¿Qué es WPA3, es seguro y debo usarlo?
¿Qué es WPA3? El acceso protegido Wi-Fi (WPA) a menudo se conoce como un estándar o protocolo de seguridad utilizado para cifrar y proteger redes Wi-Fi como la que probablemente usa en casa o en el trabajo, pero en realidad es un programa de certificación de seguridad desarrollado por Wi-Fi Alliance para proteger las redes informáticas inalámbricas.
WPA3, lanzado en junio de 2018, es el sucesor de WPA2, que los expertos en seguridad describen como 'roto'. El objetivo del desarrollo de WPA3 era mejorar WPA en términos de simplicidad de uso y mayor solidez criptográfica. Al igual que su predecesor, viene en ediciones Personal y Enterprise, pero esta versión mejora WPA2 con funciones de autenticación y cifrado más sólidas, y una solución a la falla incorporada en WPA2, KRACK. También incluye funcionalidad para simplificar y asegurar mejor la conexión de dispositivos wifi IoT.
Contenido [ esconder ]
- ¿Qué tan seguros son los estándares actuales de cifrado wifi?
- Clave precompartida (PSK)
- Apretón de manos de cuatro vías
- ¿WPA3 es seguro? Claro, pero también hay mejoras en WPA2
- WPA3-Personal
- WPA3-Empresarial
- Cuatro áreas de mejora
- Autenticación Simultánea de Iguales (SAE) contra ataques de fuerza bruta
- Protocolo de aprovisionamiento de dispositivos (DPP) para gestionar redes y dispositivos IoT
- Cifrado inalámbrico oportunista (OWE) para una navegación más segura en puntos de acceso
- ¿Qué software y dispositivos son vulnerables a KRACK?
- ¿Qué tipo de vulnerabilidades de ataque exponen las redes insuficientemente seguras?
- Palabras de advertencia de quienes encontraron la falla de KRACK
- ¿Qué tienen que decir los cínicos, incluidos los desarrolladores de TI, sobre WPA3?
- ¿Cómo pueden protegerse las empresas? (Resuelto)
- Consejos de seguridad Wifi para redes domésticas y dispositivos IoT (Resuelto)
El problema
El KRACK (ataque de reinstalación de claves) El defecto puede clasificarse como grave. ataque de repetición , y es una forma de ataque de intermediario. El problema fundamental con WPA2, resaltado por el descubrimiento de KRACK, es una falla en el estándar de certificación WPA2 en sí y no una debilidad causada por una mala configuración del producto o implementación del servicio.
Profundizaremos en KRACK más adelante, pero la conclusión es que cualquier implementación correcta de WPA2 probablemente sea vulnerable; la vulnerabilidad es inherente al protocolo WPA2.
La solución
En respuesta a esta debacle, en junio de 2018, Wi-Fi Alliance® anunció la introducción de Wi-Fi CERTIFIED WPA3™ seguridad, un estándar de certificación wifi que:
- Aborda la vulnerabilidad KRACK
- Actualiza WPA2 con función de seguridad adicional s. Esto es importante porque existen múltiples agujeros de seguridad wifi que son más atractivos para los piratas informáticos y mucho más fáciles de violar que KRACK.
¿Qué es WPA3? La certificación WPA3 para dispositivos wifi se puede comparar en términos generales con un certificado de aptitud para circular para su automóvil. Sin certificación, los proveedores de hardware no pueden afirmar que cumplen con los estándares de seguridad de Wi-Fi Alliance.
Puede ser algún tiempo antes de que WPA3 obtenga la aceptación completa por parte de los usuarios de wifi ; Mientras tanto, “los dispositivos WPA2 seguirán interoperando y proporcionando seguridad reconocida”, según Wi-Fi Alliance. WPA2 sigue siendo obligatorio para todos los dispositivos con certificación wifi durante el período de transición.
¿Qué es WPA3? y es seguro?
