Volver al blog
Seguridad Wi-Fi empresarial: Cómo proteger las redes inalámbricas de tu empresa
Mejores Prácticas

Seguridad Wi-Fi empresarial: Cómo proteger las redes inalámbricas de tu empresa

Tu red Wi-Fi puede ser la puerta de entrada para atacantes. Conocé los ataques más comunes, las mejores prácticas de protección y cómo fortalecer tu red.

Equipo Cibershield19 Abr, 202611 min de lectura

La puerta que dejás abierta sin darte cuenta

Imaginá que tu oficina tiene una puerta principal con llave, cámara y alarma. Pero al costado hay otra puerta que se abre con un empujoncito. No tiene cerradura real, solo un pasador flojo. Cualquiera que pase por ahí y la empuje, entra. Lo peor: vos ni sabés que esa puerta existe porque siempre usás la principal.

Esa puerta lateral es tu red Wi-Fi. Mientras invertís en firewalls, antivirus y contraseñas robustas para tus sistemas, la señal inalámbrica de tu oficina atraviesa paredes, llega al parqueo, a la acera, al edificio de al lado. Y cualquier persona con una laptop y las herramientas correctas puede intentar entrar.

La red Wi-Fi empresarial es uno de los vectores de ataque más subestimados. En Centroamérica, donde muchas PYMEs usan el mismo router que les dio el proveedor de internet, la situación es particularmente preocupante. En este artículo vamos a ver los ataques más comunes contra redes Wi-Fi, las tecnologías de protección disponibles y las mejores prácticas para que la red inalámbrica de tu empresa deje de ser un punto débil.

Los ataques Wi-Fi más comunes (y más peligrosos)

1. Evil Twin (Gemelo Malvado)

Este es probablemente el ataque Wi-Fi más efectivo y más fácil de ejecutar. Funciona así:

1.El atacante crea un punto de acceso falso con el mismo nombre (SSID) que tu red empresarial.
2.Aumenta la potencia de su señal para que sea más fuerte que la de tu router real.
3.Los dispositivos de tus empleados se conectan automáticamente al punto de acceso falso, creyendo que es la red legítima.
4.Todo el tráfico de internet pasa por el atacante: correos, contraseñas, datos de clientes, todo.

Lo más alarmante: este ataque se puede ejecutar con un teléfono celular y una aplicación gratuita. No se necesita ser un hacker experto. El atacante puede estar sentado en la cafetería de al lado, en el parqueo de tu edificio, o incluso en la sala de espera de tu propia oficina.

2. Ataque de deautenticación (Deauth)

Este ataque explota una vulnerabilidad del protocolo Wi-Fi que existe desde sus inicios:

1.El atacante envía paquetes de "deautenticación" falsos que desconectan a los dispositivos de tu red legítima.
2.Cuando los dispositivos intentan reconectarse, el atacante puede capturar el handshake (intercambio de autenticación).
3.Con ese handshake, puede intentar crackear la contraseña de tu red offline, probando millones de combinaciones por segundo.

Si tu contraseña Wi-Fi es "empresa2024" o "NombreDeLaEmpresa123", se cae en minutos.

3. KRACK (Key Reinstallation Attack)

Descubierto en 2017, KRACK es una vulnerabilidad en el propio protocolo WPA2 que permite a un atacante descifrar tráfico Wi-Fi sin conocer la contraseña. Aunque ya existen parches, muchos dispositivos en Centroamérica nunca fueron actualizados, especialmente:

Dispositivos IoT (cámaras, impresoras, sensores)
Teléfonos Android antiguos
Equipos de red con firmware desactualizado

4. Rogue Access Point (Punto de acceso no autorizado)

No siempre el enemigo está afuera. A veces un empleado, sin mala intención, conecta un router personal a la red de la empresa para tener "mejor señal" en su área. Ese router:

Probablemente tiene la contraseña por defecto
No tiene las mismas protecciones que la red corporativa
Crea un puente directo entre la red interna y cualquiera que se conecte a ese router

En auditorías de seguridad, encontramos puntos de acceso no autorizados en más del 40% de las empresas que evaluamos.

5. Wardriving

Es la práctica de recorrer zonas con una laptop y antena Wi-Fi, mapeando todas las redes disponibles, sus protocolos de seguridad y sus vulnerabilidades. Existen aplicaciones que automatizan esto completamente. Los datos se publican en mapas online donde cualquiera puede ver qué redes empresariales usan protocolos débiles.

WPA3 vs. WPA2: ¿Qué protocolo debés usar?

WPA2 (Wi-Fi Protected Access 2)

Es el estándar que la mayoría de empresas usa actualmente. Fue lanzado en 2004 y, aunque sigue siendo razonablemente seguro si se configura correctamente, tiene debilidades conocidas:

Vulnerable a ataques de diccionario offline:: Si capturan el handshake, pueden probar contraseñas sin estar conectados a tu red.
Vulnerable a KRACK: en dispositivos sin parche.
La variante WPA2-Personal: (con contraseña compartida) es especialmente débil porque todos usan la misma clave.

