SEGURIDAD EN REDES WIFI

Uno de los aspectos descuidados en los riesgos a la seguridad informática a las que se enfrentan las empresas, actualmente no sólo sus instalaciones de oficinas habituales si no también en la extensión de la red corporativa que llega hoy hasta los propios hogares de los usuarios que trabajan remotamente de sus hogares, es la variedad de vulnerabilidades que a la que esta tecnología de conexión de red inalámbrica WiFi.

Autenticación de conexión

Básicamente refiere la clave o contraseña que solicita un dispositivo WiFi para conectarse a una red disponible, más precisamente a una SSID (Service Set Identifier), siendo las principales:

Son los que se utilizan generalmente para brindar servicios de cortesía en lugares públicos (aeropuertos, restaurantes, etc) y no solicitan ninguna clave o similar para establecer la conexión de red. Sin embargo, en algunos casos, como sucede en algunos hoteles u oficinas, el navegador muestra un portal de acceso en el que se solicitan distintos tipos de datos para brindar acceso a Internet u otros recursos corporativos.

Clave pre-compartida

Todo usuario que quiera conectarse a la red Wi-Fi deberá conocer. Es la forma más común de autenticación que conocen los usuarios finales de acceso mediante una clave que se comparte normalmente verbalmente. Los protocolos de encriptación más avanzados incorporan funciones de seguridad adicionales para proteger esta encriptación con PSK, como son TKIP y AES (ver)

Autenticación del tipo empresarial

De forma predeterminada, manejar una única contraseña para acceder a una red WiFi no permite identificar quién es el usuario específico que intenta conectarse. Además el manejar una única contraseña que debe conocer un número importante de personas hace difícil cumplir con la recomendación (que se aplica a todo tipo de claves) de ser compleja (difícil de adivinar) y cambiarse frecuentemente. En estos casos pueden utilizarse otros tipos de autenticación de red más avanzados que permiten cumplir con estos requerimientos, en muchos casos al tiempo que evitan el esfuerzo para el usuario de recordar una contraseña adicional a las que ya posee.

Wired Equivalent Privacy: WEP

A pesar de la sensación de seguridad que el término «Privacidad equivalente a cableado» pudo habernos transmitido en el año 1999 hoy se considera un sistema completamente débil y está desaconsejado su uso. Sin embargo, algunos dispositivos “repetidores” o “extensores” de señal WiFi todavía en uso requieren esta forma de autenticación obsoleta para trabajar, en cuyo caso deben ser reemplazados por otros equipamientos.

WPS o Wifi Protected Setup

Esta es una funcionalidad que se encuentra más habitualmente en los routers WiFi domésticos, que permite la conexión de dispositivos a la red doméstica sin requerir la escritura de la contraseña, por ejemplo para darle acceso a dispositivos simples como lámparas domóticas, impresoras o similares, que no cuentan con un teclado o panel en el que se pueda escribir una contraseña compleja. En muchas de estas implementaciones basta con pulsar un botón “WPS” en el router doméstico para que éste inicie un contador de tiempo durante el cual otro dispositivo en que el se pulse un botón similar y esté en el área cercana quede autorizado para su conexión.

Si bien algunas de las implementaciones más recientes de WPS requieren adicionalmente la digitación de un PIN, del acercar físicamente los dispositivos para identificarse mediante NFC o incluso algunas opciones utilizan una conexión temporal USB, se debe considerar este método de “autenticación” como inseguro y debería desestimarse su utilización.

Métodos de encriptación

Los estándares de encriptación WiFi son los encargados de mantener la privacidad de la información transmitida a través las conexiones inalámbricas, al tiempo que pueden colaborar también en la protección de las claves de autenticación, que son intercambiadas entre los dispositivos a través del mismo medio.

Wi-Fi Protected Access: WPA y WPA2

En 2003, la Wi-Fi Alliance anunció Wi-Fi Protected Access (WPA) como reemplazo del vulnerable WEP, y luego se publicó su actualización WPA2 al año siguiente con mejoras de seguridad y rendimiento, razón por la cual la mayoría de los Routers, Access Points y dispositivos inalámbricos recientes que soportan WPA también soportan WPA2, y es el método de cifrado más extendido actualmente.

TKIP / AES y RADIUS

El sistema TKIP (Temporal Key Integrity Protocol) proporciona una clave por paquete, que mezcla con una comprobación de integridad de mensajes y un mecanismo que vuelve a crear claves, creada como una alternativa a la debilidad de WEP, que utiliza periódicamente el mismo Vector de Inicialización para cifrar los datos.

El método AES o estándar de encriptación avanzado es la mejor combinación posible de seguridad para utilizar WPA2 para la configuración de equipos en entornos domésticos o de pequeñas oficinas que no requieran una gestión de acceso avanzada. Suele aparecer entonces, por la combinación de las configuraciones anteriores, mencionada en la configuración del dispositivo como opción “WPA2-PSK (AES)” o similar.

En las organizaciones en las que se requiere una gestión más avanzada del acceso a la red WiFi se utilizan sistemas de autenticación basados en RADIUS, donde es posible identificar a las personas que se conectan a la red mediante un usuario y contraseña (que puede ser por ejemplo obtenida de un dominio Microsoft Active Directory), además de llevar un registro del inicio de cada sesión y su duración, etc.

Asesoramiento en seguridad para redes WiFi

Estas son sólo algunas de las consideraciones de seguridad más básicas para tener en cuenta en la configuración de una solución de WiFi / WLAN segura. Podemos asistirlo en la verificación del estado de seguridad de su red actual para minimizar sus condiciones de riesgo, así como asesorarlo para implementar una solución inalámbrica nueva de acuerdo con sus necesidades.

WPA3: Seguridad WiFi de última generación

La versión de WPA más reciente surge luego de publicada la famosa vulnerabilidad KRACK, que permite realizar ataques de fuerza bruta de tipo “diccionario” aprovechando algunas debilidades del sistema de 4 fases de handshake que utiliza WPA2. Si bien algunas actualizaciones implementadas luego tanto en los sistemas operativos de los dispositivos de conectividad y clientes WIFI, se buscó luego implementar un sistema que tuviera un diseño de seguridad más robusto.

WPA3 utiliza un proceso denominado SAE (Simultaneous Authentication of Equals), que a diferencia de WPA2 no permite a un dispositivo intentar de forma indefinida distintas contraseñas hasta conseguir la correcta Pre-shared Key (PSK) de WPA2-Personal.

Para sustituir el método de conexión rápida WPS del WPA2 previsto para dispositivos sin pantalla ni teclados, por un sistema más seguro, WPA3 incorpora la función Wi-Fi Easy Connect, que permite utilizar un smartphone o similar como intermediario para realizar la configuración mediante la lectura de un código QR.

Aprovechando también las mayores capacidades de procesamiento de los dispositivos actuales WPA3 permite usar en modalidad Enterprise el cifrado de 192 bits, a diferencia de WPA2 que soportaba hasta 128 bits, lo que se traduce en un requerimiento mayor de esfuerzo para romper el cifrado utilizando fuerza bruta.

Otra mejora interesante para las redes abiertas (donde un usuario puede conectarse sin el ingreso de una contraseña) es la nueva certificación Wi-Fi Enhanced Open, a través de la cual se encriptan también los datos transmitidos en este contexto, según la especificación Opportunistic Wireless Encryption (OWE), lo que asegura privacidad de la información a invitados que utilizan la conexión en ambientes generalmente ocasionales como cafés, salas de espera, etc.