El uso de redes inalámbricas para la transmisión de datos tiene muchas ventajas. Debido a la ausencia de cables, a la economía en su instalación, al soporte de gran cantidad de dispositivos con un mínimo esfuerzo (en redes cableadas, a más dispositivos más complicación en términos de cables y equipos de comunicación), a la posibilidad de movilidad de los nodos conectados, al gran alcance de cobertura y a la facilidad para la intercomunicación con otras redes cableadas, las redes inalámbricas son generalmente parte integral de una infraestructura de telecomunicaciones corporativa.

Sin embargo, como contraparte a los beneficios de esta tecnología también están múltiples desventajas, como la afectación de la calidad de la señal debido a otras ondas electromagnéticas, objetos u otros aparatos electrónicos, el menor ancho de banda en comparación con redes cableadas y – sobre todo – la seguridad de los dispositivos involucrados y de los datos transmitidos a través de estos medios. El hecho de que la transmisión de datos se realice por un canal abierto sin restricciones físicas implica que cualquier atacante con acceso al espectro de comunicación y a la región geográfica de cobertura podría tener acceso a la información transmitida.

Obviamente, la transmisión de datos de tarjetas de pago no es ajena a esta tecnología. Hoy en día casi todos los dispositivos de punto de interacción (Point-of-Interaction – POI) cuentan con soporte para este tipo de conexiones: datáfonos con conexiones a redes inalámbricas y/o a redes de telefonía móvil (GSM, GPRS o GPRS), con soporte para Bluetooth, RFID, etc. El gran problema de utilizar este tipo de comunicaciones para la transmisión de datos confidenciales casi siempre proviene de errores de configuración, de ausencia de controles de acceso y del uso de criptografía débil.

Precisamente, uno de los incidentes de seguridad más conocidos en los cuales la inseguridad en las redes inalámbricas fue el punto de acceso para el atacante fue TJX, en el año 2007. TJX (una de las principales tiendas por departamentos en EEUU) fue víctima de una intrusión no autorizada a sus sistemas informáticos en donde fueron comprometidos más de 45 millones de registros de usuarios , incluyendo sus datos de tarjetas de pago. Los atacantes (entre los cuales se encontraba Albert Gonzalez, capturado y sentenciado a 20 años de prisión) solían ir por diferentes carreteras alrededor de Miami buscando redes inalámbricas vulnerables (técnica conocida como wardriving), encontrando que comercios como BJ’s Wholesale Club, DSW, Office Max, Boston Market, Barnes & Noble, Sports Authority y T.J. Max tenian redes inalámbricas con vulnerabilidades dentro de su entorno informático.

La masificación de los ataques a las vulnerabilidades en redes inalámbricas (principalmente el uso de Wired Equivalent PrivacyWEP, en donde se empleaba el algoritmo criptográfico RC4 con un vector de inicialización (IV) débil que permitía la obtención de la clave de cifrado mediante un ataque de fuerza bruta) dieron pie a que muchas organizaciones se replantearan el uso de esta tecnología. Desde la perspectiva de seguridad de datos de tarjetas de pago, el Payment Card Industry Security Standards Council (PCI SSC) definió controles específicos para la revisión de las redes inalámbricas en entornos de pago desde la primera versión del estándar PCI DSS, publicada en diciembre de 2004. Posteriormente, en julio de 2009 se publicaba la primera versión del documento «Information Supplement: PCI DSS Wireless Guideline«, revisado en el año 2011.

A continuación se describirán los puntos más importantes del estándar PCI DSS y de los suplementos informativos relacionados con redes inalámbricas, así como diferentes metodologías y herramientas que se pueden emplear para asegurar estas tecnologías:

¿Qué tipo de tecnologías se incluyen dentro del concepto de «redes inalámbricas»?

Una red inalámbrica es aquel tipo de red de datos en las que la comunicación entre el emisor y el receptor no se encuentra unida por un medio de propagación físico (cable).

Algunos ejemplos de redes inalámbricas son:

  • Las redes de telefonía móvil (GSM, GPRS, CDMA, etc.)
  • Las redes de área local inalámbricas:
    • Wireless Personal Area Networks (WPAN) como Bluetooth (IEEE 802.15) y comunicaciones infrarrojas (IrDA)
    • Wireless LAN (WLAN), principalmente las redes que emplean los estándares IEEE 802.11a, 802.11b, 802.11g, 802.11n y 802.11ac.
  • Las redes de sensores inalámbricos
  • Las redes de comunicación por satélite
  • Las redes terrestres de microondas

¿Se pueden emplear redes inalámbricas para transmitir datos de tarjetas de pago?

