El estándar de seguridad Wi-Fi WPA3 aborda las deficiencias de WPA2 para dar mayor seguridad a las redes inalámbricas personales, empresariales e IoT.
Wi-Fi Alliance ha introducido la primera mejora de seguridad importante para Wi-Fi en aproximadamente 14 años: WPA3. Las contribuciones más importantes al nuevo protocolo de seguridad son: una mayor protección para contraseñas simples, cifrado individualizado para redes personales y abiertas, y un cifrado aún más seguro para redes empresariales.
En el 2003 se lanzó el estándar original de Acceso Protegido a Wi-Fi (WPA) para reemplazar a WEP, y la segunda edición de WPA llegó el año siguiente. La tercera edición de WPA es una actualización muy esperada y muy bien recibida que beneficiará a la industria de Wi-Fi, a las empresas y a los millones de usuarios de Wi-Fi promedio en todo el mundo, aunque no lo sepan.
WPA3 se anunció en enero y se hizo oficial con el lanzamiento en junio del programa de certificación de Wi-Fi Alliance para WPA3-Personal, que proporciona un cifrado más individualizado, y WPA3-Enterprise, que aumenta la fortaleza criptográfica de las redes que transmiten datos confidenciales. Junto con estos dos modos de implementación, la Wi-Fi Alliance también presentó Wi-Fi Easy Connect, una función que se supone que simplifica el proceso de emparejamiento de dispositivos Wi-Fi sin pantallas, como los dispositivos IoT; y Wi-Fi Enhanced Open, una función opcional que permite un cifrado sin problemas en redes de puntos de acceso Wi-Fi abiertas.
Tabla de Contenido
Abordar las deficiencias de WPA2
El protocolo WPA2 con el Estándar de cifrado avanzado (AES) sin duda solucionó algunos agujeros de seguridad del WPA original, que utilizaba el protocolo de cifrado Temporal Key Integrity Protocol (TKIP). Y WPA2 se consideraba mucho más seguro que la seguridad WEP de larga data. Sin embargo, WPA2 todavía tenía vulnerabilidades significativas que han surgido en la última década.
Capacidad de descifrar la frase de acceso WPA2-Personal con ataques de fuerza bruta
Básicamente adivinar la contraseña una y otra vez hasta que se encuentre una coincidencia, es una vulnerabilidad crítica de WPA2. Para empeorar el problema, una vez que los piratas informáticos capturaron los datos correctos de las ondas, pudieron realizar estos intentos de adivinación de contraseñas fuera del sitio, haciéndolos más prácticos para ellos. Una vez resquebrajados, podrían descifrar cualquier dato que hayan capturado antes o después del descifrado.
Usuario puede husmear en el tráfico de la red de otro usuario y realizar ataques
Otra vulnerabilidad importante de WPA2-Personal, particularmente en las redes empresariales, es que un usuario con la frase de contraseña podría husmear en el tráfico de la red de otro usuario y realizar ataques. Si bien el modo empresarial de WPA / WPA2 brinda protección contra la indagación de usuario a usuario, requiere un servidor RADIUS o un servicio en la nube para implementar el modo empresarial.
Falta de seguridad
Podría decirse que la peor deficiencia de Wi-Fi desde su inicio es la falta de seguridad, cifrado o privacidad incorporada en las redes públicas abiertas. Cualquier persona con las herramientas adecuadas podría husmear en usuarios conectados a puntos de acceso Wi-Fi en cafés, hoteles y otras áreas públicas. Esta indagación podría ser pasiva, como simplemente monitorear sitios web visitados o capturar credenciales de inicio de sesión de correo electrónico no seguras, o ataques activos, como el secuestro de sesiones para obtener acceso al inicio de sesión del sitio web de un usuario.
WPA3-Personal proporciona un cifrado más seguro e individualizado
WPA3 proporciona mejoras al cifrado general de Wi-Fi, gracias a la Autenticación simultánea de iguales (SAE) que reemplaza el método de autenticación de clave precompartida (PSK) utilizado en versiones anteriores de WPA. Esto permite una mejor funcionalidad, por lo que las redes WPA3-Personal con frases de contraseña simples no son tan sencillas de descifrar por parte de los piratas informáticos mediante intentos de craqueo en el diccionario, de fuerza bruta o basados en la fuerza bruta como lo fue con WPA / WPA2. Por supuesto, todavía será tan fácil para alguien adivinar una contraseña muy simple cuando intenta conectarse directamente a la conexión Wi-Fi con un dispositivo, pero ese es un método de descifrado menos práctico.
El cifrado con WPA3-Personal es más individualizado. Los usuarios en una red WPA3-Personal nunca pueden interceptar el tráfico WPA3-Personal de otra persona, incluso cuando el usuario tiene la contraseña de Wi-Fi y está conectado correctamente. Si un forastero determina la contraseña, no es posible observar de forma pasiva un intercambio y determinar las claves de la sesión, lo que proporciona secreto de reenvío del tráfico de red. Además, tampoco pueden descifrar los datos capturados antes del craqueo.
Wi-Fi Easy Connect
Es una función opcional anunciada recientemente que probablemente se verá con muchos dispositivos WPA3-Personal, que pueden ser reemplazados o utilizados además de la función de Configuración protegida de Wi-Fi (WPS) que vino con WPA / WPA2. Wi-Fi Easy Connect se está diseñando para facilitar la conexión de dispositivos sin pantalla e IoT a Wi-Fi. Esto puede incluir un método de botón similar a WPS, pero también puede agregar métodos adicionales, como escanear un código QR del dispositivo desde un teléfono inteligente para conectar de forma segura el dispositivo.
