La importancia de la seguridad en los puntos de acceso

Todos sabemos, o deberíamos saber a estas alturas, la importancia de tener cifrada nuestra red Wi-Fi. Pero no solamente tenemos que poseer este conocimiento sino llegar un poco más a fondo de la cuestión.

Cuando un usuario se conecta a una red Wi-Fi, se produce el llamado Handshake, o apretón de manos. Si hiciésemos una similitud con los negocios, este gesto sería el realizado entre dos empresarios que tal vez no se conocían pero que van a entablar una relación de confianza.

La relación consta de dos partes principales; la primera parte sería el cliente o usuario que se conecta inalámbricamente a una red Wi-Fi disponible y la segunda parte sería la red Wi-Fi o punto de acceso a la que se puede conectar.

A groso modo, es una negociación entre cliente y router para preestablecer la conexión. Digamos que cuando capturamos el handshake, no capturamos la clave, sino una serie de parámetros, que entre ellos va la contraseña Wi-Fi pero cifrada.

¿Cómo funciona un handshake?

El cliente se comunica con el AP (punto de acceso inalámbrico o Access point) enviándole una petición para poder conectarse. El router responde mediante un acuse de recibo (ACK), un mensaje corto para informar al cliente que han llegado los datos al destino deseado, dónde se encuentra la clave para conectarse al router.

Los dos protagonistas dela conexión generarán sus claves simétricas que serán usadas para encriptar y desencriptar la información. De esta manera se permitirá una conexión íntegra y segura.

Otro tipo de comunicación que se realiza entre cliente y AP es mediante una conversación; dependiendo del tipo de seguridad que posea el AP el Handshake se realizará de una forma u otra.

Tipos de seguridad de un AP

La conexión mediante tecnología Wi-Fi, pese a ser inalámbrica, no se libra de posibles ataques y riesgos a la seguridad por parte de los usuarios y dispositivos que utilizan esta tecnología; de hecho, son foco de numerosos ataques.

Entre otras medidas, existen varios tipos de cifrado para un router inalámbrico, siendo uno de los preceptos más importantes para poder conseguir una red inalámbrica segura.

Destacan, como principales y más usados, los siguientes cifrados:

WEP. Privacidad equivalente al cableado (Wired Equivalent Privacy)

Este cifrado fue desarrollado para redes inalámbricas y aprobado como estándar de seguridad Wi-Fi en septiembre de 1999. Era el más utilizado en el mundo y su uso ha disminuido paulatinamente debido a su debilidad.

Cuando entró en vigor, se le descubrieron muchos fallos y agujeros, por lo que tuvo que ir evolucionando con el tiempo. Pese a las mejoras, revisiones de los algoritmos y aumento de tamaño de las contraseñas, se ha demostrado, continuamente, que es un cifrado poco fiable y fácil de explotar.

A pesar de todo el trabajo que se ha hecho para mejorar el sistema, WEP sigue siendo una solución altamente vulnerable. Los sistemas que dependen de este protocolo deben ser actualizados o reemplazados en caso de que la actualización de seguridad no sea posible. WEP fue oficialmente abandonada por la Alianza Wi-Fi en 2004.

WPA. Acceso pritegido Wi-Fi (Wi-Fi Protected Access)

Este cifrado fue la respuesta automática al WEP y sus vulnerabilidades cada vez más frecuentes. Un año antes de que WEP fuera oficialmente abandonada, WPA fue formalmente adoptada. Empezó a usarse de forma oficial hacia el año 2003.

La mayoría de las aplicaciones WPA modernas utilizan una clave precompartida (PSK), denominada con mayor frecuencia WPA Personal, y el Protocolo de integridad de clave temporal o TKIP (/ti:´kip/) para el cifrado. WPA Enterprise utiliza un servidor de autenticación para la generación de claves y certificados.

En los primeros años de este milenio se introdujo la encriptación TKIP como una medida de seguridad provisional para reemplazar el estándar de encriptación WEP más antiguo e intrínsecamente inseguro, que se usó ampliamente en los primeros equipos Wi-Fi que se lanzaron a finales de los años 90 y principios de los 2000. Si bien se pretendía que TKIP fuera al menos relativamente más seguro que WEP, desde entonces la norma quedó obsoleta en la revisión de 2012 de Wi-Fi 802.11 después de que se descubrió que tenía evidentes lagunas de seguridad que pueden ser explotadas por piratas informáticos sin demasiado problema. Se debe a que TKIP usa el mismo mecanismo subyacente que WEP, y por lo tanto es igualmente vulnerable a los ataques.

