Nueva seguridad para nuestras redes inalámbricas con WPA3
By Sergio Rojas, Post
"WPA" significa Wi-Fi Protected Access. Si tenemos una contraseña en el Wi-Fi de nuestra casa, probablemente utilice WPA2, que es la segunda versión del estándar “Wi-Fi Protected Access”. Existen estándares más antiguos como WPA (también conocido como WPA1) y WEP, pero hace tiempo que sus vulnerabilidades fueron descubiertas y explotadas.
¿Qué es WPA?
WPA2 es un estándar de seguridad e interviene en lo que sucede cuando se conecta a una red Wi-Fi cerrada utilizando una contraseña. WPA2 define el protocolo que usan los routers y los dispositivos de cliente Wi-Fi para realizar el “HandShake” que les permite conectarse con seguridad. A diferencia del estándar WPA original, WPA2 requiere la implementación de un cifrado mucho más fuerte (AES) que es, por tanto, mucho más difícil de descifrar. Este cifrado garantiza que un Punto de Acceso Wi-Fi (como un router) y un cliente de Wi-Fi (como un ordenador o un teléfono) se puedan comunicar de forma inalámbrica sin que sea descifrable por cualquier otro equipo en su rango de cobertura.
WPA2
WPA2 se empezó a utilizar hace más una década (desde 2004). Durante ese tiempo se han descubierto vulnerabilidades potenciales y se han desarrollado técnicas para “reventar” la seguridad de una red WPA2.
Recientemente, investigadores encontraron un defecto en WPA2 que denominaron “KRACK”. Este “fallo” permitiría que los atacantes accedan a una red sin contraseña. Por suerte, esta vulnerabilidad no afectaba a todos los routers y puntos de acceso. La Wi-Fi Alliance solicitó a los fabricantes que comprobasen todo el equipamiento para comprobar su vulnerabilidad
WPA3
En enero de 2018, la Wi-Fi Alliance anunció WPA3 como reemplazo de WPA2. El nuevo estándar usa encriptación de 128 bits en modo WPA3-Personal, 192-bit en WPA3-Enterprise. El estándar WPA3 también reemplaza el intercambio de claves pre compartida con la autenticación simultánea de iguales, lo que conlleva un intercambio de clave inicial más seguro, espacialmente en el modo “Personal”. de visualización.La Wi-Fi Alliance también asegura que WPA3 mitigará los problemas de seguridad planteados por contraseñas débiles y simplificará el proceso de configuración de dispositivos sin interfaz
Técnicamente, WPA2 y WPA3 son certificaciones de hardware que los fabricantes de dispositivos deben solicitar. El fabricante de un dispositivo debe implementar todas las características de seguridad necesarias antes de poder comercializar su dispositivo como "Wi-Fi CERTIFIED ™ WPA2 ™" o "Wi-Fi CERTIFIED ™ WPA3 ™".
El estándar WPA3 agrega cuatro características principales que no se encuentran en WPA2. Los fabricantes deben implementar estas cuatro características para comercializar sus dispositivos como "Wi-Fi CERTIFIED ™ WPA3 ™". Aunque se conocen a grandes rasgos las características, Wi-Fi Alliance aún no los ha explicado en detalle
Privacidad en redes públicas Wi-Fi
Actualmente, las redes Wi-Fi públicas o “abiertas”, como las que se encuentran en aeropuertos, hoteles, cafeterías y otras ubicaciones públicas, son un desastre en lo relativo a seguridad. Debido a que están abiertos y permiten que cualquier persona se conecte, el tráfico que se envía a través de ellos no está encriptado en absoluto. Da igual si debe iniciar sesión en la página web después de unirse a la red ya que todo lo enviado a través de la conexión se envía en texto sin formato que cualquiera dentro del rango puede interceptar. El aumento de las conexiones “HTTPS”, es decir, encriptadas en la web ha mejorado la situación, pero las aún se utilizan muchas conexiones “HTTP” durante una sesión de Internet, que pueden ser fácilmente interceptadas por cualquier persona dentro del rango de cobertura.
WPA3 corrige este problema mediante el uso del "cifrado de datos individualizados". Cuando nos conectamos conecta a una red Wi-Fi abierta, el tráfico entre nuestro dispositivo y el punto de acceso Wi-Fi se cifrará, aunque no se haya utilizado una contraseña en el momento de la conexión. Esto hará las redes públicas mucho más seguras. Será imposible que las personas descifren el tráfico sin romper el protocolo de cifrado. Aunque este problema con las zonas Wi-Fi públicas debería haberse resuelto hace mucho tiempo, al menos se va a solucionar ahora.
Protección contra los ataques de fuerza bruta
Cuando un dispositivo se conecta a un punto de acceso Wi-Fi, los dispositivos realizan un "Handshake" o “saludo” que garantiza que ha utilizado la contraseña correcta para conectarse y negocia el cifrado que se utilizará para proteger la conexión. Este “Handshake” es el que resultó ser vulnerable al ataque de KRACK en 2017, aunque los dispositivos WPA2 existentes podrían corregir esta vulnerabilidad mediante actualizaciones de software.
