Hace unos meses explicábamos cómo el nuevo protocolo de seguridad WPA3 para autenticación de routers WiFi iba a suponer una mejora substancial respecto al actual protocolo WPA2 al resolver varias de sus vulnerabilidades.
Sin embargo, entonces ya poníamos de manifiesto algunas deficiencias entre las que mencionábamos que el algoritmo Dragonfly que se utiliza en SAE (Autenticación Simultánea de Iguales) no estaba suficientemente estudiado y que todavía no se podía garantizar la ausencia de vulnerabilidades.
Pues, en efecto, no ha pasado mucho tiempo y ya tenemos noticia de que el nuevo protocolo de seguridad WPA3 ha sido comprometido: Una investigación realizada conjuntamente por la New York University de Abu Dhabi, la Tel Aviv University y la KU Leuve ha dejado en evidencia que el nuevo protocolo de autenticación WPA3, específicamente el WPA3-SAE que utilizan los routers de tipo doméstico y que son habituales en entornos de micropymes, tal y como se detalla en el resumen del informe elaborado por los investigadores Mathy Vanhoef y Eyal Ronen.
¿Qué vulnerabilidades han provocado que WPA3 haya sido hackeado?
Para entenderlo mejor, recordemos las características del protocolo WPA2 y cómo el WP3 resolvía sus principales debilidades.
WPA2 utiliza un proceso criptográfico de negociación (denominado handshake) de cuatro vías para validar cualquier dispositivo que se quiera conectar a un punto de acceso y viceversa, el cual contiene un hash de la contraseña de red (un código que oculta la contraseña real). El problema era que cualquier persona cerca de un dispositivo que se conectase a la red podía capturar esa negociación y descifrar las contraseñas poco robustas o las que no son aleatorias en cuestión de segundos con un ataque de diccionario.
Para resolver este problema, el protocolo WPA3 incroporó el handshake Dragonfly que hacía casi imposible hackear la contraseña de una red WiFi. Este protocolo mejoraba la seguridad del handshake de cuatro vías de WPA2 añadiendo Pairwise Master Key (Llave Maestra de Pareja) así como dos algoritmos de cifrado de contraseña denominados MODP group y la curva elíptica.
Adicionalmente, WPA3 requiere a los usuarios negociar las claves de acceso directamente con el router dentro del espectro de dicha red , uno de sus puntos fuertes, que le hacían resistente a lamayoría de los ataques de robo de contraseña como los ataques de diccionario, incluso cuando las claves de acceso fueran poco robustas.
Sin embargo, los investigadores anteriormente mencionados han descubierto hasta cinco vulnerabilidades que se engloban en dos categorías:
- Ataques contra la retrocompatibilidad de dispositivos WPA3 (dispositivos que soportan también el protocolo WPA2)
- Debilidades del protocolo Drangonfly
Ataques contra la retrocompatibilidad de dispositivos WPA3
Para facilitar la transición de WPA2 a WPA3, muchos routers permiten conexiones desde dispositivos que sólo soportan WPA2. El problema es que ambos protocolos permiten utilizar la misma contraseña y se ha detectado que un atacante puede crear un punto de acceso falso que forzase a los clientes que soporten WPA3 a conectarse usando WPA2 y así descifrar la contraseña
Otras pruebas realizadas, demostraron que era muy fácil obtener la contraseña forzando a los usuarios a utilizar el protocolo WPA2 y aprovechándose sus ya conocidas vulnerabilidades. Por ejemplo, se ha detectado que se puede obligar a un usuario a conectarse a un MODP Group de seguridad débil en lugar del inicialmente deseado.
Debilidades del protocolo Drangonfly
Otro de los ataques que se han podido ejecutar contra un router con WPA3, es uno de denegación de servicio. Cada vez que un dispositivo inicia el handshake de Dragonfly envía una información que requiere de cierta capacidad de proceso por parte del router. Un atacante podría sobrecargar el punto de acceso simplemente generando 16 peticiones por segundo, provocando un exceso de uso de CPU, desgaste de la batería del dispositivo cliente (por ejemplo un IoT) y evitando o retrasando la conexión de otros dispositivos.
Asimismo, se han descubierto dos vulnerabilidades adicionales que afectan a una de las principales fortalezas de WPA3: los algoritmos de cifrado de contraseña MODP Group y Curva Elíptica. Dichas vulnerabilidades permitían conocer la contraseña utilizando métodos basados en el tiempo de respuesta del router a la hora de negociar las contraseñas (time-based side-channel) o en los patrones de comportamiento de la memoria del dispositivo cliente (cache-based side-channel)
El protocolo Dragonfly, que forma el núcleo de WPA3, también se utiliza en ciertas redes Wi-Fi que requieren un nombre de usuario y contraseña para el control de acceso, conocido como EAP-pwd. Los ataques que realizaron los investigadores contra WPA3 también funcionan contra EAP-pwd, permitiendo a un atacante recuperar la contraseña de un usuario cuando se utiliza EAP-pwd. También detectaron que este protocolo permitía la suplantación de usuarios y acceder a la red WiFi sin conocer la contraseña del usuario.
Estas vulnerabilidades son tan graves que los investigadores no han querido hacerlas públicas todavía para dar una ventana de tiempo para que los usuarios actualicen sus dispositivos.
Para concluir, los investigadores añadieron que estos ataques con routers WPA3 no sólo eran eficientes sino que eran muy baratos de ejecutar. Por ejemplo, todas las vulnerabilidades relacionadas con la retrocompatibilidad de WPA3 se pueden llevar a cabo con herramientas existentes para hackear WPA2. O se pueden llevar ataques de fuerza bruta utilizando servidores de Amazon por el irrisorio precio de 100€.
Las vulnerabilidades que tan a menudo vemos en las redes WiFi que usan routers domésticos, demuestra la facilidad con que muchas empresas quedan expuestas a ciberataques.
No obstante, el protocolo de autenticación WPA3 todavía está en proceso de despliegue y aún tardará un tiempo en estar disponible en los routers de uso doméstico. Mientras tanto, la solución para redes WiFi de Tecteco, mejora exponencialmente los niveles de seguridad de la redes WiFi basadas en WPA2 con un sistema de autenticación más seguro que obliga al registro previo de usuarios e identificar fehacientemente cada usuario y dispositivo, el cual se complementa con un proceso de autorización de usuarios muy robusto, que limita los privilegios de cada uno dentro la red.