Las redes WiFi a las que habitualmente nos conectamos son inseguras. La clave de esta vulnerabilidad deriva de la forma habitual de conexión mediante contraseñas compartidas o PSK (Pre-Shared Key).
Igual te estarás preguntando por qué, si son tan inseguras, se siguen utilizando. Para la respuesta hay que remontarse al origen de la propia tecnología WiFi.
Básicamente, debido a las limitaciones de los antiguos procesadores, cuando se concibió y diseñó esta tecnología se optó por primar la sencillez y la velocidad, sacrificando los elementos relacionados con la seguridad.
Ahora mismo, la conexión se ha hecho tan popular y es tan barata y conveniente que la propia inercia ha evitado que se evolucionara adecuadamente. Se han hecho intentos por mejorar dicha seguridad, como por ejemplo con el nuevo protocolo WPA3, que, sin estar del todo desplegado, ya ha sido vulnerado.
Y el motivo es que, aunque se realizan avances, el nuevo protocolo continua usando el mismo sistema de autenticación, la PSK o clave precompartida.
Un repaso a los diferentes protocolos de seguridad de redes WiFi
Veamos primero qué tipos de seguridad WiFi nos encontramos
Abiertas:
Son aquellas que no tienen siquiera una clave para conectarse, cualquiera que detecte la red puede hacerlo.
JAMÁS hay que conectarse a este tipo de redes, ni siquiera para leer el periódico que puede parece de los más inofensivo.
No sabes quién puede estar conectado porque el acceso es totalmente libre. Y cualquiera dentro de la red puede estar controlando tu dispositivo y monitorizar todo el tráfico que generes.
WEP:
WEP son las siglas en inglés de Wired Equivalent Protocol o Protocolo equivalente a una red cableada.
Fue el primer protocolo de seguridad WiFi que apareció y, a pesar del nombre, la seguridad era bastante deficiente, con muchas vulnerabilidades y limitaciones tales como el tamaño de la clave de encriptación de datos que usa (64 o 128 bits). La Wi-Fi Alliance abandonó oficialmente este protocolo en 2004.
WPA:
Este protocolo denominado Wireless Protected Access se desarrolló como sustitución del protocolo WEP y reparar las diversas deficiencias que tenía.
El protocolo incorporaba algunas novedades como la utilización de una encriptación más robusta de 256 bits o las versiones WPA personal y la Enterprise.
La primera utiliza el sistema PSK donde todos los usuarios comparten una misma contraseña de acceso, ya sea la definida por el fabricante o por el administrador de la red, siendo el sistema de autenticación más extendido, incluso en empresas.
La segunda ofrece seguridad adicional al obligar al usuario a identificarse con nombre y contraseña pero requiere utilizar sistemas de autenticación especiales (como RADIUS o 802.1X).
Adicionalmente, este protocolo incorpora el sistema WPS que es tremendamente inseguro y que no debe utilizarse bajo ningún concepto.
WPA fue reemplazado rápidamente por la siguiente versión, si bien siguen existiendo routers en el mercado que lo utilizan.
WPA2
Con este protocolo se avanzó en la seguridad incorporando el uso obligatorio de algoritmo de cifrado AES (Advanced Encryption Standard). En esta versión se siguen manteniendo las dos variantes, personal y enterprise. Sin embargo, a pesar de tener un algoritmo de cifrado más robusto, en la versión personal, utilizada también en empresas, la autenticación se sigue realizando mediante PSK por lo que persiste la principal vulnerabilidad del sistema.
En cuanto a la versión enterprise, si bien es cierto que es más robusta y segura que la versión personal porque utiliza un sistema de autenticación con usuario y contraseña individual, presenta algunos inconvenientes:
- Es necesario utilizar sistemas adicionales como Radius, integrado en una infraestructura de red más cara y compleja de gestionar, por lo que muchas empresas pequeñas no lo utilizan. Además, este sistema no está exento de vulnerabilidades y no se suele configurar de manera lo suficientemente robusta.
- La inmensa mayoría de los dispositivos IoT en el mercado no son capaces de conectarse a redes WPA2 Enterprise, sólo a WPA2 personal. Esto deja estos equipos desprotegidos, siendo, además, uno de los principales vectores de ataque a redes WiFi suponen un riesgo para toda la red.
Además, este protocolo sufrió un severo golpe en 2016 con la vulnerabilidad Krack que llevó a la WiFi Alliance a evolucionarlo con rapidez.
WPA3
Y llegamos al protocolo de seguridad más avanzado, una evolución de WPA2, que aceleró su lanzamiento a raíz del incidente Krack, e introduce principalmente mejoras en el proceso de autenticación durante el acceso a la red, al cifrado de datos, a la conexión de dispositivos IoT y acceso a redes abiertas. No vamos a extendernos en detallarlas porque lo explicamos en este post.
Sin embargo, antes de que este protocolo se haya podido desplegar ampliamente ya se han detectado vulnerabilidades que contamos en este otro post.
¿Y qué problema tiene este nuevo protocolo? pues básicamente que ha resuelto el tema de la autenticación, pero no la de la autorización o la trazabilidad (accounting) que forman la AAA de cualquier sistema de gestión de red robusto.
La ‘S’ de PSK
Cómo hemos contado anteriormente, la S de PSK significa «shared», es decir, «compartida». Esto quiere decir que todos los usuarios se autentican con la misma clave y sin usuario.
¿Te imaginas que para comprar en Amazon todos los usuarios entraran con las mismas credenciales? ¿Verdad que no? Entonces, ¿por qué hemos normalizado que para entrar en la red WiFi lo tengamos que hacer todos de forma anónima y con la misma clave?
Si queremos que nuestra conexión a Internet sea segura es necesario que el router por el que te conectas tenga unos estándares mínimos de seguridad y actualmente la mayoría de las conexiones que utilizas son inseguras por más que la clave de conexión tenga 28 caracteres alfanuméricos.
La inseguridad de la PSK
El uso de PSK como forma de autenticación en un router WiFi es inseguro porque:
- En muchos sitios la clave es pública y compartida de manera masiva, no teniendo ningún control de quién la tiene.
- Conectándonos con una clave compartida y sin identificación de los usuarios, no es posible saber precisamente quién está conectado, sólo puedes saber la MAC del dispositivo y esto es algo fácilmente suplantable.
- La propia naturaleza de una red implica que todos los que están conectados tienen capacidad de ver qué dispositivos están conectados
- Los usuarios dentro de la red tienen capacidad de capturar el tráfico que circula por esa red y conocer información confidencial como credenciales, capturar grabaciones de videocámaras, etc… tal como explicamos en este post sobre Man in the Middle.
En definitiva, para que una red WiFi sea segura es necesario que cada usuario se conecte con credenciales exclusivas (no compartidas) y con privilegios delimitados.
Para conseguir esta seguridad es necesario tener una infraestructura de red compleja como la que explicábamos en este post que no sólo requiere una inversión importante, sino también contar con personas que sepan implantarla y gestionarla.
O utilizar nuestra solución de red WIFi segura, que por una pequeña cuota mensual (29,95€) puedes tener el mismo nivel de seguridad que disfrutarías con una infraestructura como la anteriormente mencionada. Una solución con un sistema de autenticación robusto que permite delimitar los privilegios de los usuarios dentro de la red y que se puede gestionar sin tener conocimientos técnicos.