• Author / Uploaded
• José María Sánchez Martínez

Citation preview

Protocolos de Seguridad:

Hecho por: Jose Mª Sánchez Martínez

Índice: INTRODUCCIÓN ............................................................................................................................. 2 Algoritmos ..................................................................................................................................... 3 WEP ............................................................................................................................................... 4 Estándar ........................................................................................................................................ 4 Cifrado ........................................................................................................................................... 5 Autenticación ................................................................................................................................ 5 Características ............................................................................................................................... 6 Privacidad Equivalente al Cableado (WEP) ................................................................................... 6 Acceso protegido Wi-Fi (WPA) ...................................................................................................... 7 Wi-Fi Protected Access versión 2 (WPA2) ..................................................................................... 7 Propósito ....................................................................................................................................... 8 WPA contra WPA2......................................................................................................................... 9 Velocidad de cifrado...................................................................................................................... 9 Que protocolo elegir: WPA2 ....................................................................................................... 10 Filtrado por direcciones MAC ...................................................................................................... 10 WPA3 ........................................................................................................................................... 10 ¿En qué se diferencia WPA3 de WPA2? ...................................................................................... 11 Cifrado de 192 bits en vez de 128 bits .................................................................................... 11 Mejor protección, aun con contraseñas simples .................................................................... 11 Configuración sencilla con otro dispositivo ................................................................................ 12

1

INTRODUCCIÓN En la actualidad las redes inalámbricas de área local, de sus siglas en inglés Wireless Local Area Network (WLAN) han encontrado una variedad de escenarios de aplicación, tanto en el ámbito residencial como en entornos empresariales, por las ventajas que poseen en cuanto a la movilidad, facilidad de instalación y flexibilidad ya que permiten llegar a zonas donde no es posible el cableado o este resulta más costoso. Es por ello, que las empresas analizan la viabilidad de realizar un proceso de actualización de sus redes e introducen redes inalámbricas como complemento de las redes cableadas. Sin embargo, en su implementación, la seguridad es un aspecto importante ya que a diferencia de las redes cableadas no es necesaria una conexión física. En una red WLAN el medio de transmisión es el aire y los datos son transmitidos mediante ondas de radio que se propagan entre clientes inalámbricos y puntos de acceso (AP). Las ondas de radio atraviesan objetos como techos, pisos y paredes, y los datos transmitidos pueden llegar a destinatarios no deseados. De esta manera, terceros tienen la posibilidad de acceder a dicha información. En las universidades, además del riesgo de sufrir ataques desde fuera de su perímetro, se ofrecen servicios a distintos tipos de clientes: usuarios administrativos, no docentes, y usuarios del ámbito académico, compuestos por profesores, investigadores y estudiantes, algunos de los cuales pueden ser personas con conocimientos sobre cómo vulnerar la seguridad de la red. En este sentido, resulta imprescindible disponer de políticas de seguridad para este tipo de entorno, de manera que permitan garantizar a un nivel aceptable, la autenticidad, disponibilidad y confidencialidad de la información que se genera y se transmite y con ello el funcionamiento de la red. En la Universidad de Cienfuegos (UCF) se está trabajando para ampliar los servicios de red WLAN por las ventajas que proveen a los usuarios, además para que los servicios de red lleguen a algunos puntos críticos de la universidad en los que no puede llegar el cableado ya sea por las condiciones del lugar o por los costos que implica, y donde radican o se reúnen estudiantes y profesores con dispositivos que permiten conexión inalámbrica. Para ello se cuenta con el diseño de la red WLAN de la UCF donde se establecen las ubicaciones de los AP. Pero no se han implementado protocolos de seguridad y control de acceso que garanticen que se conecten solo las personas autorizadas y la confidencialidad de la información transmitida. Al principio se implementó el método de autenticación abierta (sin clave), en el que al operar en este modo un AP, acepta cualquier solicitud. Después se logró configurar una variante en la cual el AP posee una lista de direcciones MAC autorizadas, pero esta implica un esfuerzo adicional a la administración de la red, pues se deben mantener actualizadas las listas de direcciones MAC en cada AP. Luego fue implementado WEP con una clave compartida, pero un inconveniente de este proceso es que las claves WEP tienen vulnerabilidades que son utilizadas para cifrar y descifrar los datos transmitidos. Por lo que los intrusos pueden acceder a herramientas que permiten descifrar las claves, como AirCrack. En su momento se utilizó WPA con clave compartida, el cual funcionó satisfactoriamente, pero dependía de la clave solamente para acceder a la red y si un usuario autorizado a acceder a la red les proporcionaba la clave a otros sin permisos de acceso, estos podían acceder sin autorización. Por otra parte, si se extravía un dispositivo con la clave almacenada, la misma queda comprometida y se volvió al método de autentificación abierta con una lista de direcciones MAC autorizadas. 2

