La presencia cada vez mayor de redes de comunicaciones inalámbricas, así como el uso de equipos portátiles y dispositivos móviles, conectados a redes domésticas y corporativas, expone el perímetro de las organizaciones a un gran número de ataques contra su infraestructura.
Según OWISAM, acrónimo de Open WIreless Security Assessment Methodology (Metodología de evaluación de seguridad wireless abierta), estos riesgos han sido definidos en base a la experiencia obtenida en tests de intrusión en redes inalámbricas y el análisis del estado del arte de la seguridad Wireless, teniendo en cuenta el impacto que estos riesgos pueden tener sobre los activos de la organización.
Por ello, una revisión de seguridad basada en OWISAM TOP 10 RISKS 2013 se debe orientar a analizar y detectar los siguientes elementos:
- OWISAM-TR-001: Red de comunicaciones Wi-Fi abierta.
- OWISAM-TR-002: Presencia de cifrado WEP en redes de comunicaciones.
- OWISAM-TR-003: Algoritmo de generación de claves del dispositivo inseguro (contraseñas y WPS).
- OWISAM-TR-004: Clave WEP/WPA/WPA2 basada en diccionario.
- OWISAM-TR-005: Mecanismos de autenticación inseguros (LEAP,PEAP-MD5,..)
- OWISAM-TR-006: Dispositivo con soporte de Wi-Fi protected setup PIN activo (WPS).
- OWISAM-TR-007: Red Wi-Fi no autorizada por la organización.
- OWISAM-TR-008: Portal hotspot inseguro.
- OWISAM-TR-009: Cliente intentando conectar a red insegura.
- OWISAM-TR-010: Rango de cobertura de la red demasiado extenso.
Las organizaciones que no hacen uso de infraestructura inalámbrica propia pueden ser vulnerables a ataques a través de Wi-Fi debido a los riesgos provocados por OWISAM-TR-007 y OWISAM-TR-009.
