Las nuevas certificaciones de seguridad para WiFi

5 noviembre, 2018

Wi-Fi Alliance es una organización internacional sin ánimo de lucro que agrupa fabricantes de tecnología WiFi (estándar IEEE 802.11) y que certifica los productos que cumplen con sus especificaciones de interoperabilidad WiFi, seguridad y protocolos específicos de aplicaciones.

Este año Wi-Fi Alliance ha presentado la mayor actualización de seguridad WiFi de los últimos 14 años, la certificación WPA3 (WiFi Protected Access 3) que pretende superar algunas de las vulnerabilidades que se han detectado en la certificación actual WPA2. Por ejemplo, el famoso ataque KRACK (Key Reinstallation Attack) que permitía que un atacante accediera al contenido de una comunicación cifrada pudiendo incluso inyectar tráfico malicioso.

Al igual que WPA2, WPA3 ofrece dos tipos de configuraciones, el modo WPA3-Personal para usuarios domésticos, y el WPA3-Enterprise para entornos empresariales.

Los cambios en WPA3-Personal son:

– Un nuevo método de autenticación de dispositivos llamado SAE (Simultaneous Authentication of Equals) que reemplaza el PSK (Pre-Shared Key) y que es robusto frente a los ataques KRACK. Además permite que si un día un atacante logra descubrir la clave WiFi de un dispositivo, no pueda descifrar datos de antiguas conexiones, sino que solo podrá robar los datos generados después del robo.

– Un proceso de autenticación que hace mucho más difíciles los ataques de romper contraseñas a través de ataques de fuerza bruta basados en diccionario. Para llevar a cabo estos ataques el atacante tiene que interactuar con la red para cada contraseña que quiera probar, y por lo tanto esto conlleva mucho tiempo.

En el caso del WPA3-Enterprise, el cambio más importante es que se permitirá el cifrado de datos con claves de 192 bits, más fuerte que el actual cifrado de 128.

Además, el Wi-Fi Alliance ha presentado dos programas más de certificación de WiFi que son interesantes: el Wi-Fi Easy Connect, que permite configurar la seguridad de nuevos dispositivos de la red a través del escaneo de un código QR, y el Wi-Fi Enhanced Open. Este último proporciona protección de privacidad en situaciones en los que el individuo se conecta a una red abierta.

Vamos a analizar el caso de Wi-Fi Enchanced Open con más detalle. En muchos establecimientos que ofrecen servicios de acceso a Internet al público (por ejemplo restaurantes, hoteles, aeropuertos) el acceso a la red es abierto, sin uso de contraseñas. Este tipo de redes son vulnerables a ataques pasivos, muy fáciles de llevar a cabo porque el atacante solo necesita sentarse y examinar los datos que entran y salen de la red para obtener una gran cantidad de información.

El modo Enhanced Open se base en el estándar OWE (Opportunistic Wireless Encryption) de IETF para proteger a los usuarios de este tipo de escuchas pasivas. OWE utiliza un handshake criptográfico basado en el subyacente sistema SAE desarrollado para WPA3 que permite establecer una clave de cifrado entre los dispositivos finales y el punto de acceso aunque la red no tenga configurada ninguna contraseña de autenticación. Así todas las comunicaciones van cifradas y se evitan las escuchas indeseadas y los ataques basados en una inyección fácil de paquetes en la red.

En WPA2, los establecimientos de servicio público que querían ofrecer redes con seguridad utilizaban una clave del sistema PSK que se compartía en una pizarra a la entrada del local. La creencia es que esto protegía el medio inalámbrico de los ataques pasivos y las inyecciones simples de tráfico. Sin embargo, esta creencia es errónea. Dado que el PSK es conocido por todos, es posible que un atacante pasivo pueda observar el handshake de 4 pasos y calcular las claves de encriptación de tráfico utilizado por un cliente y un punto de acceso (ataque KRACK). Si el atacante llega demasiado tarde para observar este intercambio, puede emitir un paquete falso de deautenticación que hará que el cliente y/o AP restablezcan el estado de 802.11  y vuelvan a pasar por el handshake de 4 pasos, permitiendo así que el atacante pasivo determine las claves de tráfico.

Así, OWE es muy interesante porque es muy fácil de administrar (no requiere ninguna configuración especial o interacción del usuario) y proporciona un mayor nivel de seguridad que un sistema común y público de seguridad basado en WPA2 y PSK. Cabe notar que OWE no proporciona el nivel de seguridad de una red WiFi totalmente protegida con autenticación. El cliente no puede estar seguro que el punto de acceso al que se conecta sea realmente el de la entidad que él cree (el cliente se puede estar conectando a un punto de acceso de un usuario malicioso) y la conexión tiene riesgos. Pero este problema también se da en los sistemas PSK de compartición de clave pública, y por lo tanto, OWE es mejor que las propuestas para redes abiertas que teníamos hasta ahora.

Helena Rifà-Pous es directora del Máster Universitario en Seguridad de las Tecnologías de la Información y de las Comunicaciones de la UOC, UAB y URV.

(Visited 175 times, 1 visits today)
Autor / Autora
Comentarios
Deja un comentario