WAP era una mejora significativa sobre WEP, pero como los componentes principales se hicieron para que pudieran ser lanados a través de actualizaciones de firmware en dispositivos con WEP, todavía dependían de elementos explotados. Las claves usadas por WAP son de 256 bits, el doble de los 128 bits usados por WEP. Las principales mejoras y avances respecto al cifrado WEP son: Usar el doble de bits para las claves, comprobación de contenido e integridad de mensajes, para evitar intercepción de tráfico, y el protocolo de clave temporal TKIP. Todo esto evita que un router sea atacado de forma tan sencilla como ocurría con el uso de WEP.

WPA, al igual que WEP, después de haber sido sometida a pruebas de concepto y a demostraciones públicas aplicadas, resultó ser bastante vulnerable a la intrusión. Sin embargo, los ataques que más amenazaban el protocolo no fueron los directos, sino los que se realizaron con el sistema WPS (Wi-Fi Protected Setup), un sistema auxiliar desarrollado para simplificar la conexión de los dispositivos a los puntos de acceso modernos.

WPA. Acceso pritegido Wi-Fi (Wi-Fi Protected Access)

Este protocolo se introdujo en 2004. Una de las principales diferencias entre WPA y WPA2 es que este último utiliza dos tipos diferentes de cifrado: encriptación AES y encriptación CCMP.

La encriptación AES (Advance Encryption Standard) es un tipo de cifrado por bloques, adoptado como un estándar de cifrado por los EE.UU para encriptar la información clasificada como de alto secreto, el cual permite claves más largas y más seguras.

En este momento, la principal vulnerabilidad a un sistema WPA2 es cuando el atacante ya tiene acceso a una red Wi-Fi segura y puede acceder a ciertas teclas para realizar un ataque a otros dispositivos de la red. Dicho esto, las sugerencias de seguridad para las vulnerabilidades WPA2 conocidas son principalmente importantes para las redes de niveles de empresa, y no es realmente relevante para las pequeñas redes domésticas.

Lamentablemente, la posibilidad de ataques a través de configuración de Wi-Fi Segura (WPS), sigue siendo alta en los actuales puntos de acceso capaces de WPA2, que es el problema de WPA también.

Y aunque forzar el acceso en una red asegurada WPA/WPA2 a través e este agujero tomará alrededor de 2 a 14 horas, sigue siendo un problema de seguridad real y WPS se debe inhabilitar y sería bueno si el firmware del punto de acceso pudo ser reajustado a una distribución para no apoyar WPS, para excluir por completo este tipo de ataque.

Otra de las principales diferencias entre WPA y WPA2 es la implementación del CCMP (código de autenticación de mensajes de encadenamiento de bloques de cifrado en modo contador) que es un protocolo mejorado de encriptación, que sustituye a TKIP. CCMP es obligatorio en el estándar WPA2.

Emplea el algoritmo de seguridad AES y a diferencia de TKIP, la integridad de la clave de administración y mensaje es manejada por un único componente creado alrededor de AES usando una clave de 128 bits, un bloque de 128 bits.

CCMP proporciona los siguientes servicios de seguridad: Confidencialidad de los datos (garantiza que solo las partes autorizadas pueden acceder a la información), autenticación (proporciona prueba de autenticidad del usuario), y control de acceso junto con la gestión de capas.

TKIP es un estándar de cifrado más antiguo utilizado por el antiguo estándar WPA. AES es una solución de cifrado más reciente para la seguridad de una red Wi-Fi utilizado por una nueva y segura estándar WPA2. En teoría, este es el final de la misma.

Si bien supone que WPA2 usa AES para una seguridad óptima, también tiene la opción de utilizar TKIP para la compatibilidad con dispositivos asociados. En tal estado, los dispositivos compatibles con WPA2 se conectarán con WPA2 y dispositivos compatibles con WPA se conectará con WPA. Así que “WPA2” no siempre significa WPA2-AES. Sin embargo, en los dispositivos sin un “TKIP”visible o la opción “AES”, WPA2 es generalmente sinónimo de WPA2-AES.

Los piratas informáticos son capaces de aprovechar estas vulnerabilidades y captar la comunicación del apretón de manos, descifrar las contraseñas entrando así en la red. Para evitar este tipo de ataques recomendamos que la seguridad del AP sea lo más estricta posible.

0 replies

Leave a Reply

Want to join the discussion?
Feel free to contribute!

Leave a Reply

Your email address will not be published. Required fields are marked *