{"id":20887,"date":"2018-06-26T08:28:23","date_gmt":"2018-06-26T06:28:23","guid":{"rendered":"https:\/\/www.teldat.com\/sin-categorizar\/20887\/wpa3-mejoras-de-seguridad-en-redes-wi-fi\/"},"modified":"2022-12-21T18:00:51","modified_gmt":"2022-12-21T16:00:51","slug":"wpa3-mejoras-de-seguridad-en-redes-wi-fi","status":"publish","type":"post","link":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/blog\/wpa3-mejoras-de-seguridad-en-redes-wi-fi\/","title":{"rendered":"WPA3: mejoras de seguridad en redes Wi-Fi"},"content":{"rendered":"

\"WPA3\" En una red inal\u00e1mbrica, por la propia naturaleza de las ondas electromagn\u00e9ticas, cualquier persona puede recibir los datos que viajan por el aire. Con antenas de gran ganancia, es posible escuchar los datos de una oficina desde fuera del edificio. Por este motivo se ha hecho siempre tanto hincapi\u00e9 en la seguridad de las redes inal\u00e1mbricas<\/strong>. Analizaremos las novedades que nos esperan en materia de seguridad, con un cifrado WPA2 mejorado y un nuevo est\u00e1ndar: WPA3<\/strong>.<\/p>\n


\nLa primera versi\u00f3n del est\u00e1ndar 802.11 del IEEE<\/strong>, que sienta la base del funcionamiento de las redes WLAN<\/em><\/strong> dedicaba, ya en el a\u00f1o 1999, un apartado a la descripci\u00f3n de los procedimientos para conseguir una red segura. Desgraciadamente, los primeros desarrolladores del est\u00e1ndar no eran expertos en seguridad, y los protocolos desarrollados, conocidos como WEP<\/strong> (Wireless Equivalent Privacy),<\/em> fueron pronto v\u00edctima de ataques no muy sofisticados. En ellos se pod\u00eda averiguar la clave utilizada en menos de 1 hora.<\/p>\n

El IEEE pronto empez\u00f3 a trabajar en una enmienda al est\u00e1ndar, el 802.11i,<\/strong> en el que defin\u00eda las bases para tener una red WLAN segura.<\/strong> Esta reformulaci\u00f3n es la base de los conocidos como WPA y WPA2.<\/strong> En contra de lo que la gente suele pensar, no hay grandes diferencias entre WPA y WPA2. La Wi-Fi Alliance,<\/strong> organismo encargado de certificar los equipos WLAN para garantizar la interoperabilidad entre operadores, a la vista de las vulnerabilidades del WEP<\/strong>, no pudo esperar a que el IEEE terminase el proceso de publicaci\u00f3n del 802.11i y sac\u00f3 el WPA<\/strong> bas\u00e1ndose en una revisi\u00f3n no definitiva, pero si bastante avanzada, de la enmienda.<\/p>\n

Posteriormente, cuando el 802.11i se public\u00f3, sacaron el WPA2<\/strong>, que sigue el est\u00e1ndar 802.11i. Las diferencias entre WPA y WPA2<\/strong> son m\u00ednimas: usan diferentes elementos de informaci\u00f3n para anunciar las capacidades de seguridad y la negociaci\u00f3n de la clave de grupo puede hacerse de manera m\u00e1s r\u00e1pida en WPA2.<\/p>\n

Tipos de cifrado de datos en WPA2<\/h2>\n

Tanto WPA como WPA2 son soluciones de seguridad completas<\/strong>, que incluyen tanto la autenticaci\u00f3n de los equipos participantes en la comunicaci\u00f3n como el cifrado de los datos enviados.
\nSe pueden usar dos tipos de cifrado:<\/strong>
\n1. TKIP<\/strong>: cifrado basado en WEP con el que se tratan de corregir las vulnerabilidades descubiertas sin cambiar el hardware necesario.
\n2. AES-CCMP<\/strong>: nuevo cifrado mucho m\u00e1s seguro, necesitaba nuevo hardware para funcionar
\nAsimismo, se pueden usar dos formas de gestionar las claves:<\/strong>
\n\u2022 PSK<\/strong>: clave compartida. Da lugar a lo que se conoce como seguridad WPA-Personal.
\n\u2022 802.1X<\/strong>: clave obtenida haciendo uso del protocolo definido en el est\u00e1ndar 802.1X. Da lugar a lo que se conoce como WPA-Enterprise.<\/p>\n