Este artículo analizará cómo WPA3 mejora la seguridad de WPA2 y pondrá a KRACK en perspectiva. Si bien WPA3 es definitivamente la ruta de seguridad correcta a seguir en el futuro, los usuarios deben asegurarse de implementar una estrategia de seguridad multifacética y en capas para proteger todos los aspectos de su red wifi. WPA3 no es suficiente para proteger completamente las redes wifi, aunque otras mejoras además del parche KRACK contribuyen en gran medida a tapar otros agujeros de seguridad wifi. También discutiremos algunas de las críticas que se han dirigido a WPA3. Finalmente, abordaremos algunas de las formas en que los usuarios domésticos y las empresas pueden practicar una conexión wifi segura. ¿WPA3 es seguro? Averigüemos.
El alcance de la vulnerabilidad KRACK
El descubrimiento de KRACK causó cierta inquietud en la comunidad de TI, la razón es que muchos dispositivos wifi usan WPA2 y cada vez más personas usan estos dispositivos para conectarse a Internet. De acuerdo a Menear , en enero de 2018, había más de 400 millones de conexiones inalámbricas en todo el mundo. KRACK podría hacer que un gran porcentaje de ellos sean vulnerables a los ataques. (Por cierto, todavía no se han documentado ataques de KRACK en la naturaleza).
Acceso inalámbrico a Internet según usuarios de Internet en todo el mundo a junio de 2015, por dispositivo (Fuente: Estadista )
¿Qué tan seguros son los estándares actuales de cifrado wifi?
- Privacidad equivalente por cable (WEP) – Muy poco fiable pero todavía en uso. Según Kaspersky Labs, a los piratas informáticos les llevaría sólo unos minutos descifrar las redes protegidas por WEP.
- Redes abiertas – Ninguna seguridad en absoluto.
- Acceso protegido Wi-Fi (WPA) – En 2002, WPA estaba destinado a ser sólo una medida intermedia para reemplazar a WEP, y fue reemplazado por WPA2 en 2004. El problema con WPA fue el uso de la ineficaz TKIP protocolo de cifrado que no es seguro.
- Acceso protegido Wi-Fi 2 (WPA2)
- ElPersonalLa versión es razonablemente segura pero vulnerable a ataques de fuerza bruta y de diccionario. Puede permitir la interceptación de comunicaciones (apretones de manos) entre el punto de acceso y el dispositivo al inicio de una sesión wifi.
- ElEmpresaLa versión está hasta cierto punto protegida contra interceptaciones de protocolos de enlace porque utiliza procedimientos adicionales de autorización de la empresa.
- Acceso protegido Wi-Fi 3 (WPA3) – Reemplaza a WPA2 a partir de enero de 2018, aunque tardará algún tiempo en implementarse. Proporciona la mejor seguridad wifi del momento.
Tenga en cuenta que SÓLO los dispositivos protegidos con WPA2 son vulnerables específicamente a un ataque KRACK. Una red abierta y no segura no está cifrada y es vulnerable a prácticamente cualquier tipo de ataque, pero no en términos de KRACK, ya que no utiliza WPA2.
Tipos de cifrado utilizados en puntos de acceso wifi públicos globalmente (Fuente: Red de seguridad Kaspersky (KSN) )
Una analogía con KRACKing
Las fallas en las negociaciones de intercambio (el punto donde el punto de acceso (AP) y el enrutador se encuentran y saludan para confirmar las credenciales de un cliente) se encuentran en el corazón de la vulnerabilidad WPA2. Analizaremos más en profundidad por qué en la siguiente sección donde exploraremos qué es WPA3.
Para preparar el escenario, aquí está una analogía para el apretón de manos proceso (si le das un poco de licencia a la imaginación).
Ilustración de un apretón de manos de tres vías como se describe en la siguiente analogía (Fuente: Wikipedia , con modificaciones)
- Imaginemos que está en el banco y el cajero le pide su nombre, contraseña y número de teléfono antes de darle dinero. Usted y el banco han acordado este procedimiento de seguridad para demostrar que es quien dice ser cuando retira dinero.
