Es tentador resolver un punto muerto de WiFi con un extensor de rango de $30 dólares del pasillo de electrónica más cercano, o asumir que la bocina inteligente en la oficina trasera es inofensiva. Dos historias de esta semana son un recordatorio contundente de que los equipos de consumo doméstico y las antenas de radio descontroladas no tienen cabida en una red en la que confían sus huéspedes.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) acaba de añadir una vulnerabilidad de un extensor de rango WiFi a su catálogo de Vulnerabilidades Explotadas Conocidas, y Amazon comenzó a activar automáticamente su red Sidewalk en los dispositivos de consumo doméstico. Diferentes historias, la misma lección: lo que no se controla, no se puede asegurar.
Una vulnerabilidad en extensor de rango, explotada activamente
Esta semana, CISA señaló una vulnerabilidad en el extensor de rango TP-Link TL-WA855RE (CVE-2020-24363) como bajo ataque activo , ordenando a las agencias federales solucionarlo antes del 23 de septiembre. El fallo permite a un atacante que ya está en la red restablecer el dispositivo y tomar el control de este. Una vez que un dispositivo es secuestrado, se convierte en un punto de apoyo - un lugar para interceptar tráfico o pivotar hacia otros sistemas.
El detalle que importa para los establecimientos no es el modelo específico. Es el patrón. Los extensores de consumo doméstico están construidos para un hogar, no para una empresa. Rara vez se actualizan, a menudo se olvidan y casi nunca se segmentan del tráfico importante. Conecte uno a su red de invitados para solucionar un problema de cobertura y habrá añadido silenciosamente un dispositivo no administrado y no monitoreado a la ruta por la que viajan los datos de sus visitantes.
Amazon Sidewalk y el auge de las antenas de radio "en la sombra"
La segunda historia es más sutil. Desde el 8 de junio, Amazon comenzó a activar automáticamente Sidewalk - una función que comparte una fracción de ancho de banda con dispositivos cercanos a través de una red de malla vecinal - en los equipos Echo y Ring. La tecnología tiene usos legítimos, pero el titular para cualquier establecimiento es este: las antenas de radio que no configuró deliberadamente pueden encenderse solas y comenzar a transmitir dentro y alrededor de su edificio.
Ese es el problema más amplio de la conectividad "en la sombra" - dispositivos que transmiten en o cerca de sus instalaciones que no forman parte de su red administrada y no son visibles para quien la opera. Una bocina inteligente, el router de viaje de un empleado, un extensor olvidado: cada uno es una antena de radio que usted no controla, y cada uno amplía la superficie que un atacante puede sondear.
Por qué esto es un argumento a favor de la segmentación, no solo de mejores contraseñas
El instinto es responder con contraseñas más seguras. Es útil, pero no da en el clavo. La verdadera protección es arquitectónica: mantener la red de invitados separada de todo lo demás, y mantener los equipos de consumo doméstico no administrados completamente fuera de ella.
La segmentación de red significa que el tráfico de invitados está aislado de sus sistemas de punto de venta, herramientas de oficina y dispositivos operativos. Si algo en el lado del invitado se ve comprometido - la laptop infectada de un visitante o un dispositivo no autorizado que alguien conectó - el daño se contiene. No puede llegar a los sistemas que operan su negocio. Este es el principio detrás de un WiFi de invitados gestionado y seguro : una red controlada y monitoreada con límites claros, en lugar de un parche de cajas de consumo que nadie administra.
Cómo se ve el éxito para un establecimiento
Una configuración de WiFi de invitados gestionada adecuadamente cierra las brechas que estas dos historias exponen. El tráfico de invitados se segmenta de los sistemas operativos para que una vulnerabilidad en un lado no pueda cruzar al otro. La cobertura se resuelve con puntos de acceso gestionados de nivel empresarial en lugar de extensores de consumo que nunca reciben parches. La red se monitorea centralmente, por lo que las señales de radio inesperadas o no autorizadas son visibles en lugar de invisibles. Y las actualizaciones de firmware y seguridad se manejan como parte del servicio, no se dejan al azar.
Para una tienda minorista o un hotel , esa es la diferencia entre una red de invitados que puede respaldar y una que está acumulando riesgo silenciosamente.
La conclusión
La alerta de CISA y el despliegue de activación automática de Amazon son los recordatorios de esta semana, pero el principio es permanente: una red de invitados es tan confiable como el equipo y los límites que la respaldan. Los extensores de consumo y las señales de radio ocultas no tienen lugar cerca de ella. Descubra cómo Purple ofrece WiFi de invitados seguro y segmentado , o reserve una demostración .