Por supuesto. El estándar Payment Card Industry Data Security Standard (PCI DSS) no prohíbe ni restringe el uso de redes inalámbricas para la transmisión de datos de tarjetas de pago. Sin embargo, si se usan, es necesario que estén totalmente identificadas y protegidas de forma correcta.

Si se utilizan tecnologías inalámbricas en entornos en donde se almacenan, procesan o transmiten datos de los titulares de tarjetas (por ejemplo, transacciones en puntos de venta), o si una red de área local inalámbrica (WLAN) forma parte del entorno de datos de los titulares de tarjetas (CDE) o está conectada a él, se aplicarán los requisitos y procedimientos de comprobación de PCI DSS para entornos inalámbricos.

Antes de implementar una tecnología inalámbrica, la entidad debe evaluar cuidadosamente la necesidad de uso de esta tecnología frente al riesgo que se asume. Se debe considerar la posibilidad de desplegar la tecnología inalámbrica sólo para la transmisión de datos no sensibles.

Controles del estándar PCI DSS v3.2.1 relacionados con el aseguramiento de redes inalámbricas

Generalmente, en redes locales en donde se transmiten datos de tarjetas se suelen usar conexiones inalámbricas basadas en los estándares IEEE 802.11 Wi-Fi y 802.15 Bluetooth.

Los siguientes son los principales tipos de riesgos que se intentan minimizar con la implementación de los controles del estándar PCI DSS relacionados con redes inalámbricas:

  • Uso de puntos de acceso no autorizados (Rogue WLAN AP), que son elementos conectados a la red corporativa de forma no autorizada y que permiten el ingreso de tráfico no controlado e inseguro. Este tipo de riesgo puede suceder cuando se insertan tarjetas inalámbricas no autorizadas en servidores (vía USB, por ejemplo) o conectando un punto de acceso no autorizado a una red (Wi-Fi o Bluetooth).
  • Transmisión de datos en texto claro o empleando cifrado débil
  • Conexión de dispositivos inalámbricos con valores por defecto
  • Uso de valores de configuración por defecto (Misconfigured Access Point)
  • Errores en los procesos de autenticación y autorización en la conexión de usuarios y dispositivos
  • Problemas en la seguridad física de dispositivos inalámbricos
  • Tráfico no autorizado

En dichos casos, los siguientes son los controles del estándar PCI DSS que aplican a la protección de ese tipo de redes:

Segmentación y aislamiento - requerimiento 1.2.3

El requerimiento 1.2.3 de PCI DSS v3.2.1 indica:

Instale firewalls de perímetro entre las redes inalámbricas y el entorno de datos del titular de la tarjeta y configure estos firewalls para negar o, si el tráfico es necesario para fines comerciales, permitir solo el tráfico autorizado entre el entorno inalámbrico y el entorno de datos del titular de la tarjeta.

En este sentido, cualquier red inalámbrica del entorno se debe aislar del entorno de datos del titular de tarjeta (Cardholder Data Environment – CDE) empleando un firewall que soporte la tecnología stateful inspection (req. 1.3.5). De igual manera, si se requiere que exista tráfico desde esas redes hacia el CDE, se debe identificar en los diagramas de red y de flujo cualquier conexión inalámbrica y mantener el inventario de puertos, servicios y protocolos empleados en las comunicaciones con dichas tecnologías (req. 1.1.6).

Cambio de valores por defecto - requerimiento 2.1.1

El requerimiento 2.1.1 de PCI DSS 3.2.1 indica:

En el caso de entornos inalámbricos que están conectados al entorno de datos del titular de la tarjeta o que transmiten datos del titular de la tarjeta, cambie TODOS los valores predeterminados proporcionados por los proveedores de tecnología inalámbrica al momento de la instalación, incluidas, a modo de ejemplo, las claves de cifrado inalámbricas predeterminadas, las contraseñas y las cadenas comunitarias SNMP (protocolo simple de administración de red).

Con el fin de prevenir el uso de valores por defecto e inseguros en dispositivos inalámbricos (incluyendo credenciales de autenticación, protocolos, algoritmos de cifrado, comunidades SNMP, etc.), es imprescindible seguir las recomendaciones del fabricante, las mejores prácticas de la industria y la redacción de una guía de configuración segura para las tecnologías inalámbricas empleadas en la organización. Algunas referencias son:

Igualmente, es importante actualizar de forma periódica el firmware de los dispositivos inalámbricos para evitar vulnerabilidades conocidas y usar funcionalidades más recientes.