Es de interés para la administración de la red de la UCF tener almacenados los registros de conexión de los usuarios para ver los servicios solicitados, lo cual ayuda a la toma de decisiones y permite auditarlos en un momento dado, pero para ello es necesario que los mismos sean autentificados con sus credenciales, lo que no se ha logrado hasta el momento. Por todo lo anteriormente descrito es necesario implementar protocolos de seguridad en la red WLAN de la UCF que permitan garantizar a un nivel aceptable la autenticidad, disponibilidad y confidencialidad de la información que se genera y se transmite y además permitir autentificar a los usuarios en la red mediante sus credenciales. Teniendo en cuenta lo analizado se considera como problema científico a resolver en este trabajo, la no existencia de protocolos de seguridad y control de acceso en la red WLAN de la UCF que permitan hacerles frente a las amenazas y ataques que pueda afrontar. Se caracterizan los protocolos de seguridad en redes WLAN, se realiza un estudio comparativo de los mismos con la selección de los que formarán parte de la propuesta para la red WLAN de la UCF. El estudio comparativo es realizado teniendo en cuenta la evolución de los protocolos que se llevó a cabo después de la descripción de cada uno y con respecto a los anteriores. Se emplearon materiales bibliográficos referidos a la temática sobre posibles ataques, el estándar 802.11i, mecanismos de control de acceso, bibliografía de fabricantes de equipamiento WLAN como Cisco y NETGEAR. Además, se hace una revisión de las RFC para Radius. A partir de la recolección de información se realiza una valoración para determinar cómo ocurre el proceso de autentificación y conexión, cuáles son las vulnerabilidades asociadas, los principales elementos en los que se debe trabajar y la necesidad de emplear mecanismos de seguridad en redes WLAN. Para comparar los protocolos de seguridad se analizó un AP de prueba con la utilización de técnicas de espionaje con la herramienta inSSIDer y captura de información desde el AP como nombre de la red o Service Set IDentifier (SSID), potencia de la señal (Strength), tipo de autenticación, cifrado y canal. Y para comprobar la robustez del cifrado de contraseñas en WEP, WPA y WPA2 se empleó la herramienta AirCrack. En Veizaga (2013), se aborda sobre cómo extraer claves con la herramienta.

Algoritmos Los algoritmos de seguridad Wifi han pasado por muchos cambios y mejoras desde los años 90 para hacerse más seguros y eficaces. Se desarrollaron diferentes tipos de protocolos de seguridad inalámbricos para la protección de redes inalámbricas domésticas. WEP, WPA y WPA2 son los protocolos de seguridad inalámbrica utilizados, estos cumplen el mismo propósito, pero al mismo tiempo son diferentes. Dichos protocolos no sólo evitan que se realicen conexiones no deseadas a su red inalámbrica, sino que también cifran sus datos privados enviados a través de la red. No importa lo protegida y cifrada que se encuentre nuestra red, las redes inalámbricas no cuentan con el mismo nivel de seguridad que las redes cableadas. Estas últimas, en 3

su nivel más básico, transmiten datos entre dos puntos, A y B, conectados por un cable de red (conexión Punto a Punto). Para enviar datos de A a B, las redes inalámbricas lo transmiten dentro de su alcance en todas las direcciones a cada dispositivo conectado que esté escuchando; lo que las hace estar más expuestas potencialmente.