WPA3 define un nuevo “Handshake” que ofrecerá protección incluso si los usuarios utilizan contraseñas que no cumplen con las recomendaciones de complejidad. En otras palabras, incluso si estamos utilizando una contraseña débil, el estándar WPA3 evitará los ataques de fuerza bruta cuando un cliente intente adivinar las contraseñas probando de forma reiterada hasta que encuentre la correcta. Mathy Vanhoef, el investigador de seguridad que descubrió KRACK, se ha mostrado muy entusiasmado con las mejoras de seguridad en WPA3.
Un proceso de conexión más fácil para dispositivos sin pantallas
El mundo de la tecnología ha cambiado mucho en los últimos catorce años. Hoy en día, es común ver dispositivos con Wi-Fi sin pantalla. Desde Amazon Echo y Google Home hasta enchufes y bombillas “inteligentes”, pueden conectarse a una red Wi-Fi. A menudo es incómodo conectar estos dispositivos a una red Wi-Fi, ya que no tienen pantallas o teclados que pueda usar para escribir contraseñas. Conectar estos dispositivos normalmente implica utilizar una aplicación de teléfono móvil para introducir la contraseña Wi-Fi (o conectarse a una segunda red temporalmente), y esto complica un poco las cosas.
WPA3 incluye una función que pretende simplificar el proceso de configuración para dispositivos que tienen una interfaz de pantalla limitada o nula. No está claro exactamente cómo funcionará esto, pero la función podría ser muy similar a la función de WPS (Wi-Fi Protected Setup) actual, que implica presionar un botón en el enrutador para conectar un dispositivo. WPS tiene algunos problemas de seguridad propios y no probablemente, WPA3 no requiera la interacción física con los dispositivos (pulsando el botón).
Mayor seguridad para instalaciones gubernamentales, defensa y aplicaciones industriales
Esta última característica no afecta directamente los usuarios domésticos, pero Wi-Fi Alliance también ha anunciado que WPA3 incluirá una suite de seguridad de 192 bits, en línea con la suite del CNSA (Commercial National Security Algorithm). Esto va destinado a aplicaciones gubernamentales, de defensa e industriales.
El Comité de Sistemas de Seguridad Nacional (CNSS) forma parte de la Agencia de Seguridad Nacional de los EE. UU., por lo que este cambio añade un requisito del gobierno de EE. UU. para soportar un mejor cifrado en las Wi-Fi de gran criticidad.
¿Cuándo llegará?
Según Wi-Fi Alliance, los dispositivos compatibles con WPA3 se lanzarán a finales de 2018. Qualcomm ya está fabricando chips para teléfonos y tabletas compatibles con WPA3, pero les llevará un tiempo integrarlos en nuevos dispositivos. Los dispositivos deben estar certificados para que WPA3 implemente estas características; en otras palabras, deben solicitar y obtener la marca "Wi-Fi CERTIFIED ™ WPA3 ™", por lo que es probable que comiences a ver este logotipo en nuevos enrutadores y otros dispositivos inalámbricos a finales de 2018.
Wi-FI Alliance aún no ha anunciado nada sobre los dispositivos existentes que reciben asistencia de WPA3, pero no esperamos que muchos dispositivos reciban actualizaciones de software o firmware para admitir WPA3. Los fabricantes de dispositivos podrían teóricamente crear actualizaciones de software que agreguen estas funciones a enrutadores existentes y otros dispositivos Wi-Fi, pero tendrían que tomarse la molestia de solicitar y recibir la certificación WPA3 para su hardware existente antes de implementar la actualización. La mayoría de los fabricantes probablemente gastarán sus recursos en el desarrollo de nuevos dispositivos de hardware.
Incluso cuando obtenga un enrutador habilitado para WPA3, necesitará dispositivos cliente compatibles con WPA3, su computadora portátil, teléfono y cualquier otra cosa que se conecte a Wi-Fi, para aprovechar al máximo estas nuevas características. La buena noticia es que el mismo enrutador puede aceptar conexiones WPA2 y WPA3 al mismo tiempo. Incluso cuando WPA3 está muy extendido, se espera un largo período de transición donde algunos dispositivos se conectan a su enrutador con WPA2 y otros se conectan con WPA3.
Una vez que todos tus dispositivos admitan WPA3, podrías desactivar la conectividad WPA2 en su enrutador para mejorar la seguridad, de la misma manera que podrías desactivar la conectividad WPA y WEP y solo permitir las conexiones WPA2 en tu enrutador hoy.
Aunque tomará un tiempo para que WPA3 se despliegue completamente, lo importante es que el proceso de transición comenzará en 2018. Esto significa redes de Wi-Fi más seguras en el futuro.
Referencias
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-wi-fi-certified-wpa3-security
https://www.wi-fi.org/news-events/newsroom/wi-fi-alliance-introduces-security-enhancements
https://www.howtogeek.com/339765/what-is-wpa3-and-when-will-i-get-it-on-my-wi-fi/