- Le da al cajero su nombre, contraseña y número de celular. En este banco, el siguiente paso del proceso es que el banco envíe a tu teléfono un código secreto que utilizará para confirmar su identidad.
- Mientras tanto, sin que usted lo sepa, alguien detrás de usted en la cola está escuchando a escondidas y ha oído su nombre y contraseña, y lo más importante, su código secreto .
- Después de salir del banco, el espía corre hacia el cajero y, mientras su código secreto aún es válido, retira lo último de sus fondos usando su nombre, contraseña y contraseña robados. código secreto .
Probablemente hayas detectado el punto débil del escenario anterior; la seguridad se vio comprometida en algún momento al establecer sus credenciales; no cuando sus credenciales estaban por encima, sino porque cuando saliste del banco tu código secreto todavía era válido . Si no hubiera sido así, su nombre, contraseña, número de teléfono celular y código secreto no habrían sido de utilidad para el espía.
Hay un giro en este cuento: el cajero y el espía están confabulados. De hecho, este cajero falso ha falsificado al cajero real (que salió a almorzar) y este es un ataque de hombre en el medio . Ambos delincuentes ahora tienen sus credenciales.
Este problema, como veremos, es lo que resuelve WPA3.
¿Cómo es vulnerable WPA2?
La principal vulnerabilidad en WPA2 es la apretón de manos de cuatro vías Se utiliza para proteger las conexiones wifi mediante un Clave precompartida (PSK) . (En WPA3, el PSK se reemplaza por un protocolo de enlace de autenticación simultánea de iguales (SAE).)
En esta sección, usaremos la analogía de la sección anterior para ayudar a ilustrar el problema.
Clave precompartida (PSK)
La parte inicial del control de seguridad por el que pasó en el banco en la analogía anterior se puede comparar vagamente con WPA2-PSK , autenticación lo que requiere que un individuo se conecte a una red wifi (pedir dinero en el banco en nuestra metáfora) usando una frase de contraseña. Un PSK se refiere a un ' secreto compartido ”, en este caso, una contraseña.
Notas:
- WPA2 sin PSK es una opción utilizada si desea utilizar un servidor de autenticación. Una empresa debería elegir esta opción si quiere asignar claves únicas a los dispositivos de los empleados. Si una clave se ve comprometida, la empresa solo necesitará generar una nueva clave para un dispositivo. Esto también evitaría que otros dispositivos se vieran comprometidos por una clave perdida o robada, lo que podría ocurrir si todos los dispositivos usaran la misma clave.
- Cuál es el diferencia entre WPA2-PSK y WPA2-Personal ? Los términos se usan indistintamente, aunque WPA2-Personal implica el uso de AES, mientras que WPA2-PSK implica una elección entre el antiguo TKIP y AES. Como se explica en un blog de cisco , algunos dispositivos permiten WPA con AES y WPA2 con TKIP. AES es opcional en WPA pero en WPA2, AES es obligatorio y TKIP es opcional. Ambos términos se refieren al uso de PSK que es lo que distingue a WPA2-Personal de WPA2-Enterprise.
Apretón de manos de cuatro vías
La autenticación de credenciales en telecomunicaciones se llama apretón de manos . En el banco, usted y el cajero intercambiaron un apretón de manos de tres pasos para establecer sus credenciales, siendo el código secreto el apretón de manos final del proceso.
Todas las redes wifi utilizan un apretón de manos de cuatro vías .
En la siguiente ilustración, el punto de acceso wifi falsificado es el cajero falso con el que trataste en el banco.