WEP WEP (Wired Equivalent Privacy). Fue el primer estándar de seguridad para redes Wi-Fi. Hoy está superado. El sistema WEP fue pensado para proporcionar una confidencialidad comparable a la de una red tradicional cableada, es el acrónimo de Wired Equivalent Privacy o "Privacidad Equivalente a Cableado", es el sistema de cifrado incluido en el estándar IEEE 802.11 como protocolo para redes Wireless que permite cifrar la información que se transmite. Proporciona un cifrado a nivel 2, basado en el algoritmo de cifrado RC4 que utiliza claves de 64 bits (40 bits más 24 bits del vector de iniciación IV) o de 128 bits (104 bits más 24 bits del IV). Los mensajes de difusión de las redes inalámbricas se transmiten por ondas de radio, lo que los hace más susceptibles, frente a las redes cableadas, de ser captados con relativa facilidad. Presentado en 1999. Comenzando en 2001, varias debilidades serias fueron identificadas por analistas criptográficos. Como consecuencia, hoy en día una protección WEP puede ser violada con software fácilmente accesible en pocos minutos. Unos meses más tarde el IEEE creó la nueva corrección de seguridad 802.11i para neutralizar los problemas. Hacia 2003, la Wi-Fi Alliance anunció que WEP había sido reemplazado por Wi-Fi Protected Access (WPA). Finalmente en 2004, con la ratificación del estándar completo 802.11i (conocido como WPA2), el IEEE declaró que tanto WEP-40 como WEP-104 fueron revocados por presentar fallos en su propósito de ofrecer seguridad. A pesar de sus debilidades, WEP sigue siendo utilizado, ya que es a menudo la primera opción de seguridad que se presenta a los usuarios por las herramientas de configuración de los routers aún cuando sólo proporciona un nivel de seguridad que puede disuadir del uso sin autorización de una red privada, pero sin proporcionar verdadera protección. Fue desaprobado como un mecanismo de privacidad inalámbrico en 2004, pero todavía está documentado en el estándar actual. WEP es a veces interpretado erróneamente como Wireless Encryption Protocol.

Estándar El estándar IEEE 802.11 proporciona mecanismos de seguridad mediante procesos de autenticación y cifrado. En el modo de red Ad Hoc o conjunto de servicios avanzados, la autenticación puede realizarse mediante un sistema abierto o mediante clave compartida. Una estación de red que reciba una solicitud puede conceder la autorización a cualquier estación, o sólo a aquellas que estén incluidas en una lista predefinida. En un sistema de clave compartida, sólo aquellas estaciones que posean una llave cifrada serán autenticadas. El estándar 802.11 especifica una capacidad opcional de cifrado denominada WEP (Wireless Equivalent Privacy); su intención es la de establecer un nivel de seguridad similar al de las redes cableadas. WEP emplea el algoritmo RC4 de RSA Data Security, y es utilizado para cifrar las transmisiones realizadas a través del aire. 4

Aunque los sistemas WLAN pueden resistir las escuchas ilegales pasivas, la única forma efectiva de prevenir que alguien pueda comprometer los datos transmitidos consiste en utilizar mecanismos de cifrado. El propósito de WEP es garantizar que los sistemas WLAN dispongan de un nivel de confidencialidad equivalente al de las redes LANcableadas, mediante el cifrado de los datos que son transportados por las señales de radio. Un propósito secundario de WEP es el de evitar que usuarios no autorizados puedan acceder a las redes WLAN (es decir, proporcionar autenticación). Este propósito secundario no está enunciado de manera explícita en el estándar 802.11, pero se considera una importante característica del algoritmo WEP. WEP es un elemento crítico para garantizar la confidencialidad e integridad de los datos en los sistemas WLAN basados en el estándar 802.11, así como para proporcionar control de acceso mediante mecanismos de autenticación. Consecuentemente, la mayor parte de los productos WLAN compatibles con 802.11 soportan WEP como característica estándar opcional.

