Estándares de seguridad Wi-Fi
Existen muchos riesgos asociados a los protocolos inalámbricos y a los métodos de cifrado. Así, para minimizarlos, se utiliza un marco robusto de diferentes protocolos de seguridad inalámbrica. Estos estándares de seguridad impiden el acceso no autorizado a los ordenadores mediante el cifrado de los datos transmitidos a través de una red inalámbrica.
La mayoría de los puntos de acceso inalámbricos tienen la capacidad de habilitar WEP, WPA, WPA2 o incluso WPA3, que está empezando a implementarse en los nuevos equipos Wi-Fi.
WEP o Wired Equivalent Privacy
El primer estándar de seguridad inalámbrica fue WEP o Wired Equivalent Privacy. Comenzó en 1999 con un cifrado de 64 bits y llegó a un cifrado de 256 bits.
Se consideraba una solución segura hasta que los investigadores de seguridad descubrieron varias vulnerabilidades que permitían a los piratas informáticos descifrar una clave WEP en cuestión de minutos y sin equipo especializado.
Si todavía tiene puntos de acceso que utilizan el estándar WEP, se recomienda encarecidamente cambiar a WPA2 o incluso WPA3, dependiendo de la edad del equipo puede ser necesario cambiarlos. Sin embargo, el coste de los nuevos equipos es razonable.
WPA o Wi-Fi Protected Access
Para subsanar las deficiencias del estándar anterior, en 2003 se puso en marcha WPA como nuevo estándar de seguridad para los protocolos inalámbricos. Utiliza el protocolo TKIP o de integridad de clave temporal para garantizar la integridad de los mensajes. Esto era muy diferente de la WEP. Se suponía que TKIP era mucho más fuerte que CRC. Su uso garantizaba que cada paquete de datos se enviaba con una clave de cifrado única. La mezcla de claves aumentó la complejidad de la decodificación de las mismas. Sin embargo, al igual que el protocolo WEP, WPA también tenía algunas vulnerabilidades.
También se recomienda encarecidamente migrar todos los puntos de acceso Wi-Fi y los routers que todavía utilizan WPA en su primera versión a los últimos estándares WPA2 o WPA3.
WPA 2 el protocolo "seguro" del momento
El cambio más significativo entre WPA y WPA2 es el uso obligatorio de los algoritmos Advanced Encryption Standard (AES) y CCMP. Actualmente, WPA 2 está reconocido como un protocolo seguro, sin embargo, se han descubierto importantes vulnerabilidades que permiten explotarlas cuando se está cerca de la señal WiFi.
La revelación de esta vulnerabilidad de WPA2 WiFi ha hecho que muchos proveedores desarrollen frenéticamente parches para bloquear los ataques. También existe la preocupación de que los dispositivos IoT (Internet de las cosas) nunca reciban parches para la vulnerabilidad WiFi WPA2, lo que los hace muy vulnerables a los ataques. Del mismo modo, es posible que los smartphones más antiguos tampoco estén parcheados. Como estos dispositivos se conectan regularmente a puntos de acceso WiFi públicos, son más vulnerables a los ataques mediante KRACK (Key Reinstallation Attacks) o ataques FRAG.
Recuerde actualizar sus puntos de acceso wifi
Los modos de seguridad de WPA2 se han estudiado ampliamente y se ha comprobado que tienen propiedades criptográficas bien entendidas que proporcionan buena seguridad y rendimiento en software o hardware. Por lo tanto, se desaconseja encarecidamente cambiar a un protocolo más antiguo que sería trivialmente explotable. Lo mejor es seguir utilizando WPA2 cuando se utiliza el Wi-Fi.
Cuando viaje y trabaje en la Universidad, se recomienda que se conecte a puntos de acceso Wi-Fi con VPN y que sólo utilice sitios que ofrezcan HTTPS.
Los sitios web correctamente configurados, como los bancos, las redes sociales, los proveedores de correo electrónico, etc. que utilizan TLS (HTTPS) siguen estando protegidos contra los ataques hasta el día de hoy.
Sustituya el modo de cifrado TKIP por AES
AES también es un método de encriptación. A diferencia de TKIP, AES es más robusto. AES significa en realidad Advanced Encryption Standard. En este sentido, este estándar permite cifrar los datos con mayor eficacia que con TKIP. Además, el estándar WPA + AES fue priorizado por las instituciones gubernamentales y el ejército cuando no existían ni WPA2 ni WPA3.
Con AES, el cifrado se ha reforzado al máximo nivel. La única manera de atacar una red con AES es con un alto grado de probabilidad basado en un cifrado de 128, 192 o 256 bits.