Ilustración de cómo un ataque KRACK intercepta un apretón de manos de cuatro vías (Fuente: Enís )
Dioniso Rowell , escribiendo para Paquete6 , explica: “El atacante falsificará un punto de acceso real y engañar a un cliente para que se una al punto de acceso fraudulento pero permite que se complete la autenticación Wi-Fi . Para llevar a cabo el ataque KRACK, el atacante reproducirá un mensaje dentro del protocolo de enlace de 4 vías. El error aquí es que el dispositivo de la víctima aceptará la repetición de uno de estos mensajes cuando no debería hacerlo. De este modo permitir al atacante utilizar una clave utilizada previamente . Una clave sólo debe usarse una vez y este es el defecto de los objetivos de ataque de KRACK”.
Dionicio continúa: “La solución técnica a un ataque KRACK es evitar la reutilización de valores nonce. Los dispositivos no deben aceptar claves utilizadas anteriormente .”
Lea una explicación más técnica de nuncio reuse por Mathy Vanhoef, investigadora de KRACK.
¿WPA3 es seguro? Claro, pero también hay mejoras en WPA2
El anuncio de WPA3 ha causado algunas reacciones, pero llevará algún tiempo implementarlo. Mientras tanto, también se implementarán algunas mejoras de WPA2:
- Imponer la adopción de marcos de gestión protegidos (PMF) en todos los dispositivos 'CERTIFICADOS Wi-Fi'
- Garantizar que los proveedores realicen controles periódicos de los dispositivos certificados (Fuentey: Comprometido )
- Estandarizando la suite criptográfica de 128 bits (Fuentey: Comprometido )
¿Cuáles son las dos versiones de WPA3?
WPA viene en dos versiones que se basan en los requisitos del usuario final (uso doméstico o comercial). A primera vista, no hay mucha diferencia entre WPA3-Personal y WPA3-Enterprise, aunque este último es más seguro como antes. diseñado para proteger datos ultrasensibles y grandes empresas.
Resumamos rápidamente las dos versiones tal como las describe el Alianza Wi-Fi . Para empezar, ambas versiones:
- Utilice los últimos métodos de seguridad
- No permitir protocolos heredados obsoletos
- Requerir el uso de marcos de gestión protegidos (PMF). 'Los marcos de acción de gestión de unidifusión están protegidos contra escuchas y falsificaciones, y los marcos de acción de gestión de multidifusión están protegidos contra falsificación', según Alianza Wi-Fi . En una palabra, Wikipedia describe los marcos de gestión como 'mecanismos que permiten la integridad de los datos, la autenticidad del origen de los datos y la protección de la reproducción'. Puedes encontrar una descripción técnica de cómo funcionan en el cisco sitio web.
WPA3-Personal
Esta versión proporciona autenticación basada en contraseña con buena seguridad incluso cuando los usuarios eligen contraseñas cortas o débiles. No requiere un servidor de autenticación y es el protocolo básico que utilizan los usuarios domésticos y las pequeñas empresas.
- Utiliza cifrado de 128 bits
- Hace uso de un protocolo de enlace de autenticación simultánea de iguales (SAE) que protege contra ataques de fuerza bruta.
- Incorpora Forward Secrecy, lo que significa que se genera un nuevo conjunto de claves de cifrado cada vez que se realiza una conexión WPA3, por lo que si la contraseña inicial se ve comprometida, no importará.
- Refuerza la seguridad en las redes públicas
- Gestiona fácilmente los dispositivos conectados
- Permite la selección natural de contraseñas, que según Wi-Fi Alliance facilitará a los usuarios recordar las frases de contraseña.
WPA3-Empresarial
Proporciona protección adicional para redes empresariales que transmiten datos confidenciales, por ejemplo, gobiernos, organizaciones de atención médica e instituciones financieras. Incluye un modo de seguridad opcional de intensidad mínima de 192 bits, alineado con el conjunto de algoritmos de seguridad nacional comercial (CNSA) del Comité de Sistemas de Seguridad Nacional. Esta fue una solicitud del gobierno de Estados Unidos.
La principal diferencia entre WPA3-Personal y WPA3-Enterprise está en el nivel de autenticación. La versión personal utiliza PSK y la versión Enterprise un cóctel de características que reemplazan IEEE 802.1X de WPA2-Enterprise. Visita Alianza Wi-Fi para la especificación técnica.