Cifrado WEP utiliza una clave secreta compartida entre una estación inalámbrica y un punto de acceso. Todos los datos enviados y recibidos entre la estación y el punto de acceso pueden ser cifrados utilizando esta clave compartida. El estándar 802.11 no especifica cómo se establece la clave secreta, pero permite que haya una tabla que asocie una clave exclusiva con cada estación. En la práctica general, sin embargo, una misma clave es compartida entre todas las estaciones y puntos de acceso de un sistema dado. Para proteger el texto cifrado frente a modificaciones no autorizadas mientras está en tránsito, WEP aplica un algoritmo de comprobación de integridad (CRC-32) al texto en claro, lo que genera un valor de comprobación de integridad (ICV). Dicho valor de comprobación de integridad se concatena con el texto en claro. El valor de comprobación de integridad es, de hecho, una especie de huella digital del texto en claro. El valor ICV se añade al texto cifrado y se envía al receptor junto con el vector de inicialización. El receptor combina el texto cifrado con el flujo de clave para recuperar el texto en claro. Al aplicar el algoritmo de integridad al texto en claro y comparar la salida con el vector ICV recibido, se puede verificar que el proceso de descifrado ha sido correcto ó que los datos han sido corrompidos. Si los dos valores de ICV son idénticos, el mensaje será autenticado; en otras palabras, las huellas digitales coinciden.

Autenticación WEP proporciona dos tipos de autenticación: un sistema abierto, en el que todos los usuarios tienen permiso para acceder a la WLAN, y una autenticación mediante clave compartida, que controla el acceso a la WLAN y evita accesos no autorizados a la red. De los dos niveles, la autenticación mediante clave compartida es el modo seguro. En él se utiliza una clave secreta compartida entre todas las estaciones y puntos de acceso del sistema WLAN. Cuando una estación trata de conectarse con un punto de acceso, éste replica con un texto aleatorio, que constituye el desafío (challenge). La estación debe utilizar la copia de su clave secreta compartida para cifrar el texto de desafío y devolverlo al punto de acceso, con el fin de autenticarse. El punto de acceso descifra la respuesta utilizando la misma clave compartida y compara con el texto de desafío enviado anteriormente. Si los dos textos son idénticos, el punto de acceso envía un mensaje de confirmación a la estación y la acepta dentro de la red. Si la estación no 5

dispone de una clave, o si envía una respuesta incorrecta, el punto de acceso la rechaza, evitando que la estación acceda a la red. La autenticación mediante clave compartida funciona sólo si está habilitado el cifrado WEP. Si no está habilitado, el sistema revertirá de manera predeterminada al modo de sistema abierto (inseguro), permitiendo en la práctica que cualquier estación que esté situada dentro del rango de cobertura de un punto de acceso pueda conectarse a la red. Esto crea una ventana para que un intruso penetre en el sistema, después de lo cual podrá enviar, recibir, alterar o falsificar mensajes. Es bueno asegurarse de que WEP está habilitado siempre que se requiera un mecanismo de autenticación seguro. Incluso, aunque esté habilitada la autenticación mediante clave compartida, todas las estaciones inalámbricas de un sistema WLAN pueden tener la misma clave compartida, dependiendo de cómo se haya instalado el sistema. En tales redes, no es posible realizar una autenticación individualizada; todos los usuarios, incluyendo los no autorizados, que dispongan de la clave compartida podrán acceder a la red. Esta debilidad puede tener como resultado accesos no autorizados, especialmente si el sistema incluye un gran número de usuarios. Cuantos más usuarios haya, mayor será la probabilidad de que la clave compartida pueda caer en manos inadecuadas.

Características Según el estándar, WEP debe proporcionar confidencialidad, autentificación y control de acceso en redes WLAN. WEP utiliza una misma clave simétrica y estática en las estaciones y el punto de acceso. El estándar no contempla ningún mecanismo de distribución automática de claves, lo que obliga a escribir la clave manualmente en cada uno de los elementos de red. Esto genera varios inconvenientes. Por un lado, la clave está almacenada en todas las estaciones, aumentando las posibilidades de que sea comprometida. Y por otro, la distribución manual de claves provoca un aumento de mantenimiento por parte del administrador de la red, lo que conlleva, en la mayoría de ocasiones, que la clave se cambie poco o nunca.