WPA3-Enterprise apunta a Wi-Fi a gran escala
Para WPA3-Enterprise, se ha agregado la seguridad opcional de 192 bits para una mejor protección. Esta puede ser una característica bienvenida para entidades gubernamentales, grandes corporaciones y otros entornos altamente sensibles. Sin embargo, dependiendo de la implementación específica del servidor RADIUS, el modo de seguridad de 192 bits en WPA3-Enterprise puede requerir actualizaciones relacionadas con el componente del servidor EAP del servidor RADIUS.
Wi-Fi Enhanced Open ofrece encriptación para redes públicas
Una de las mejoras más importantes que ha realizado la Wi-Fi Alliance es la Wi-Fi Enhanced Open. Permite que las comunicaciones Wi-Fi de redes abiertas (aquellas sin contraseña o contraseña) se cifren de forma única entre el punto de acceso y los clientes individuales, que se basa en el cifrado inalámbrico oportunista (OWE). Utiliza marcos de administración protegidos para asegurar el tráfico de administración entre el punto de acceso y los dispositivos del usuario también.
Wi-Fi Enhanced Open
El Wi-Fi Enhanced Open evita que los usuarios husmeen en el tráfico web de los demás o realicen otros ataques, como el secuestro de sesiones. Hace todo esto en segundo plano, sin que los usuarios tengan que ingresar una contraseña o hacer nada diferente a simplemente conectarse como hemos estado acostumbrados en redes abiertas.
Aunque no forma parte oficialmente de la especificación WPA3, es probable que se agregue en productos al mismo tiempo que WPA3. Es una característica opcional para que los proveedores incluyan en sus productos. Además, el soporte de las conexiones abiertas heredadas sin cifrar también es opcional. Por lo tanto, existe la posibilidad de que algunos proveedores de AP y enrutadores en el futuro puedan forzar el uso de Wi-Fi Enhanced Open (o que esté activado de manera predeterminada), si no se usa WPA3.
La adopción de WPA3 puede llevar años
En cuanto al tiempo, la adopción generalizada de WPA3 no se hará de la noche a la mañana. Algunos dispositivos Wi-Fi compatibles con WPA3 deberían comenzar a aparecer a finales de 2018, pero el soporte WPA3 sigue siendo una característica opcional y puede que no sea obligatorio para la certificación de la Alianza Wi-Fi por hasta dos años. Algunos proveedores pueden opcionalmente lanzar actualizaciones de software con la capacidad WPA3 para productos existentes, pero no hay garantía. Además, es importante tener en cuenta que algunas funciones de WPA3 pueden requerir una actualización de hardware en los productos.
Los consumidores y las empresas pueden tardar años en actualizarse
Incluso si un usuario compra una computadora portátil o teléfono inteligente con capacidad WPA3, tenga en cuenta que la red debe ser compatible con WPA3 para obtener cualquiera de las mejoras de seguridad, aunque el dispositivo WPA3 aún podrá conectarse a las redes WPA2.
En casa, un usuario tiene el control de la red y podría optar por actualizar el enrutador y los dispositivos a WPA3. Sin embargo, el costo involucrado para redes más grandes puede significar un período de adopción muy largo para WPA3 por parte de las empresas y las empresas. Este también podría ser el caso incluso de pequeños puntos de acceso público a Wi-Fi, ya que el internet inalámbrico generalmente es un servicio sin ingresos. Por lo tanto, los usuarios preocupados por la seguridad que siempre usan una conexión VPN cuando están en redes públicas probablemente tendrán que mantener la conexión VPN durante algunos años.
WPA3-Personal proporciona un modo de transición para permitir la migración gradual a una red WPA3-Personal y al mismo tiempo permitir que los dispositivos WPA2-Personal se conecten. Sin embargo, los beneficios completos de WPA3-Personal solo se obtienen cuando la red está en modo solo WPA3. Los beneficios que se pierden y el impacto en la seguridad en el modo de transición se desconocen en este momento; Esto podría ser una de las razones por las cuales algunos retrasan la implementación de la red WPA3, hasta que haya más dispositivos de usuario final de WPA3 en el mercado.
Posibles limitaciones de Wi-Fi Open mejorado
Puede dar a algunos usuarios una falsa sensación de seguridad.
Es importante entender que aunque los usuarios reciben cifrado individualizado para ayudar a protegerse contra la interceptación de su tráfico, aún no es una seguridad total. Los usuarios no se autentican como si estuvieran en una red WPA3, por lo que los usuarios son más vulnerables que si se conectan a su red privada en el hogar, el trabajo o la escuela, por ejemplo.
Uso de una red abierta mejorada con Wi-Fi
Tenga en cuenta que cualquier recurso compartido de red abierta en los dispositivos de los usuarios puede estar abierto para que los usuarios puedan conectarse. Dado que el acceso no está protegido por contraseña, también es seguro decir que Wi-Fi Enhanced Open no tendrá ningún impacto en ayudar a prevenir redes falsas de honeypot.
No indican claramente el tipo de seguridad Wi-Fi que está habilitada en la red.
Esto podría ser un problema con Wi-Fi Enhanced Open, ya que incluso para los usuarios con un dispositivo compatible no es fácil determinar si las redes de terceros, como los puntos de acceso público, tienen la protección habilitada. Esto dependerá de los proveedores de dispositivos y sistemas operativos de cómo podrían mostrar mejor las capacidades de seguridad de las redes. Por ejemplo, esperamos que lo hagan claramente visible si las redes tienen habilitado el Wi-Fi Open Enhanced Open y luego tienen una advertencia como algunas ya lo hacen para redes abiertas sin ningún tipo de seguridad.