Cifrado del tráfico en tránsito - requerimiento 4.1.1

El requerimiento 4.1.1 de PCI DSS v3.2.1 indica:

Utilizar criptografía sólida y protocolos de seguridad para proteger los datos del titular de la tarjeta confidenciales durante la transmisión por redes públicas abiertas, como por ejemplo, las siguientes:

      • Solo se aceptan claves y certificados de confianza.
      • El protocolo implementado solo admite configuraciones o versiones seguras.
      • La solidez del cifrado es la adecuada para la metodología de cifrado que se utiliza.

Ejemplos de redes públicas abiertas incluyen, entre otras, las siguientes: Internet, tecnologías inalámbricas, incluso 802.11 y Bluetooth, tecnología celular, por ejemplo, GSM (sistema global de comunicación móviles), CDMA (acceso múltiple por división de código), servicio de radio paquete general (GPRS), comunicaciones satelitales

En este sentido, se recomienda el uso de Wi-Fi Protected Access (WPA), Wi-Fi Protected Access II (WPA2) y Wi-Fi Protected Access 3 (WPA3 – recomendado), tres protocolos desarrollados por Wi-FI Alliance como respuesta a las vulnerabilidades identificadas en el protocolo Wired Equivalent Privacy (WEP). Estos protocolos gestionan de forma nativa la autenticación (WPA_Personal, WPA-Enterprise, WPS y Extensible Authentication Protocol – EAP extensions), el cifrado (TKIP, CCMP) y la integridad de los datos transmitidos (CRC).

No obstante, estos protocolos pueden ser susceptibles a múltiples ataques (KRACK, Dragonblood, etc.) por lo que es imprescindible la actualización periódica del firmware de los dispositivos inalámbricos.

Como complemento a la seguridad del canal, se puede usar la protección de los datos de tarjetas empleando criptografía directamente desde el dispositivo de captura mediante soluciones de cifrado punto a punto (P2PE).

Seguridad física de dispositivos inalámbricos - requerimiento 9.1.3

El requerimiento 9.1.3 de PCI DSS v3.2.1 indica:

Limite el acceso físico a los puntos de acceso inalámbricos, gateways, dispositivos manuales, hardware de redes o comunicaciones y líneas de telecomunicaciones.

En este caso, si los dispositivos inalámbricos dentro del alcance de PCI DSS no cuentan con una seguridad física adecuada, puede dar paso a que un potencial atacante manipule de forma no autorizada o conecte dispositivos propios a la red de datos, pudiendo comprometer el entorno. Para ello, se recomienda que dichos dispositivos se encuentren ubicados en zonas seguras y que su acceso sea monitorizado.

Identificación de dispositivos y puntos de acceso - requerimiento 11.1

El requerimiento 11.1 de PCI DSS v3.2.1 indica:

Implemente procesos para determinar la presencia de puntos de acceso inalámbrico (802.11), detecte e identifique, trimestralmente, todos los puntos de acceso inalámbricos autorizados y no autorizados.

El objetivo de este control es identificar cualquier dispositivo inalámbrico no autorizado que pueda permitir el acceso a la red de datos, al margen de que la organización utilice o no redes inalámbricas.

Los métodos que pueden emplearse para la detección de puntos de acceso inalámbricos son los siguientes:

  • Inspecciones manuales físicas y lógicas: En este método, se requiere que de forma trimestral (como mínimo) se realice una inspección en búsqueda de redes y dispositivos inalámbricos en la organización:
    • Inspección física: Identificación física de cualquier dispositivo no autorizado (tarjetas inalámbricas, dispositivos móviles conectados a otros componentes del sistema u otros dispositivos inalámbricos conectados directamente a la red) empleando observación directa de las ubicaciones dentro del entorno de PCI DSS.
    • Inspección lógica: Identificación de cualquier señal proveniente de dispositivos inalámbricos no autorizados que pueda implicar una conexión con la red de datos del entorno PCI DSS. Para esta actividad se puede hacer uso de escáneres Wi-Fi, que realizan un análisis pasivo y activo del espectro electromagnético en busca de puntos de acceso cercanos, indicando la fortaleza de la señal, los canales empleados, el tipo de cifrado que se usa, creación de «mapas de calor», etc. Algunos escáneres que se pueden emplear para esta actividad son:

  • Uso de sistemas de detección/prevención de intrusiones inalámbricas (WIDS/WIPS): En este método, se hace uso de un dispositivo o software especializado que se encarga de realizar una inspección en tiempo real de cualquier punto de acceso inalámbrico o de tráfico inalámbrico no autorizado, generando alertas (WIDS) o bloqueo activo de dicho tráfico (WIPS), minimizando las ventanas de tiempo de ataques. Algunas soluciones de este estilo son:
  • Uso de controles de acceso de red (Network Access Controls – NAC): Mediante NAC se implementa un mecanismo robusto de autenticación de usuarios y dispositivos en el momento de admisión/conexión a la red, incluyendo el cumplimiento con políticas adicionales de seguridad como el uso de soluciones antimalware, actualización de componentes de software, etc. Este tipo de controles es particularmente importante en redes inalámbricas para controlar el acceso de dispositivos de proveedores externos o de dispositivos propiedad de los empleados (BYOD). Una forma básica de NAC es el estándar IEEE 802.1x. Algunas soluciones de controles NAC son:

Inventario de puntos de acceso inalámbricos autorizados - requerimiento 11.1.1

El requerimiento 11.1.1 de PCI DSS v3.2.1 indica:

Lleve un inventario de los puntos de acceso inalámbricos autorizados que incluyan una justificación comercial documentada.

Obviamente, para poder determinar si un punto de acceso inalámbrico está permitido o no, se requiere mantener una lista de los puntos de acceso autorizados. En este caso, si la organización emplea redes inalámbricas en su entorno, se requiere un listado de la información de dicha red, incluyendo el dispositivo de punto de acceso, los Service Set IDentifier (SSID) relacionados, las bandas empleadas (2.4 GHz o 5GHz), los canales usados con base en las frecuencias y la justificación de negocio para emplear dichas redes inalámbricas.

Este inventario es la base para la ejecución de los escaneos inalámbricos descritos en el requerimiento 11.1.

Gestión de incidentes con redes inalámbricas - requerimiento 11.1.2

El requerimiento 11.1.2 de PCI DSS v3.2.1 indica:

Implemente procedimientos de respuesta a incidentes en caso de que se detecten puntos de acceso inalámbricos no autorizados.

Como respuesta a los resultados de los escaneos inalámbricos, las acciones de las plataformas NAC o a las alertas de las soluciones de detección/prevención de intrusiones inalámbricas (WIDS/WIPS) se requiere contar con un procedimiento metodológico de respuesta ante cualquier actividad sospechosa vinculada con esa tecnología, en las cuales se incluyen:

  • Bloqueo a nivel de direcciones MAC/IP de cualquier tráfico proveniente de redes inalámbricas no autorizadas
  • Bloqueo de clientes que se conecten a la red desde el AP no autorizado
  • Aislamiento de dispositivos mal configurados (cuarentena)
  • Revisión de los controles de seguridad física desplegados

Políticas de uso de redes inalámbricas - requerimiento 12.3

El requerimiento 12.3 de PCI DSS v3.2.1 indica:

Desarrolle políticas de uso para tecnologías críticas y defina cómo usarlas correctamente. Nota: Entre los ejemplos de tecnologías críticas, se incluyen las tecnologías inalámbricas y de acceso remoto, las computadoras portátiles, las tabletas, los dispositivos electrónicos extraíbles, el uso del correo electrónico y de Internet.

El uso de cualquier red inalámbrica dentro del entorno PCI DSS debe vernir acompañada de una política de uso aceptable, en donde se listen las acciones autorizadas, las acciones no autorizadas, las ubicaciones y los dispositivos desde los cuales se puede hacer uso de estas conexiones, el tipo de tráfico aceptable, etc.

Algunos ejemplos de políticas de uso aceptable para redes inalámbricas se pueden encontrar aquí:

De forma complementaria a los controles del estándar PCI DSS se puede hacer uso de la metodología OWISAM (Open WIreless Security Assessment Methodology), que define una serie de controles de seguridad que se deben verificar sobre redes inalámbricas, un análisis de los principales riesgos de seguridad existentes en este tipo de redes (OWISAM Top 10) y una metodología de pruebas, que pueden servir como base para la ejecución de las actividades exigidas por el estándar.

Finalmente, es muy recomendable seguir las recomendaciones del Centro Criptológico Nacional (CCN) de España en el proceso de análisis, implementación y aseguramiento de redes inalámbricas:


David Acosta

Asesor de Seguridad Calificado (QSA) para PCI DSS, P2PE, PIN, 3DS, TSP y PIN.
CISSP Instructor, CISA, CISM, CRISC, CHFI Trainer, CEH, OPST, BS25999 LA.