Privacidad Equivalente al Cableado (WEP) WEP fue desarrollado para redes inalámbricas y aprobado como estándar de seguridad Wi-Fi en septiembre de 1999. WEP tenía como objetivo ofrecer el mismo nivel de seguridad que las redes cableadas, sin embargo, hay un montón de problemas de seguridad bien conocidos en WEP, que también lo convierten en un protocolo fácil de romper y difícil de configurar. A pesar de todo el trabajo que se ha hecho para mejorar el sistema, WEP sigue siendo una solución altamente vulnerable. Los sistemas que dependen de este protocolo deben ser actualizados o reemplazados en caso de que la actualización de seguridad no sea posible. WEP fue oficialmente abandonada por la Alianza Wi-Fi en 2004.

6

Acceso protegido Wi-Fi (WPA) Durante el tiempo en que el estándar de seguridad inalámbrica 802.11i estaba en desarrollo, WPA se utilizó como una mejora de seguridad temporal para WEP. Un año antes de que WEP fuera oficialmente abandonado, WPA fue formalmente adoptado. La mayoría de las aplicaciones WPA modernas usan una clave previamente compartida (PSK), más a menudo conocida como WPA Personal, y el Protocolo de Integridad de Clave Temporal o TKIP (/ tiːkɪp /) para encriptación. WPA Enterprise utiliza un servidor de autenticación para la generación de claves y certificados. WPA era una mejora significativa sobre WEP, pero como los componentes principales se hicieron para que pudieran ser lanzados a través de actualizaciones de firmware en dispositivos con WEP, todavía dependían de elementos explotados. WPA, al igual que WEP, después de ser puesto a prueba de concepto y las demostraciones públicas aplicadas resultó ser bastante vulnerable a la intrusión. Sin embargo, los ataques que representaron la mayor amenaza para el protocolo no fueron los directos, sino los que se hicieron en Configuración de Wi-Fi Segura (WPS) – Sistema auxiliar desarrollado para simplificar la vinculación de dispositivos a puntos de acceso modernos.

Wi-Fi Protected Access versión 2 (WPA2) El protocolo basado en estándares de seguridad inalámbrica 802.11i fue introducido en 2004. La mejoría más importante de WPA2 sobre WPA fue el uso del Estándar de cifrado avanzado (AES) para el cifrado. AES es aprobado por el gobierno de EE.UU. para cifrar la información clasificada como de alto secreto, por lo que debe ser lo suficientemente bueno para proteger las redes domésticas. En este momento, la principal vulnerabilidad a un sistema WPA2 es cuando el atacante ya tiene acceso a una red WiFi segura y puede acceder a ciertas teclas para realizar un ataque a otros dispositivos de la red. Dicho esto, las sugerencias de seguridad para las vulnerabilidades WPA2 conocidas son principalmente importantes para las redes de niveles de empresa, y no es realmente relevante para las pequeñas redes domésticas.

7

Lamentablemente, la posibilidad de ataques a través de Configuración de Wi-Fi Segura(WPS), sigue siendo alta en los actuales puntos de acceso capaces de WPA2, que es el problema con WPA también. Y aunque forzar el acceso en una red asegurada WPA / WPA2 a través de este agujero tomará alrededor de 2 a 14 horas sigue siendo un problema de seguridad real y WPS se debe inhabilitar y sería bueno si el firmware del punto de acceso pudo ser reajustado a una distribución para no apoyar WPS, para excluir por completo este tipo de ataque.

Aquí está la calificación básica de mejor a peor de los modernos métodos de seguridad WiFi disponibles en modernos (después de 2006) routers:

1. 2. 3. 4. 5. 6.

WPA2 + AES WPA + AES WPA + TKIP/AES (TKIP Existe como un método alternativo) WPA + TKIP WEP Red abierta (sin seguridad en absoluto)

La mejor manera de hacerlo es desactivar Configuración de Wi-Fi Segura (WPS) y configurar el router a WPA2 + AES. Y a medida que avanza por la lista, lo menos seguro será su red.

Propósito Si deja su router sin seguridad, cualquiera puede robar el ancho de banda, realizar acciones ilegales en su conexión y nombre, supervisar su actividad web e instalar fácilmente aplicaciones malintencionadas en su red. Se supone que tanto WPA como WPA2 protegen las redes inalámbricas de acceso no autorizado.

