidad del portal Nauta debidamente y no ofrece una solución para protegerse contra este peligroso hueco de seguridad, pero en caso de robo de credenciales no reconocen culpabilidad.

Cómo proteger el usuario y la contraseña en las zonas wifi

La aplicación ETK hecha en Cuba avisa cuando se está conectado a la red de Etecsa y cuando a terceros. Es una buena forma para saber si se corre riesgo o no. Cuando se usa para acceder a la wifi de Etecsa notifica explícitamente si se está conectado a la red genuina o a una red oportunista. De esa forma se puede proceder con seguridad al sitio del usuario Nauta. El pasado 15 de noviembre la compañía había avisado a sus usuarios sobre un “correo spam” donde el atacante trataba de conseguir la contraseña de los usuarios Nauta por medio de un correo electrónico haciéndose pasar por Etecsa. Seguro o no a los usuarios cubanos no les queda otra opción que seguir usando el portal Nauta que ofrece la empresa. Otro detalle más que la Opinión les ofrece.

 

4 comentarios

Ir al formulario de comentarios

    • Javier Alejandro Vazquez Marzo on 7 enero, 2018 at 1:54 am
    • Responder

    Navegue Seguro es una buena opción para ir educando a los usuarios, pero se queda corta respecto a la seguridad de los servicios ofrecidos. Un sitio con su certificado de seguridad válido aún puede ser vulnerado mediante ataques de hombre en el medio, clonando el portal cautivo y reemplazando la identidad del certificado por uno igualmente válido (con firma digital legítima), para el cual los navegadores no advertirán el riesgo, u obteniendo a través de ataques las claves de la firma digital del original. Son métodos con un grado de dificultad mayor pero a la larga se pueden ejecutar. A mi punto de vista y como ya plantié en comentarios en Cubadebate y Granma, debe ser reforzada la seguridad de los servicios de ETECSA, necesitan un sistema de deteccion de intrusos e implementar otros métodos a su seguridad.

    Mi idea es que podrían implementar una VPN nacional (VPN over LAN) donde el usuario se autentique a través de una aplicación nacional (recalco la palabra “nacional”, un servidor cubano, propio, que mantenga la privacidad,seguridad,estabilidad y velocidad de la red según los conceptos, principios y normas de la tecnología de nuestro país), así el trafico entre el dispositivo del usuario y el equipo de etecsa viajaría de forma cifrada, con un cifrado de punto a punto, estos cifrados cuentan con certificados de seguridad también, con claves de encriptación bastante fuertes, incluso con doble autenticación pudiendo utilizar la SIM del movil para recibir un SMS de confirmacion. Mientras una conexión así pueda ser establecida incluso a través de otros dispositivos puentes o repetidores, es muy difícil que su tráfico pueda se interceptado por hardware o software usando el modo promiscuo o monitor, que es el que usan los Sniffers, puesto que estas conexiones usan túneles de comunicación cifrados bastante específicos y seguros, y cuentan con protecciones a nivel de protocolos de red, ejemplo HTTPS. Adicionalmente debe incluirse algo con lo que ya cuenta la aplicación ETK, un algoritmo donde se le informe al usuario que su conexión está pasando por un intermediario y luego se le ofresca activar la VPN. Todo esto es importante debido a que existen aplicaciones que pueden interceptar las transmisiones de datos de frecuencias radioeléctricas entre equipos con solo usar los sensores de un teléfono móvil, osea, un smartphone android puede ser configurado con software espía para mediar entre un AP y un cliente sin estar conectado a ninguno, solo necesita estar cerca del objetivo para interceptar los impulsos eléctricos y si no se usan métodos de cifrado toda la información estaría comprometida.

    Se puede implementar también un software de detección y evasión de Falsos AP o Malvadas Gemelas, en Cubadebate o Granma, no recuerdo cual, dejé un enlace de un proyecto que encontré que parte de esa base, de código abierto, el software detecta los falsos ap según varios criterios y los pone en una lista negra, no se tiene por qué usar ese, más bien implementar uno que haga esta función.