En la actualidad, no tiene sentido usar WPA o TKIP, y solo deber\u00eda usarse WPA2 con AES-CCMP. La propia Wi-Fi Alliance ha dado pasos en esa direcci\u00f3n. As\u00ed, por ejemplo, el est\u00e1ndar 802.11n (y posteriores) no funciona si se configura TKIP.<\/p>\n

La vulnerabilidad de WPA2 frente a ataques<\/h2>\n

WPA y WPA2 han sido usados hasta ahora para proteger las redes inal\u00e1mbricas y, a pesar de que existen ataques<\/strong> contra ellos, lo cierto es que est\u00e1n m\u00e1s basados en errores de los seres humanos<\/strong> (ataques de diccionario, por ejemplo) que en vulnerabilidades reales<\/em> en el protocolo<\/strong>. La percepci\u00f3n general durante a\u00f1os ha sido que las redes inal\u00e1mbricas eran seguras… hasta ahora.<\/p>\n

En octubre de 2017, Mathy Vanhoef<\/strong> public\u00f3 un documento en el que detallaba una vulnerabilidad de las redes WPA2<\/strong>. El ataque conocido como KRACK<\/strong> (Key Reinstallation Attack),<\/em> forzaba la reinstalaci\u00f3n de claves, y provoc\u00f3 cierto revuelo al conocerse. Lo cierto es que, al final, el alcance real del ataque era mucho menor que el ruido generado y, en la mayor\u00eda de casos, bastaba con aplicar unos peque\u00f1os parches para evitar la amenaza.<\/p>\n

Novedades en 2018: WPA2 mejorado y WPA3<\/h2>\n

Ya sea por el alboroto ocasionado por los ataques, o porque ya tocaba llevar a cabo una revisi\u00f3n, la Wi-Fi Alliance anunci\u00f3 en enero la publicaci\u00f3n de mejoras en WPA2<\/strong> y el lanzamiento de un nuevo est\u00e1ndar WPA3<\/strong> durante este a\u00f1o 2018 .
\nLa Wi-Fi Alliance define tres campos de mejora, y todos ellos incorporan como pre-requisito el soporte de PMF<\/strong> (Protected Management Frames)<\/em> <\/strong>para asegurar la integridad de las tramas de gesti\u00f3n.<\/p>\n

#1. Enhanced Open<\/h3>\n

El uso de redes abiertas (sin seguridad), es bastante habitual para dar servicio en restaurantes y comercios. La Wi-Fi Alliance propone el uso de OWE (Opportunistic Wireless Encryption),<\/em><\/strong> definido en la RFC 8110, para mejorar la seguridad en estas redes. En OWE, el cliente y el punto de acceso realizan un intercambio de claves Diffie-Hellman<\/em><\/strong> durante la asociaci\u00f3n. La clave generada se usa para la generaci\u00f3n de unas claves de sesi\u00f3n<\/em>. De este modo, se consigue una comunicaci\u00f3n cifrada (aunque sin autenticaci\u00f3n) entre los usuarios y el punto de acceso: todos los paquetes de datos y las tramas de gesti\u00f3n unicast entre un usuario y el punto de acceso se cifran, protegi\u00e9ndolos de las miradas de los otros usuarios. Todo esto se consigue sin intervenci\u00f3n del usuario: no es necesario que el usuario introduzca ninguna clave para conectarse a la red, lo que permite mantener la simplicidad de conexi\u00f3n que existe actualmente en redes abiertas.
\nLa Wi-Fi Alliance no incluye esta mejora como parte del programa WPA.<\/strong><\/p>\n