8

WPA contra WPA2 Los router Wi-Fi admiten una variedad de protocolos de seguridad para asegurar redes inalámbricas: WEP, WPA y WPA2. Sin embargo WPA2 se recomienda sobre su predecesor WPA (Acceso protegido Wi-Fi). Probablemente el único inconveniente de WPA2 es cuánta potencia de procesamiento se necesita para proteger su red. Esto significa que se necesita hardware más potente para no experimentar un menor rendimiento de la red. Este problema se refiere a los puntos de acceso más antiguos que se implementaron antes de WPA2 y sólo admiten WPA2 a través de una actualización de firmware. La mayoría de los puntos de acceso actuales se han suministrado con hardware más capaz.

Definitivamente use WPA2 si puede y sólo use WPA si no hay manera de que su punto de acceso soporte WPA2. El uso de WPA también es una posibilidad cuando su punto de acceso experimenta regularmente altas cargas y la velocidad de la red sufre del uso de WPA2. Cuando la seguridad es la principal prioridad, entonces el retroceso no es una opción, sino que uno debería considerar seriamente la posibilidad de obtener mejores puntos de acceso. WEP tiene que ser usado si no hay posibilidad de usar cualquiera de los estándares WPA.

Velocidad de cifrado Dependiendo de qué protocolos de seguridad utilice, la velocidad de datos puede verse afectada. WPA2 es el más rápido de los protocolos de cifrado, mientras que WEP es el más lento.

Aunque WPA2 es mucho más seguro que WPA y por lo tanto mucho más seguro que WEP, la seguridad de su router depende en gran medida de la contraseña que haya establecido. WPA y WPA2 le permiten usar contraseñas de hasta 63 caracteres. Utilice tantos varios caracteres en su contraseña de la red WiFi como sea posible. Los hackers están interesados en objetivos más fáciles, si no pueden romper su contraseña en varios minutos, lo más probable es que pasen a buscar redes más vulnerables. Resumen:

1. 2. 3. 4. 5.

WPA2 es la versión mejorada de WPA; WPA sólo admite cifrado TKIP mientras WPA2 admite AES; TTeóricamente, WPA2 no es hackable mientras WPA sí lo es; WPA2 necesita más potencia de procesamiento que WPA; Use NetSpot para comprobar su cifrado

9

Que protocolo elegir: WPA2 WPA2 se recomienda generalmente sobre su predecesor WPA; ya que se trata del último protocolo desarrollado y diseñado para cubrir los defectos de sus antecesores. Probablemente el único inconveniente de WPA2 es cuánta potencia de procesamiento se necesita para proteger su red. Esto significa que se necesita hardware más potente para no experimentar un menor rendimiento de la red. Por otro lado, la mayoría de los puntos de acceso actuales se han suministrado con hardware más que capaz. Definitivamente use WPA2 si puede y sólo use WPA si no hay manera de que su punto de acceso soporte WPA2. El uso de WPA también es una posibilidad cuando su punto de acceso experimenta regularmente altas cargas y la velocidad de la red sufre del uso de WPA2. Cuando la seguridad es la principal prioridad, entonces el retroceso no es una opción, sino que uno debería considerar seriamente la posibilidad de obtener mejores puntos de acceso. WEP tiene que ser usado si no hay posibilidad de usar cualquiera de los estándares WPA. Desde Antelec SL, nuestra recomendación principal (y permanente) es mantener actualizadas las aplicaciones y sistemas operativos de sus dispositivos para evitar de esta manera permanecer expuestos a la mayor parte de ataques. Del mismo modo, utilizar contraseñas suficientemente complejas le ayudará a proteger su red WiFi. Los hackers están interesados en objetivos más fáciles, si no pueden romper su contraseña en varios minutos, lo más probable es que pasen a buscar redes más vulnerables.

