WiFi más seguro con WP3

También puedes leer... Todo sobre Spectre y Meltdown SecOps a examen Los mitos de las Brechas de Seguridad La creación de un SOC Cómo sobrevivir a un ataque BEC

Las redes WiFi van a ser, a partir de ahora, un poquito más seguras. La seguridad de las redes inalámbricas siempre ha estado en entredicho, y con razón, porque no es extremadamente complicado interceptar el tráfico de estas redes para conseguir información como contraseñas o datos de tarjetas de crédito. También existen programas gratuitos y extremadamente fáciles de utilizar con los que se puede acceder a la red inalámbrica del vecino; sólo hace falta tiempo para saber buscarlos.

Este tema se publicó en el número de febrero de la revista IT Digital Securiy, cuyo tema de portada se centró en las vulnerabilidades de Spectre y Meltdown, que puedes descargarte desde este enlace.

Existe un organismo, la Wi-Fi Alliance, compuesta por decenas de empresas que buscan impulsar la adopción y evolución de las redes WiFi, que ya transportan más de la mitad del tráfico de Internet. Esta alianza no sólo trabaja en especificaciones que sea cada vez más fáciles de desplegar y tengan mayor capacidad y mayor alcance, sino en la seguridad de las mismas. Estas especificaciones, o estándares son conocidos como 802.11, que son los referidos a las redes inalámbricas de área local

Y del mismo modo que con el correr de los años se ha pasado de los estándares WiFi a/b/g a WiFi n y, últimamente, a WiFi ac, el protocolo de seguridad ha ido avanzando, anunciándose recientemente WP3, el nuevo estándar de seguridad para redes inalámbricas.

Existen diferentes alternativas que permiten garantizar la seguridad de las rede WiFi. Lo más habitual es la utilización de protocolos de cifrado, como el WEP, el WPA o WPA2, que se encargan de cifrar la información transmitida. En el caso de WEP, utiliza un cifrado de 64bit o 128bit, pero no está recomendado porque a consecuencia de la cantidad de vulnerabilidades que presenta, es relativamente fácil para un hacker conseguir las claves de cifrado.

Las mejoras llegaron con WPA, que incluía la generación dinámica de claves de acceso. WPA2, o Wi-Fi Protected Access 2, fue ratificado en 2004, tres años después de que el protocolo anterior, WEP, fuera crackeado y, como consecuencia, demasiado inseguro para seguir utilizándolo. WPA2 es el protocolo que se está utilizando actualmente y al que le seguirá, a lo largo de este año, WPA3.

La llegada de WP3 no significa el final para el protocolo anterior. Wi-Fi Alliance continuará realizando mejoras en WP2 que aseguren una protección adecuada a los usuarios de redes inalámbricas mientras evoluciona el panorama de la seguridad. De hecho, según la organización, las aplicaciones de Wi-Fi avanzadas se basarán en WPA2 con marcos de administración protegida y las nuevas mejoras reducirán el potencial de vulnerabilidades como consecuencia de una mala configuración de la red, al tiempo que protegerán aún más las redes administradas con servicios de autenticación centralizados.

WiFi más segura

Aunque quizá lo más destacado sea la llegada de un nuevo protocolo de seguridad, la Wi-Fi Alliance anunció varias nuevas características para Wi-Fi Protected Access, que es la familia de tecnologías de seguridad Wi-Fi Certified desde hace más de una década, incluidas mejoras en la configuración, autenticación y cifrado que permiten que todos los dispositivos WiFi Certified continúen mejorando las protecciones de seguridad.

Como parte de WPA3 se esperan cuatro nuevas capacidades que se aplicarán tanto a redes Wi-Fi empresariales como personales. Dos de ellas ofrecerán protecciones robustas incluso cuando los usuarios eligen contraseñas que no cumplen con las recomendaciones, y simplificarán el proceso de configuración de seguridad para los dispositivos que tienen una interfaz de visualización limitada o nula.

