Usamos cookies propias y de terceros para que funcione la web, medir visitas y orientar anuncios. Saber más y configurar.

BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Esta es la verdadera razón por la que no debes ocultar el nombre de tu red wifi

Josh
Red wifi oculta hidden SSID

La posibilidad de ocultar el nombre de la red wifi no se contempla en el estándar en el que se basa el wifi. Fue un invento de los fabricantes de routers, que además de una falsa sensación de seguridad hace que tu red sea menos eficiente perdiendo velocidad y aumentando la latencia.

Hacer invisible la red wifi puede parecer una buena idea para que no aparezca en el listado de redes wifi disponibles a los vecinos cercanos que no queremos que se conecten. Al ocultar el SSID, es necesario saber previamente el nombre de la red además de la clave para poder conectarse, así que es fácil sentirse más seguro pensando que un posible atacante necesitaprimero este dato.

Ocultar el SSID no hace la red más segura

Se trata de una falta sensación de seguridad. Es ampliamente reconocido que ocultar el SSID no protege mejor a una red. Quizá evita que esté fácilmente disponible para los usuarios que para conectarse al wifi utilizan la interfaz convencional del sistema operativo de su ordenador o móvil, pero cualquier persona con unos mínimos conocimientos puede utilizar herramientas ampliamente disponibles para obtener con facilidad el SSID oculto.

Cuando tus dispositivos se conectan a la red transmiten al aire el nombre de la red wifi en texto plano. Cualquier usuario en las inmediaciones puede provocar una desasociación que obligue a los dispositivos a autenticarse de nuevo y acceder a estas tramas para ver el SSID. Esta es la razón por la que nunca deberías ocultar el SSID esperando mejorar con ello la seguridad de la red wifi. Pero todavía hay otra razón menos conocida para no hacerlo.

Ocultar el SSID hace que la wifi sea más lenta y tengas más latencia

Hidden SSID association
Paso extra necesario al ocultar el nombre de la red SSID para que el cliente averigüe el BSSID

Los puntos de acceso wifi anuncian por defecto su presencia unas 10 veces por segundo mediante la emisión al aire de unas tramas llamadas beacons. Estas tramas contienen tanto el nombre de la red wifi en formato legible para humanos, conocido técnicamente como SSID, como el código numérico BSSID, basado en la dirección MAC del punto de acceso, que servirá para diferenciar los paquetes intercambiados de los que pertenecen a otras redes wifi que estén usando el mismo canal. Al recibir los beacons, los dispositivos clientes pueden listar la red como disponible para conectar. El cliente solo tiene que enviar una trama probe request con el SSID y BSSID elegido para iniciar el proceso de conexión.

Aunque inicialmente no está contemplado en el estándar IEEE 802.11 en el que se basa el wifi, los fabricantes implementan la funcionalidad de ocultar la red dejando el campo SSID de los beacons vacío. El primer efecto es que los beacons, a pesar de que siguen ocupando tiempo de emisión en el canal de radio, dejan de tener ninguna utilidad (excepto en canales DFS, como veremos). En este caso, para iniciar la conexión es el cliente quien debe enviar una trama probe request destinada a todos los puntos de acceso próximos indicando el SSID que le interesa. El punto de acceso (o varios si comparten el mismo SSID, como en una red mesh), responderá con su BSSID para que a continuación el cliente pueda continuar el proceso de asociación habitual.

Como hemos visto, si una red está oculta, es necesario un paso previo para que el cliente obtenga el BSSID que corresponde con la red wifi. Este proceso de asociación se repite constantemente debido a eventos como la pérdida de señal a medida que nos movemos o hacemos roaming entre puntos de una misma red, y se multiplica por el número de dispositivos que usen la red. El resultado es que una red wifi oculta utilizará más tiempo el canal de radio para tramas de gestión, restándolo del tráfico de datos útiles, ofreciendo por tanto un rendimiento peor que una red con SSID público. En un vecindario saturado de wifis usar un SSID oculto hará que la red sea más lenta sin ningún beneficio a cambio.

Ocultar el SSID en canales DFS produce microcortes

La situación empeora si estás utilizando un canal DFS (canal 52 o superior). Para evitar interferir a los rádares meteorológicos que también usan estas frecuencias, los clientes tienen prohibido lanzar tramas probe request sin haber escuchado antes un beacon del punto de acceso. En caso de desconexión o roaming, el cliente no puede iniciar la conexión de forma inmediata y debe esperar unos 100 ms. a que llegue el siguiente beacon. Esto hará que aumente la latencia puntualmente o provocará cortes de audio durante una llamada, por citar un par de ejemplos.

1
Castillos
11

A mi nunca me ha gustado ocultar el SSID de mi WiFi, ya el modo de funcionamiento de los clientes cambia, y pasan a una especie de "modo promiscuo" donde tienen que preguntar si la red "MiCasa" está disponible, en lugar estar escuchando beacons con el SSID "MiCasa". Además de que no se mejora la seguridad, estás dando información del nombre de tus redes WiFi con SSID ocultos, con que alguien emita un beacon vacío en el radio de detección de tu teléfono móvil.

Para mi, ocultar la SSID, es una mejora de seguridad similar a poner filtrado MAC. Con poner la tarjeta WiFi en modo monitor, sin ningún ataque activo, tarde o temprano algún dispositivo se conectará y revelará el SSID o la MAC autorizada.

De todas formas, el ataque "DeAuth" para provocar una desociación se puede impedir activando 802.11w Management Frame Protection (MFP). Pero el problema con MFP está, en que tanto cliente como AP tienen que soportarlo. A partir de WPA3, MFP es obligatorio (required). Pero con WPA3/WPA2 "transaccional" y/o WPA2 es opcional (allowed), y WPA no lo soporta. Con MFP, las tramas DeAuth van autenticadas con "CMAC" o "GMAC", y si falla la validación, simplemente se ignoran y el cliente no se desasocia.

Pero claro, con que un cliente y/o el AP no soporte MFP, ya podemos desasociar un dispositivo, y obtener la SSID oculta.

redline2001

Alguien que quiera atacar tu red va a sacar el nombre, ergo es inútil pensar que así tienes mas seguridad

🗨️ 2
EmuAGR

Quien la quiere atacar no necesita ni el nombre, le basta con la MAC y eso es público. Además, si la desconecto no puedo presumir de ASCII art (¿más bien unicode?):

image.webp
🗨️ 1
apocalypse

Pff no me imagino como se debe ver el SSID en dispositivos que no lo soporten. Bueno, sí.

1