BandaAncha.eu

Información independiente
sobre fibra, móvil y ADSL

  • 📰 Artículos

Guía para entender el cifrado de contraseñas wifi y cómo elegir un tipo seguro WPA2 o WPA3

Josh
Cifrado wifi vulnerable

Si al revisar el protocolo de cifrado que utiliza tu red wifi te pierdes con tanta sigla, aquí te dejamos una guía para entender rápidamente las diferentes versiones, a qué riesgos se expone cada una y que cifrado debes utilizar para sentirte seguro.

Microsoft anunció 1 que próximas actualizaciones de Windows 11 rechazarán establecer conexión con redes inalámbricas wifi que sigan utilizando protocolos de seguridad inseguros, como el viejo WEP y WPA/WPA2 TKIP, protegiendo así a sus usuarios de redes vulnerables a todo tipo de ataques que permiten el robo de información.

Aunque Windows 10 aún permite utilizar estas redes, desde hace un tiempo muestra un mensaje de advertencia al conectarse a ellas avisando que no son seguras y recomendando utilizar cifrado AES, pero en el futuro directamente las rechazará.

De WEP a WPA3

Cifrado wifi
Métodos de cifrado wifi y su correspondencia con los nombres que aparecen en un menú típico de configuración de un punto de acceso wifi

El primer protocolo de seguridad inalámbrica fue WEP, introducido en 1997 para proteger a las primeras versiones de wifi. Utiliza el algoritmo de cifrado RC4 (Rivest Cipher 4), en un primer momento con clave de 64 bits y posteriormente de 128. Fue declarado obsoleto en 2004 y hay numerosas herramientas disponibles para ejecutar todo tipo de ataques sobre las redes que lo siguen utilizando. En España aún lo utilizan el 7% de las redes wifi.

En 2003 apareció la primera versión de WPA como un remedio temporal para paliar los problemas de seguridad de WEP mientras se desarrollaba el más complejo WPA2. El hardware que soportaba WEP podía ser actualizado a WPA, ya que también se basa en el cifrado RC4, mejorado con TKIP (Temporal Key Integrity Protocol). En 2012 se declaró obsoleto, pero sigue siendo utilizado por el 13% de las redes en nuestro país.

Con WPA y sucesivas versiones se establecieron dos formas de autenticar el usuario ante la red. La primera, llamada WPA Personal, es el sistema más sencillo para redes de usuarios particulares. Consiste en el uso de una clave compartida PSK (Pre Shared Key) que introducimos en el router y el dispositivo cliente. El otro sistema, WPA-Enterprise, es utilizado en entornos corporativos. Recurre a EAP (Extensible Authentication Protocol) para autentificar al cliente ante un servidor RADIUS (Remote Authentication Dial-In User Service).

En 2004 se completó WPA2, convirtiéndose en característica obligada para todos los routers certificados desde 2006. Se trata del cifrado básico que actualmente debe usar una red para considerarse medianamente segura. WPA2 incorporó el cifrado seguro AES (Advanced Encryption Standard), pero para mantener la compatibilidad puede emplear el viejo TKIP.

WPA2 quiso facilitar la autenticación de los usuarios con WPS (Wi-Fi Protected Setup) mediante PIN, NFC o pulsando el conocido botón que traen la mayoría de routers y que permite asociar un cliente rápidamente sin introducir ningún dato. Pronto se demostró vulnerable y fue reemplazado por Device Provisioning Protocol (DPP), que permite que un cliente ya autentificado dé acceso a otros equipos compartiendo un código QR.

En 2018 llegó WPA3, que hasta la fecha es el protocolo de seguridad wifi más robusto. Además de la autentificación por clave con WPA3-Personal que sustituye PSK por SAE (Simultaneous Authentication of Equals) y por servidor con WPA3-Enterprise, incorpora Opportunistic Wireless Encryption (OWE), un tercer sistema pensado para redes abiertas que no piden clave al conectarse. Aun así, cifra individualmente el tráfico de cada cliente, por lo que es una alternativa segura a las redes abiertas donde cualquiera podría leer el contenido de la comunicación del resto de usuarios.

Qué cifrado wifi es más seguro

Por su propia naturaleza inalámbrica las redes wifi están expuestas a todo tipo de ataques2 remotos que pueden lanzarse desde equipos situados en las inmediaciones. Pueden ser de intermediario (Man-in-the-Middle) donde el actor malicioso intercepta y altera la comunicación entre router y cliente, de recuperación de clave mediante fuerza bruta y diccionario para averiguar la contraseña de la red, de descifrado del tráfico para leer el contenido de la comunicación y de denegación de servicio, con el fin de sobrecargar la red e interrumpir su normal funcionamiento o expulsar clientes.

