Los puntos de acceso wifi disponen casi todos ellos de sistemas para «cerrarlos» de manera que sólo admitan conexiones de clientes que conozcan las claves que hayamos escogido. Con estas claves, aparte de restringir el acceso a quien las conozca, ciframos las comunicaciones que se producen entre los clientes y el punto de acceso.
Como los datos en el caso del wifi se trasmiten vía rádio, se habla mucho de su vulnerabilidad, dado que cualquier persona dentro del radio de cobertura puede -supuestamente- capturar los paquetes de datos que se transmiten e intentar descifrarlos, aunque sea por fuerza bruta. Esto significa que en la práctica estos mecanismos hacen poco más que dificultar el acceso.

Además, no hay que olvidar que como mucho sirve para intentar proteger un tramo de red. No protege lo que realmente interesa: los servidores o los datos a los que no se tiene que permitir un acceso sin autorización. Ninguna de estas protecciones nos resuelve otro problema muy importante, que es potencialmente aún más importante: la vulnerabilidad vía Internet. Con wifi hace falta que quien quiera hacer un mal uso disponga al menos de cobertura, pero en Internet técnicamente cualquiera puede hacer mal uso. «Cerrar» los puntos de acceso con WEP o WPA puede tener el peligro de crear una falsa sensación de seguridad, simplemente por haber puesto dificultades en el acceso a una de las partes de la red, cuando en realidad hay otros peligros, y además, lo que queremos es proteger realmente los ordenadores y los datos.

En cambio, lo que si se puede hacer es delimitar cuáles son las cosas que hay que proteger y cuáles no. Si ponemos el punto de acceso, aunque sea abierto, siempre en una zona DMZ (desmilitarizada o desprotegida), y situamos los puntos que hay que proteger en zonas seguras, obtendremos un resultado mucho mejor.

Para entendernos, en nuestro esquema, guifi.net es conceptualmente una zona desmilitarizada, a la que corresponden las direcciones 10.138.X.X.

Hay muchas maneras de hacer esto y son, de menor a mayor protección, las siguientes:

1. La más sencilla es simplemente incorporar un programa cortafuegos en nuestros ordenadores de manera que nos permita detectar qué transito y para qué aplicaciones. Los sistemas Linux incorporan siempre uno. En sistemas Windows hay diversas opciones comerciales. En sistemas Windows o Linux con Samba, es importante que en el momento de permitir compartir un recurso (Impresora, disco) se haga de forma controlada, sabiendo qué, cómo y a quién damos acceso.
2. Así mismo, los programas cortafuegos están siempre dentro del ordenador, por lo que solo actúan sobre los datos que ya han llegado. Una manera de poner un nivel de seguridad eficaz adicional es incorporar un cortafuegos en otro equipo que se encargue del enrutamiento. Puede ser otro ordendor, el mismo router que tenemos si está disponible esta funcionalidad (por ejemplo un WRT54G ya incorpora algunas funciones), o comprando uno que hafa específicamente esta función. Hoy en dia hay a partir de poco más de 50 – 60 €. El tener un cortafuegos separado que hace de puerta hacia la zona segura nos permitirá tener una subred propia (en nuestro caso, las 192.168.X.X), diferente de la de guifi.net y por tanto delimitaremos bien claramente la zona desmilitarizada de la protegida.
3. Conectar ordenadores en tramos de red desprotegidos (inseguros) haciendo uso de redes privadas virtuales (VPN), que pueden encriptarse con algoritmos IPSEC y claves de cifrado muy superiores a las de WEP y  WPA, entre los 1024 y 4096 bits.

   Los sistemas badados en *nix incorporan diversas funcionalidades para hacerlo. Los sistemas Windows no sé bien cómo lo hacen, pero me consta que como mínimo se conectan como clientes de estas VPN.

4. Establecer cortafuegos en estas VPN, de manera transparente, en los ordenadores que hay dentro de la zona protegida. Cortafuegos con esta funcionalidad hay a partir de unos 100 €. Tenéis un ejemplo si miráis el documento Construyendo redes seguras y privadas

Resumen

Si lo que queremos es proteger nuestros ordenadores, lo que hace falta es delimitar qué queremos proteger, y aplicar, en fundón del nivel de protección que queremos conseguir, alguna de las soluciones descritas antes. Poner un punto de acceso con WEP, en mi opinión, sería de todas ellas la que aporta menos protección y, en cambio, la única que conseguiria poner dificultades en el acceso a la red.

Además, al emitir una señal wifi encriptada para nuestros enlaces, estamos «contaminando» el espacio radioeléctrico con señales que en muchos casos «invadirán» casas u otros espacios privados, lo que puede generar recelo hacia guifi.net, o incluso despertar cierto interés por descifrar la señal; teniendo en cuenta que la encriptación WEP es insegura y débil, el hacer uso de ella nos dará una falsa seguridad, cuando lo que seguramente deberíamos hacer es hacer segura nuestra red como si fuera cableada y no inalámbrica.