WPA3 (Wi-Fi Protected Access 3)

Lanzado en 2018, WPA3 corrige las principales debilidades de WPA2:

SAE (Simultaneous Authentication of Equals):: Reemplaza el handshake vulnerable de WPA2. Incluso si un atacante captura el intercambio, no puede crackearlo offline.
Forward secrecy:: Si eventualmente descubren tu contraseña, no pueden descifrar el tráfico capturado anteriormente.
Protección contra ataques de fuerza bruta:: Después de varios intentos fallidos, el sistema bloquea temporalmente los intentos de conexión.
Cifrado individual:: En WPA3, cada dispositivo tiene su propia clave de cifrado. En WPA2-Personal, todos comparten la misma.

¿Qué hacer ahora?

Si tus equipos soportan WPA3:: Activalo. Es la mejor opción disponible.
Si no soportan WPA3:: Usá **WPA2-Enterprise** con autenticación RADIUS (lo explicamos más adelante). Evitá WPA2-Personal si es posible.
Nunca uses WEP o WPA (primera versión).: Si todavía tenés equipos que solo soportan estos protocolos, es hora de reemplazarlos. Son trivialmente crackeables.

Red de invitados: por qué es indispensable

Una de las mejores prácticas más simples y más ignoradas es la segmentación de red mediante una red de invitados. El concepto es sencillo:

Red corporativa:: Solo para dispositivos de la empresa, con acceso a recursos internos (servidores, impresoras, bases de datos).
Red de invitados:: Para visitantes, proveedores, dispositivos personales de empleados. Solo tiene acceso a internet, aislada completamente de la red interna.

¿Por qué es tan importante?

Imaginá que un proveedor llega a tu oficina y le das la contraseña del Wi-Fi. Su laptop tiene malware. Ese malware ahora está en la misma red que tu servidor de contabilidad, tu base de datos de clientes y tus archivos confidenciales.

Con una red de invitados aislada, el malware del proveedor solo tiene acceso a internet. No puede ver ni alcanzar tus recursos internos.

Cómo configurarla correctamente

SSID separado: con nombre claro (ejemplo: "EmpresaX-Invitados")
Aislamiento de clientes:: Que los dispositivos conectados a la red de invitados no puedan verse entre sí
Sin acceso a la red interna:: Verificá que realmente esté aislada con una prueba de conectividad
Ancho de banda limitado:: Evitá que un visitante sature tu conexión descargando archivos pesados
Portal cautivo:: Una página web que aparece al conectarse, donde el visitante acepta términos de uso
Contraseña rotativa:: Cambiá la contraseña de la red de invitados semanalmente o usá un sistema de contraseñas temporales

Autenticación RADIUS: el estándar corporativo

RADIUS (Remote Authentication Dial-In User Service) es el protocolo que permite que cada empleado se conecte al Wi-Fi con su propio usuario y contraseña, en lugar de una contraseña compartida por todos.

¿Por qué es superior a una contraseña compartida?

Trazabilidad:: Sabés exactamente quién está conectado y cuándo.
Revocación individual:: Si un empleado se va de la empresa, desactivás su cuenta. No tenés que cambiar la contraseña del Wi-Fi para todos.
Políticas por usuario:: Podés asignar diferentes niveles de acceso según el rol del empleado.
Integración con Active Directory o LDAP:: Los empleados usan las mismas credenciales que para su computadora.

Implementación para PYMEs

Históricamente, RADIUS era complejo y costoso. Hoy existen opciones accesibles:

FreeRADIUS:: Open source, gratuito, corre en cualquier servidor Linux. Es el servidor RADIUS más utilizado del mundo.
Windows NPS (Network Policy Server):: Si ya tenés Windows Server con Active Directory, NPS viene incluido.
Servicios en la nube:: Varios proveedores ofrecen RADIUS como servicio, eliminando la necesidad de mantener un servidor propio.

Una PYME con 20-50 empleados puede implementar FreeRADIUS en un servidor básico y tener autenticación individual funcionando en un día.

Detección de puntos de acceso no autorizados (Rogue AP)

Como mencionamos antes, los puntos de acceso no autorizados son un problema real. Detectarlos requiere monitoreo activo:

Herramientas de detección

Wazuh + agentes en endpoints:: Pueden detectar cuando un dispositivo se conecta a una red Wi-Fi desconocida.
Escáneres Wi-Fi:: Aplicaciones como **WiFi Analyzer** o **inSSIDer** permiten ver todos los puntos de acceso en el área.
WIDS/WIPS (Wireless Intrusion Detection/Prevention System):: Sistemas dedicados que monitorean el espectro Wi-Fi 24/7 y alertan sobre anomalías.
Auditorías periódicas:: Una vez al mes, recorré tu oficina con un escáner Wi-Fi buscando redes que no deberían estar ahí.

Políticas claras

Prohibir explícitamente: la instalación de routers o puntos de acceso personales.
Documentar: todos los puntos de acceso autorizados con su ubicación y dirección MAC.
Consecuencias claras: para quien viole esta política. No por ser punitivo, sino porque un rogue AP compromete la seguridad de toda la empresa.