#2. Mejoras adicionales de seguridad en WPA2<\/h3>\n

Se trata de una serie de pruebas adicionales no incluidas en la certificaci\u00f3n WPA2<\/strong>. Que tienen como objeto evitar ciertos ataques conocidos:
\n\u2022 Se comprueba la validaci\u00f3n de certificados en el lado del cliente cuando se usa WPA2 Enterprise.
\n\u2022 Se corrobora que el cliente es capaz de recibir m\u00e1s de un AKM en el elemento de informaci\u00f3n de seguridad.<\/p>\n

#3. Definici\u00f3n de un nuevo nivel de seguridad WPA, WPA3<\/h3>\n

Como ya suced\u00eda con WPA y WPA2, se definen dos niveles de seguridad dentro de WPA3<\/strong>, denominados WPA3-Personal y WPA3-Enterprise (este \u00faltimo es el m\u00e1s seguro).
\n\u2022 WPA3-Personal<\/strong>: incluye el uso de SAE (Simultaneous Authentication of Equals)<\/em><\/strong>,<\/em> definido en el est\u00e1ndar 802.11-2016 e inicialmente incluido como parte de la enmienda 802.11s para redes en malla. Con SAE, el cliente y el punto de acceso se autentican probando a la otra parte, que se encuentran en posesi\u00f3n de una clave. Como resultado del proceso, una clave maestra (PMK) es compartida entre los dos. La clave no se env\u00eda, y el intercambio es tal que un observador que capture los paquetes utilizados, no puede averiguar ni la clave original ni la clave maestra generada. SAE a\u00f1ade m\u00e1s seguridad a las redes con clave compartida (PSK), haciendo m\u00e1s complicados los ataques de diccionario: la clave PSK no se usa directamente como PMK, sino que se utiliza para generar la clave PMK.
\n\u2022 WPA3-Enterprise<\/strong>: define nuevos niveles de seguridad de 192 bits basados en las indicaciones de la Suite B de la NSA para entornos en los que se requiere m\u00e1s seguridad (gobierno, aplicaciones militares, etc). Se restringen los tipos de EAP a utilizar a unos pocos:
\n1. TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 (obligatorio).
\n2. TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (opcional).
\n3. TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (opcional).
\ny solo se permite cifrado GCMP-256.<\/strong> Sin entrar en detalles de lo que significan todas estas siglas, basta decir que aumentan enormemente la seguridad de las redes Wi-Fi.<\/p>\n

En Teldat nos tomamos muy en serio la seguridad en las redes inal\u00e1mbricas y ya estamos trabajando en el desarrollo de estos nuevos protocolos de seguridad para ofrecer las soluciones m\u00e1s seguras para nuestros clientes.<\/p>\n","protected":false},"excerpt":{"rendered":"

En una red inal\u00e1mbrica, por la propia naturaleza de las ondas electromagn\u00e9ticas, cualquier persona puede recibir los datos que viajan por el aire. Con antenas de gran ganancia, es posible escuchar los datos de una oficina desde fuera del edificio. Por este motivo se ha hecho siempre tanto hincapi\u00e9 en la seguridad de las redes […]<\/p>\n","protected":false},"author":180,"featured_media":19328,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"_et_pb_use_builder":"","_et_pb_old_content":"","_et_gb_content_width":"","footnotes":""},"categories":[1173],"tags":[1223,1205,1073,1364],"class_list":["post-20887","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-wi-fi","tag-network-security-es","tag-seguridad-en-la-red-es","tag-tecnologia-wi-fi","tag-wi-fi-technology-es"],"acf":[],"wpml_current_locale":"es_ES","wpml_translations":[{"locale":"en_US","id":19325,"slug":"wpa3-wi-fi-network-security-wpa3-personal-wpa3-enterprise","post_title":"WPA3: Improved Wi-Fi security","href":"https:\/\/teldatnwp-dev.azurewebsites.net\/wpa3-wi-fi-network-security-wpa3-personal-wpa3-enterprise\/"}],"_links":{"self":[{"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/posts\/20887","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/users\/180"}],"replies":[{"embeddable":true,"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/comments?post=20887"}],"version-history":[{"count":0,"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/posts\/20887\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/media\/19328"}],"wp:attachment":[{"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/media?parent=20887"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/categories?post=20887"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teldatnwp-dev.azurewebsites.net\/es\/wp-json\/wp\/v2\/tags?post=20887"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}