Para más Eric Geier , escribiendo para Prensa de Cisco , explica cómo las empresas pueden migrar a WPA3-Enterprise.
Nuevas funciones WPA3
Cuatro áreas de mejora
Cuatro nuevas funciones en WPA3 están diseñadas para mejorar WPA2. Sin embargo, Sólo uno de estos es obligatorio para la certificación WPA3: el apretón de manos del dragón. A continuación se muestra un breve resumen de las características principales. Entraremos en más detalles más adelante en esta sección.
- Apretón de manos más seguro – El protocolo de autenticación simultánea de iguales (SAE) (también conocido como protocolo de enlace Dragonfly) requiere una nueva interacción con la red cada vez que un dispositivo solicita una clave de cifrado, lo que ralentiza la velocidad de un intento de ataque y hace que la contraseña sea más resistente al diccionario y a la fuerza bruta. ataques. También evita el descifrado de datos sin conexión.
- Reemplazo de configuración protegida Wi-Fi (WPS) – una forma más sencilla de agregar de forma segura nuevos dispositivos a una red usando el Protocolo de aprovisionamiento de dispositivos Wi-Fi (DPP), que le permite agregar de forma segura nuevos dispositivos a una red usando un código QR o una contraseña.Conexión fácilhace que la configuración sea especialmente fácil para dispositivos domésticos conectados y de IoT.
- Cifrado no autenticado – Mejor protección al utilizar puntos de acceso públicos utilizandoWi-Fi mejorado abiertoque proporciona cifrado no autenticado, un estándar llamado Cifrado inalámbrico oportunista (OWE).
- Tamaños de clave de sesión más grandes – WPA3-Enterprise admitirá tamaños de clave equivalentes a la seguridad de 192 bits durante la etapa de autenticación, lo que será más difícil de descifrar.
Echemos un vistazo más detallado a la letanía de siglas mencionadas anteriormente.
Autenticación Simultánea de Iguales (SAE) contra ataques de fuerza bruta
SAE es un intercambio de claves seguro basado en contraseñas utilizado por la versión WPA3-Personal para proteger a los usuarios de ataques de fuerza bruta . Es muy adecuado para redes en malla, que reciben su nombre por la forma en que crean cobertura wifi. Comparitech describe la configuración de manera simple: “Al colocar varios dispositivos alrededor de su hogar, cada uno de los cuales envía una señal inalámbrica, crea una 'malla' o red de cobertura inalámbrica alrededor de su hogar. Esto ayuda a eliminar los puntos muertos o débiles”.
Los beneficios de SAE:
- Basado en el Intercambio de claves IEFT Dragonfly , un modelo criptográfico para la autenticación mediante una contraseña o frase de contraseña, que es resistente a ataques activos y pasivos, y a ataques de diccionario fuera de línea.
- Habilita Secreto directo que impide que un atacante grabe una transmisión cifrada que potencialmente podría decodificarse más adelante si la contraseña de la red inalámbrica se ve comprometida en el futuro
- Sólo permite una adivinanza de contraseña por sesión . Incluso si los atacantes roban datos con la esperanza de descifrar la contraseña en su tiempo libre fuera de línea, se verán obstaculizados por la función de una sola adivinanza porque tienen que 'preguntar' al enrutador wifi cada vez si su suposición fue correcta. Básicamente, esto limita al atacante a realizar ataques en tiempo real. Ha habido dudas sobre si esta característica podría limitar también a los usuarios legítimos. En el mundo real, es poco probable que los usuarios legítimos realicen 100 conjeturas automáticas consecutivas en un segundo, al igual que los piratas informáticos, y se puede codificar una aplicación para permitir un número limitado de conjeturas antes de que empiece a ralentizar el servicio. Esta característica también refuerza la seguridad de las contraseñas débiles.