Filtrado por direcciones MAC Como parte del estándar 802.11, cada dispositivo tiene una dirección MAC asignada por el fabricante. Para incrementar la seguridad inalámbrica es posible configurar en el AP una lista de direcciones MAC aceptando solo las MAC de los dispositivos autorizados a acceder a la red. Esta técnica tiende a ser compleja si es implementada en grandes organizaciones, puede consumir tiempo en configuración y mantenimiento, por lo que se recomienda su uso en redes pequeñas. Evita que los dispositivos que se encuentren dentro del área de cobertura del AP que no estén en el listado de direcciones MAC, puedan acceder a la red, lo cual permite prevenir accesos no autorizados (Chiu, 2006). Por otra parte, proporciona un nivel bajo de protección, la suplantación de direcciones MAC vulneraría el sistema (Andra, 2010), permitiendo que se conecten dispositivos sin acceso a la red. Pues muchas tarjetas permiten cambiar su dirección MAC, ya sea mediante el valor que su controlador lee y almacena en memoria o reprogramando la propia tarjeta. Adicionalmente, existen utilidades que permiten obtener una MAC mediante la captura del tráfico de terminales conectados a la red. Además implica un esfuerzo adicional para la administración de la red ya que se deben mantener actualizadas las listas de direcciones MAC en cada AP.

WPA3 WPA3 (Wi-Fi Protected Access 3), en español «Acceso Wi-Fi protegido 3», es el sucesor de WPA2 que fue anunciado en enero de 2018, por la Wi-Fi Alliance. El nuevo 10

estándar utiliza cifrado de 128 bits en modo WPA3-Personal (192 bits en WPA3Enterprise)3 y confidencialidad de reenvío. El estándar WPA3 también reemplaza el intercambio de claves pre-compartidas con la autenticación simultánea de iguales, lo que resulta en un intercambio inicial de claves más seguro en modo personal. La Wi-Fi Alliance también afirma que WPA3 reducirá los problemas de seguridad que plantean las contraseñas débiles y simplificará el proceso de configuración de dispositivos sin interfaz de visualización.

¿En qué se diferencia WPA3 de WPA2? WPA3 llega para reemplazar a WPA2, que ya no se puede considerar absolutamente segura. Las redes WPA3 podrán impedir que los dispositivos que solo soportan WPA2 se conecten, aunque en un principio lo más seguro es que prime el modo transicional, que permite la conexión de dispositivos tanto WPA2 como WPA3.

Cifrado de 192 bits en vez de 128 bits

La primera gran diferencia es el cifrado, que pasa de usar una clave de 128 bits a otra de 192 bits. Cuanto mayor es la clave de cifrado, más difícil es romperlo, pues se requiere de ordenadores más potentes y de mayor tiempo para lograr descifrar los datos a la fuerza. Aunque los expertos discuten que 128 bit son suficientes hoy en día en la mayoría de los casos, recordemos que WPA2 ha estado en activo desde hace 15 años, así que WiFi Alliance debe asegurarse de que el último estándar está listo para soportar el paso del tiempo, cuando esos 128 bit ya no sean tan suficientes para asegurar la seguridad de tus datos.

Mejor protección, aun con contraseñas simples

11

WPA3 es más seguro aunque la clave de la conexión Wi-Fi no sea segura. En este sentido, hablamos de claves seguras si son largas, complejas e incluyen símbolos raros. Las claves sencillas son más vulnerables a ataques de fuerza bruta en WPA2, pero WPA3 está bien protegido contra estos intentos. La Wi-Fi Alliance asegura que el mismo tipo de ataque que afectaba a la seguridad WPA2 es cosa del pasado con WPA3.

Configuración sencilla con otro dispositivo

La tercera gran novedad de WPA3 tiene nombre y apellidos, Wi-Fi Easy Connect. Se trata de un nuevo modo de configurar y conectar a la red dispositivos que no tienen pantalla ni botones físicos, algo cada vez más típico con la explosión del Internet de las cosas. WPA2 no contaba con nada parecido, salvo WPS, el cual ha sido también blanco de varios ataques y vulnerabilidades en el pasado. 12

Esta novedad implica que puedes usar un dispositivo más avanzado para configurar otro que no tiene pantalla, como por ejemplo un altavoz inteligente. Siguiendo con el ejemplo, este altavoz contaría con un código QR que, al ser escaneado con el móvil, te permitiría configurar la conexión a la red fácilmente.

13