Tipo de ataqueWEPWPA-PSKWPA2-PSKWPA3-PSK
Intermediario⚠️⚠️⚠️
Recuperación de clave⚠️⚠️⚠️
Descifrado de tráfico⚠️
Denegación de servicio⚠️⚠️⚠️⚠️

Hay herramientas específicas para ejecutar este tipo de ataques aprovechando las numerosas vulnerabilidades que a lo largo de los años se han encontrado en WEP y las diferentes versiones de WPA, como la suite Aircrack-ng, el kit de herramientas Airgeddon, Eaphammer, Wifiphisher o Hostapd. En la siguiente tabla puedes ver la disponibilidad de software para ejecutar cada tipo de ataque contra redes cifradas con cada protocolo existente. El soporte de ataques contra WPA 3 aún es escaso en estas herramientas.

2 de cada 10 wifis en España son vulnerables

Porcentaje uso cifrado wifi
Porcentaje de redes con cada tipo de cifrado en España según wigle.net

Según la información de wigle.net, 2 de cada 10 redes wifi que pueden escucharse en las calles en nuestro país no están adecuadamente protegidas, bien por estar abiertas o utilizar WEP o la primera versión WPA declarada obsoleta. Con casi 11 millones de redes censadas, sólo el 72% utiliza WPA2, siendo el uso de WPA3 todavía residual.


Número de redesPorcentaje
Abiertas123.0451,15%
WEP715.1106,67%
WPA1.390.81012,98%
WPA 27.788.44972,68%
WPA 320%
Desconocido698.8736,52%

Relacionado: Guía para entender las versiones del WiFi

  1. Announcing Windows 11 Insider Preview Build 22557
  2. A Comprehensive Taxonomy of Wi-Fi Attacks
Saru

Las que no tienen conexion, por ejemplo los hotspot tambien sera rechazadas?

JGeek00

Los router WiFi 6 que están empezando a dar las operadoras no llevan WPA3?

🗨️ 1
heffeque

No todos. Pero con WPA2 AES es suficiente (muy pocos dispositivos tienen soporte para WPA3).

lhacc
3

Cada día más harto de los sistemas operativos dictatoriales que no nos permiten hacer lo que nos salga de las narices.

🗨️ 1
heffeque

Dejemos que el usuario de a pie sea responsable y haga las cosas bien, como con Sasser… (wups!)

pjpmosteiro
1

Pues… No le veo mucho sentido, la verdad. Bastante intrusivo, eso si, al fin y al cabo es mi equipo, Microsoft no es quien de determinar a que me conecto y a que no.

Otra cosa muy distinta es incluir una opción para poder activar/desactivar esa restricción, pero no hacerlo obligatorio.

🗨️ 1
PezDeRedes
1

Bastante intrusivo, eso si, al fin y al cabo es mi equipo, Microsoft no es quien de determinar a que me conecto y a que no.

Pues vete a Apple, que lo vas a flipar jajaja. Yo también odio que nadie me diga qué puedo usar o instalar.

kaleth
1

Entre esto y lo de tener que estar conectado con una cuenta Microsoft están haciendo amigos a capazos estos días.

ChrJr90

Afortunadamente soy usuario Linux desde hace varios años ya… Windows no deja de imponer nuevos requisitos, actualizaciones que tardan milenios, etc… Por no hablar lo pesado que resulta en RAM.

Juanpe72A

Windows 10 me dice que mi router da WPA2-Personal (es un HGU MitraStar GPT-2541GNAC), pero no me avisa de obsolescencia, supongo que cumplirá el mínimo…

🗨️ 1
heffeque
1

Casi todos los routers están auto-configurados como WPA/WPA2 AES, o sea que problema ninguno (Windows usará la parte WPA2).

Es raro ver algo conectado con WPA/WPA2 TKIP, y menos todavía WEP.

lordman

Pues no se a que tanto lio, muchos routers, y para nada nuevos, no soportan TKIP.

ximin

Me parece bien que si no es seguro te salga un aviso, pero de ahí a limitarte usarlo cuando hay mogollon de routers viejos que funcionan perfectamente. Y más cuando hay hotspot sin seguridad ninguna por todos lados en centros comerciales, que esto ya me parece peor la verdad, porque ir sin seguridad ninguna si que es un peligro.