Es tentador solucionar una zona sin cobertura WiFi con un extensor de rango de 30 € del pasillo de electrónica más cercano, o asumir que el altavoz inteligente de la oficina de atrás es inofensivo. Dos historias de esta semana nos recuerdan que los equipos de consumo y las radios no controladas no tienen cabida en una red en la que confían sus invitados.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) acaba de añadir un fallo en un extensor de rango WiFi a su catálogo de vulnerabilidades explotadas conocidas, y Amazon comenzó a activar automáticamente su red Sidewalk en los dispositivos de consumo. Diferentes historias, la misma lección: lo que no controlas, no lo puedes proteger.
Un fallo en un extensor de rango, explotado activamente
Esta semana, CISA señaló una vulnerabilidad en el extensor de rango TL-WA855RE de TP-Link (CVE-2020-24363) como bajo ataque activo , ordenando a las agencias federales que la subsanen antes del 23 de septiembre. El fallo permite que un atacante que ya esté en la red restablezca el dispositivo y se haga con el control del mismo. Una vez secuestrado un dispositivo, este se convierte en un punto de apoyo - un lugar para interceptar el tráfico o pivotar hacia otros sistemas.
El detalle que importa para los establecimientos no es el modelo específico. Es el patrón. Los extensores de consumo están fabricados para un hogar, no para una empresa. Rara vez se parchean, a menudo se olvidan y casi nunca se segmentan del tráfico importante. Si conecta uno a su red de invitados para solucionar un problema de cobertura, habrá añadido silenciosamente un dispositivo no gestionado ni supervisado a la ruta por la que viajan los datos de sus visitantes.
Amazon Sidewalk y el auge de las radios "en la sombra"
La segunda historia es más sutil. A partir del 8 de junio, Amazon empezó a activar automáticamente Sidewalk - una función que comparte una parte del ancho de banda con dispositivos cercanos a través de una red de malla vecinal - en todo el hardware Echo y Ring. La tecnología tiene usos legítimos, pero el titular para cualquier establecimiento es este: las radios que usted no configuró deliberadamente pueden encenderse solas y empezar a emitir dentro y alrededor de su edificio.
Ese es el problema general de la conectividad "en la sombra" - dispositivos que emiten en sus instalaciones o cerca de ellas que no forman parte de su red gestionada y no son visibles para quien la administra. Un altavoz inteligente, el router de viaje de un empleado, un extensor olvidado: cada uno es una radio que usted no controla, y cada uno amplía la superficie que un atacante puede sondear.
Por qué esto es un argumento a favor de la segmentación, no solo de mejores contraseñas
El instinto es responder con contraseñas más robustas. Es útil, pero no va al grano. La protección real es estructural: mantenga la red de invitados separada de todo lo demás y mantenga los equipos de consumo no gestionados totalmente fuera de ella.
La segmentación de red significa que el tráfico de invitados está aislado de sus sistemas de punto de venta, herramientas de back-office y dispositivos operativos. Si algo en el lado de los invitados se ve comprometido - la laptop infectada de un visitante o un dispositivo no autorizado que alguien ha conectado - el daño se contiene. No puede llegar a los sistemas que ejecutan su negocio. Este es el principio detrás de un WiFi de invitados seguro y gestionado : una red controlada y monitorizada con límites claros, en lugar de un mosaico de routers domésticos de los que nadie se hace responsable.
Cómo se ve el éxito para un establecimiento
Una configuración de WiFi de invitados correctamente gestionada cierra las brechas que exponen estas dos historias. El tráfico de invitados está segmentado de los sistemas operativos, por lo que un problema de seguridad en un lado no puede cruzar al otro. La cobertura se resuelve con puntos de acceso gestionados de nivel empresarial en lugar de extensores domésticos que nunca se actualizan. La red se monitoriza de forma centralizada, por lo que las señales inesperadas o no autorizadas son visibles en lugar de invisibles. Y el firmware y las actualizaciones de seguridad se gestionan como parte del servicio, no se dejan al azar.
Para un comercio minorista o un hotel , esa es la diferencia entre una red de invitados que puede respaldar y una que está acumulando riesgo silenciosamente.
La conclusión
La alerta de la CISA y el despliegue de activación automática de Amazon son los recordatorios de esta semana, pero el principio es permanente: una red de invitados es tan confiable como los equipos y los límites que la respaldan. Los extensores domésticos y las redes ocultas no deben estar cerca de ella. Vea cómo Purple ofrece WiFi de invitados seguro y segmentado o reserve una demo .