WPA3 La última norma de seguridad Wifi
El protocolo WPA3 tiene dos objetivos principales. El primer objetivo es certificar en los productos Wi-Fi la correcta aplicación de las contramedidas propuestas contra los llamados ataques KRACK. El segundo objetivo es actualizar los mecanismos existentes para aumentar el nivel de seguridad y evitar las técnicas de ataque conocidas.
WPA3 utiliza modernos procesos de encriptación SAE (Simultaneous Authentication of Equals) para proporcionar, entre otras cosas, un mayor nivel de seguridad contra los "ataques de diccionario" y evitar eficazmente las pruebas sistemáticas de contraseñas automatizadas para acceder a su Wi-Fi. Además, otras características de seguridad se están convirtiendo en obligatorias, como los marcos de gestión protegidos (PMF). Garantizan un intercambio seguro de datos durante la fase de conexión entre el dispositivo Wi-Fi y la base Wi-Fi.
La autenticación concurrente (SAE) es un protocolo de establecimiento de claves más seguro entre dispositivos. El protocolo « handshaking» proporciona una mayor protección contra los intentos fallidos de inicio de sesión para descubrir la contraseña. WPA3-Personal ofrece una autenticación de contraseñas más resistente, incluso para los usuarios que han elegido contraseñas cortas que no cumplen las recomendaciones de complejidad tradicionales, según la WiFi Alliance.
WPA3-Enterprise también permite el uso de un cifrado de datos equivalente al cifrado de 192 bits, lo que proporciona protecciones adicionales para las redes que transmiten datos sensibles al ofrecer claves de cifrado más grandes y más difíciles de descifrar. Los marcos de gestión seguros están diseñados para evitar los ataques de desautentificación.
Sobre WPA3 se han publicado nuevas vulnerabilidades y ataques que obligan a repensar si es necesario hacer cambios sobre el protocolo (Dragonblood que afecta a Dragonfly de SAE y EAP-pwd). También se han publicado vulnerabilidades que afectan a los chips de los clientes y a los puntos de acceso que permiten descifrar las tramas almacenadas en el buffer cuando se envían con TK=0 después de la disociación (vulnerabilidad Kr00K publicada en febrero de 2020).
Las tecnologías inalámbricas cambian y evolucionan constantemente.
Es muy importante mantenerse informado y aplicar las contramedidas necesarias a las vulnerabilidades y amenazas publicadas (a menudo las actualizaciones son suficientes para solucionar el problema).
Desactivar WPS por código PIN
La mayoría de los routers y Box de Internet recientes deberían utilizar el estándar de seguridad WPA2-Personal o WPA2-PSK. PSK" significa "Pre-Shared Key". Pones una contraseña wifi en tu router y luego tienes que introducir esta misma contraseña en todos los dispositivos que quieras conectar al WiFi. Esto le permite asegurar su conexión con una contraseña para evitar el acceso de usuarios no deseados. El router también utiliza la contraseña para encriptar la conexión entre el router y el PC para evitar el espionaje. Esto puede ser molesto porque, con una contraseña complicada como se aconseja configurar en el router, introducir la contraseña en todos los dispositivos puede llevar mucho tiempo. WPS se creó para evitar este problema. Cuando te conectes a un router con WPS verás un mensaje que te informa de que puedes conectarte al WiFi sin tener que introducir la contraseña.
El WPS se utiliza para conectarse más fácilmente al punto de acceso Wifi sin tener que recordar la contraseña. Es aconsejable desactivar la opción WPS del router y elegir una contraseña lo suficientemente compleja pero sencilla de recordar para garantizar su seguridad. El punto de acceso tiene un código PIN, que debe ser introducido en el solicitante. Este código suele estar impreso en el router y no se puede cambiar. No me refiero a los fabricantes que dejan "12345670" en sus productos. Este método es vulnerable.
La verificación del código PIN se realiza en 2 veces. Técnicamente, se envían los 4 primeros dígitos, el router comprueba, da su respuesta y, si es positiva, el candidato envía los 4 últimos dígitos. A continuación, es posible probar sólo las 4 primeras (10.000 posibilidades) y, una vez determinadas, volver a empezar con las 4 últimas. Es decir... 20.000 posibilidades en total, una gran docena de horas en el mejor de los casos.
¿Y si combinamos los dos defectos? Entonces tenemos 10.000 posibilidades para el primer grupo, y 1.000 para el segundo (ya que podemos calcular el último número). Son 11.000 posibilidades, en lugar de los 100.000.000 del principio. Y estadísticamente, el PIN correcto no debería ser el último en ser probado... En unas horas, está hecho
En resumen: hace tiempo que se sabe que es mejor usar WPA2 que WPA o incluso WEP, que son fáciles de romper. Pero WPA2 en un router con WPS activado significa asumir el riesgo de que un atacante encuentre la clave rápidamente. Unas pocas horas no son nada. El Wi-Fi es como todo lo demás: ¡protégete!