    Creo que también es necesario olvidarse de los portales cautivos, estos no son seguros, pueden ser vulnerados a través del propio DNS ya que generalmente este no puede ser encapsulado y tiene que estar fuera del cortafuegos, tal vez pueden tomarse algunas medidas pero un portal no es lo ideal. Sería bueno proteger los AP con seguridad 802.1x EAP-TTLS o PEAP, donde los usuarios tengan conectarse mediante usuario y contraseña pero antes de ser asociados al router, a nivel de enlace. Actualmente usando el portal cautivo, un usuario obtiene todos los datos de la red a través del DHCP y luego salta el portal, esto no es para nada seguro, hay softwares, sistemas operativos completos destinados a pruebas de seguridad con los cuales se pueden realizar ataques diversos con solo obtener los datos de la red, aún sin obtenerlos (digamos que la red tenga filtrado MAC donde solo las MACs autorizadas tienen acceso y que no haya DHCP en la red, solo clientes con IPs estáticas) pueden interceptar la comunicación pues utilizan la asociación con el router que es lo primero que este comprueba, y pueden lanzar scripts para revelar las MACs conectadas con sus IPs para hacer Spoofing o suplantación de identidad, estos sistemas son de libre descarga en internet. Un servidor Radius con seguridad 802.1x EAP-TTLS o PEAP en los routers de entrada obliga al cliente a proporcionar sus credenciales antes de la asociación y de obtener los datos, además el envío de las credenciales es cifrado. Esto puede suponer una dificultad mayor a un cliente inexperto pero a través de ideas como Navegue Seguro y con la ayuda de los Joven Clubs y personas con conocimientos puede educarse a los usuarios para que aprendan a usar este método. También está el tema de la compatibilidad, tal vez muchos dispositivos no sean compatible con esta seguridad pero ETECSA puede vender equipos que cuenten con ella.

    Otra opción es utilizar el IPv6, algo mas complejo pero con el tiempo pudiera implementarse, pues este protocolo reemplaza a IPv4 y trae consigo mejoras en seguridad y rendimiento, utilizando multicast en vez de broadcast, protocolo de seguridad IPSec integrado y no opcional como IPv4, mayor longitud de los paquetes de datos, mojoras en QoS o Calidad de Servicio, etc.

    • yeaa on 10 enero, 2018 at 1:51 pm
    • Responder

    es legal en cuba tener un microtik en casa de uso personal o una nanostation para tener conexion desde la casa,,

  1. Estimado Javier saludos mis felicitaciones por tan exhaustiva explicacion sobre este polemico tema.Yo fui Tec en Telecomones Maritimas por mas de 37 anos y durante ese tiempo instale todo tipo de tecnicas incluyendo hasta sist de Satelites Inmarsat,luego me retire,pero de WI-FI no sabia nada.Hasta que hace par de anos pase un curso en una empresa que se dedica a esta novedosa tecnica y con ese conocimiento al menos ya he podido crear mi propia Red WI-FI local en mi hogar.Y leyendo sus exposicion uno se da cuenta lo vulnerada que estab nuestras redes inalambrica.Donde ya es alarmante los cientos de personas que son timadas a diario por lo expuestas que estan nuestras rede y por la inexperiencia de los usarios en cuanto a los protocolos de seguridad de la WI-FI.Yo quisiera que me explicara como esta configurada la infraestructura de nuestra Red WI-FI digase en C Habana que la hace tan ineficiente en mi caso que vivo en Miraflores Viejos Near Los Pinos y donde la conexion de datos es casi inexistente y solo habil en altas horas de la noche o de la madrugada.Que se necesita para que una red de este tipo funcione con la eficiencia con que funciona en otros paises.Que nos falta tecnologia,ancho de banda,dispocion de la redes me gustaria conocer porque si yo apenas puedo enviar un email.Que esperanzas tengo cuando habiliten el Internet en los celulares.Porque seguimso con una Red deprimida adicionandole cada dia mas servicios que la ponen mas ineficiente.

  2. Quisiera saber si se han disenado apk para PC que emulen a ETK o qvcall para quien se pueda conectar desde su casa via wi-fi y poder autentificarse de forma segura

Deja un comentario

Your email address will not be published.