Guía práctica de hardening Wi-Fi para tu oficina

Acá va una lista de acciones concretas que podés implementar esta semana:

Configuración del router/access point

1.Cambiá las credenciales de administración. Si tu router todavía tiene admin/admin o admin/password, cambialo ahora. Usá una contraseña de al menos 16 caracteres.
2.Actualizá el firmware. Revisá el sitio del fabricante y aplicá la última versión. Muchas vulnerabilidades conocidas se corrigen con actualizaciones.
3.Desactivá WPS (Wi-Fi Protected Setup). Es conveniente pero inseguro. Permite ataques de fuerza bruta contra un PIN de 8 dígitos.
4.Desactivá la administración remota. No necesitás administrar tu router desde internet. Si lo necesitás, usá VPN.
5.Usá WPA3 o WPA2-Enterprise. Nunca WEP, nunca WPA1, y evitá WPA2-Personal si podés.
6.Contraseña Wi-Fi robusta. Mínimo 20 caracteres, combinando palabras aleatorias. Ejemplo: "cable-montaña-reloj-verde-47" es mejor que "Empresa@2026".

Segmentación de red

7.Creá una red de invitados aislada.
8.Segmentá por departamento si es posible. Contabilidad no necesita estar en la misma subred que recepción.
9.Aislá dispositivos IoT. Cámaras, impresoras y dispositivos inteligentes deben estar en su propia VLAN.

Monitoreo y mantenimiento

10.Registrá todos los dispositivos autorizados por dirección MAC. No como medida de seguridad primaria (las MAC se clonan fácilmente), sino como inventario.
11.Revisá los logs del router al menos semanalmente. Buscá intentos de conexión fallidos o dispositivos desconocidos.
12.Hacé auditorías trimestrales del espectro Wi-Fi en busca de rogue APs.
13.Rotá la contraseña Wi-Fi cada 90 días (o usá RADIUS para no depender de una contraseña compartida).

Capacitación del equipo

14.Enseñá a los empleados a verificar que se están conectando a la red correcta (especialmente en dispositivos móviles).
15.Política de "olvidar redes": Que los dispositivos no se conecten automáticamente a redes conocidas fuera de la oficina.
16.Prohibí el uso de Wi-Fi público para acceder a recursos empresariales sin VPN.

Errores comunes que encontramos en auditorías

Después de evaluar decenas de redes empresariales en Centroamérica, estos son los errores que vemos una y otra vez:

La contraseña del Wi-Fi es el nombre de la empresa seguido del año.: "CaféTico2026", "TallerMora2025". Son las primeras que un atacante prueba.
Todos usan la misma red.: Empleados, visitantes, cámaras de seguridad, la computadora del punto de venta, todo en la misma red sin segmentación.
El router tiene el firmware de fábrica.: Nunca se actualizó desde que se instaló hace 3 años.
La contraseña nunca cambió.: La misma desde que se instaló el internet. Ex-empleados, proveedores, el técnico que vino a arreglar la impresora: todos la tienen.
No hay registro de quién se conecta.: Si ocurre un incidente, no hay forma de saber qué dispositivos estaban conectados.
WPS está activado.: Ese botoncito "conveniente" es una vulnerabilidad conocida.

El Wi-Fi como parte de tu estrategia de seguridad

La seguridad Wi-Fi no es un proyecto aislado. Es parte integral de tu postura de seguridad general. Una red inalámbrica bien configurada complementa tu firewall, tu antivirus y tus políticas de acceso. Una red inalámbrica mal configurada los hace irrelevantes, porque el atacante simplemente los esquiva entrando por el Wi-Fi.

En CiberShield realizamos auditorías de seguridad inalámbrica que incluyen:

Evaluación del espectro Wi-Fi: en tus instalaciones
Pruebas de penetración: contra tu red inalámbrica
Detección de puntos de acceso no autorizados
Evaluación de configuración: de routers y access points
Recomendaciones prácticas: adaptadas a tu presupuesto e infraestructura
Implementación de RADIUS: y segmentación de red

¿Cuándo fue la última vez que alguien revisó la seguridad de tu red Wi-Fi? Si la respuesta es "nunca" o "no sé", contactanos. La señal de tu Wi-Fi no se detiene en las paredes de tu oficina, y los atacantes lo saben.

¿Necesita ayuda con su ciberseguridad?

Nuestro equipo está listo para ayudarle a proteger su empresa.

Artículos relacionados

Mejores Prácticas

Backups: Tu última línea de defensa contra el ransomware

Un buen backup puede ser la diferencia entre pagar un rescate millonario o recuperarse en horas. Aprendé la regla 3-2-1, los errores más comunes y cómo implementar una estrategia real para tu empresa.

Estrategia

SIEM y monitoreo de seguridad: La guía práctica para empresas centroamericanas

Descubrí qué es un SIEM, por qué tu empresa necesita monitoreo de seguridad y cómo implementarlo sin quebrar el presupuesto. Opciones reales para PYMEs.