Otra de las nuevas características de seguridad fortalecerá la privacidad del usuario en redes abiertas a través del cifrado de datos individualizado. Finalmente, WPA3 también contará con una suite de seguridad de 192 bits alineada con la Suite del Algoritmo de Seguridad Nacional Comercial (CNSA) que protegerá las redes gubernamentales, de defensa e industriales que tienen mayores requisitos de seguridad.

KRACK compromete WiFi

Si en 2001 el protocolo WEP era hackeado, en octubre de 2017 le llegaba el turno a WP2, lo que significa que el protocolo que protege las redes WiFi, y que llegó al mercado en 2004, no es tan seguro desde entonces; sobre todo, y lamentablemente es lo habitual, cuando no se apliquen los parches de seguridad que reparan el fallo.

La culpa la tiene KRACK (Key Reinstallation Attacks), que el nombre que los investigadores Mathy Vanhoef y Frans Piessens pusieron a la vulnerabilidad. Afecta a todos los routers del mundo y a cualquier red WiFi, incluyendo las de la oficina, el hogar o las públicas. A grandes rasgos, lo que hace este fallo es permitir que un ciberatacante se introduzca dentro del radio de la red inalámbrica para, una vez dentro, inyectar virus o apoderarse de contraseñas, números de tarjetas de crédito o fotos enviadas a través de internet. O lo que es lo mismo, interceptar el tráfico de esas redes inalámbricas.

La vulnerabilidad es devastadora porque se encuentra en el propio estándar, no en los dispositivos, lo que significa que cualquier implementación de WPA2 está afectada. Es decir, si tienes un dispositivo que utilice WiFi, está afectado. Además, afecta a todos los sistemas operativos (Android, Windows, iOS, macOS, Linux, OpenBSD, etc), así como al hardware de todos los fabricantes.

Como ya ocurría con las redes WEP, para realizar el ataque con KRACK es necesario que el ciberdelincuente esté cerca de la red a hackear. La diferencia es el alcance que tienen hoy en día las redes WiFi y que el sustituto de WP2 tarda en llegar, a lo que habrá que añadir el periodo de implementación.

Cómo protegerte de KRACK

Lo que hace KRACK es explotar un defecto en el proceso de handshake de cuatro vías entre el dispositivo de un usuario que intenta conectarse y una red Wi-Fi. Lo que ocurre es que lo mejor es seguir utilizando el protocolo WPA2 -y así ha ocurrido desde que se conoció el problema, porque sigue siendo la opción disponible más segura para la mayoría de las redes inalámbricas.

Entre las recomendaciones, comprobar si hay actualizaciones de seguridad para todos aquellos dispositivos susceptibles de conectarse a una red WiFi. Microsoft, por ejemplo, fue de las primeras empresas en parchear el fallo. Apple creó un parche para el exploit aplicable a iOS y MacOS, y también para su Apple Watch y Apple Tv. Aruba tiene un parche disponible para Aruba OS, Aruba Instant, Clarity Engine and other software. Cisco, Fortinet, FreeBSD Project, Intel, Linksys/Belkin, Netgear, OpenBSD, Samsung e incluso WatchGuard son algunas de las empresas que se apresuraron a proteger a sus clientes de KRACK. 

Utilizar una VPN, o red privada virtual, es una buena manera de protegerse de KRACK porque cifra todo el tráfico de internet. Tambien hay que tener cuidado con los sites a los que nos conectamos, mejor los que utilicen HTTPS. Aunque no lo impide, y ya que no se puede hackerar lo que no se ve, se recomienda cambiar el nombre de la red y ocultarla, que es una opción que existe en el software de control de los routers.

También podría ser útil aplicar un filtrado MAC, que sigue siendo una de las mejores maneras de conseguir que nadie que no queramos se conecte a nuestro punto de acceso a internet. Cada dispositivo capaz de conectarse a una red (ordenador, tablet, impresora, smartphone, proyector, etc.), tiene una dirección única que se conoce como MAC, o Media Access Control. Y lo que hay que hacer es una lista de direcciones MAC que queremos que se conecten a nuestro router.