Protocolo de aprovisionamiento de dispositivos (DPP) para gestionar redes y dispositivos IoT
Wi-Fi CERTIFICADO Easy Connect™(que reemplaza el servicio de aprovisionamiento WiFi de WPA2) te ayuda a conectar todos tus dispositivos, incluso aquellos que no tienen una interfaz fácil de usar para ingresar tu contraseña (por ejemplo, Google Home o tu refrigerador inteligente), usando un solo dispositivo intermedio.
Alianza Wi-Fi describe cómo funciona: El propietario de una red elige un dispositivo como punto central de configuración. Si bien un dispositivo con una buena GUI es lo más fácil, puede usar cualquier dispositivo capaz de escanear un código de respuesta rápida (QR) o usar NFC como dispositivo configurador. ejecutando el PPD – un procedimiento de inscripción único para todos: desde este dispositivo se conectan todos los dispositivos escaneados y les proporciona las credenciales necesarias para acceder a la red. Nota: Esta es una característica opcional y solo está disponible en dispositivos conConexión fácil.
Una vez registrado un dispositivo Wi-Fi, utiliza su configuración para descubrir y conectarse a la red a través de un punto de acceso (Fuente: Alianza Wi-Fi )
Cifrado inalámbrico oportunista (OWE) para una navegación más segura en puntos de acceso
OWE es el motor detrás delWiFi mejorado abiertocaracterística, implementada para proteger a los usuarios en puntos de acceso públicos/invitados y evitar escuchas ilegales . Reemplaza el viejo 802.11 estándar de autenticación “abierto”. Con OWE, sus datos están encriptados incluso si no ha ingresado una contraseña. Fue diseñado para proporcionar transferencia y comunicación de datos cifradas en redes que no usan contraseñas (o usan una contraseña compartida) mediante Protección de datos individualizada (IDP); en esencia, cada sesión autorizada tiene su propio token de cifrado . Esto significa que los datos de cada usuario están protegidos en su propia bóveda. Pero también funciona en redes protegidas con contraseña, lo que garantiza que si un atacante consigue la contraseña de la red, seguirá sin tener acceso a los datos cifrados en los dispositivos de la red (consulte SAE más arriba).
¿Eres vulnerable a KRACK?
No todo es pesimismo. Cualquiera que utilice wifi es vulnerable, pero pongamos el problema en perspectiva. Un pirata informático sólo puede interceptar el tráfico no cifrado entre su dispositivo y su enrutador. Si los datos se han cifrado correctamente mediante HTTPS, un atacante no podrá leerlos.
Alguna tranquilidad de Brendan Fitzpatrick, vicepresidente de ingeniería de riesgos cibernéticos, que escribe para Axio:
- Un ataque no se puede lanzar de forma remota, el atacante debe estar dentro del alcance físico de una red wifi en particular.
- Un ataque sólo se produce durante el apretón de manos de cuatro vías.
- La frase de contraseña wifi no se revela durante el ataque y el atacante no puede unirse a la red.
- Sólo si el ataque tiene éxito el atacante podrá descifrar el tráfico entre la víctima y su punto de acceso.
- Actualmente, el ataque se centra únicamente en el lado del cliente del protocolo de enlace.
en un entrada en el blog , Roberto Graham notas, KRACK 'no puede vencer a SSL/TLS o VPN'. Y añade: “Su red doméstica es vulnerable. Muchos dispositivos usarán SSL/TLS, por lo que están bien, como su Amazon Echo, que puede continuar usando sin preocuparse por este ataque. Es posible que otros dispositivos, como las bombillas Phillips, no estén tan protegidos”. ¿La solución? Parche con actualizaciones de su proveedor.
¿Qué software y dispositivos son vulnerables a KRACK?
De acuerdo a Matty Vanhoef , Android, Linux, Apple, Windows, OpenBSD, MediaTek, Linksys y otros, podrían verse afectados por alguna variante de los ataques. Las versiones de Linux y Android 6.0 y superiores son particularmente vulnerables.
Puede encontrar una lista de proveedores afectados en la página web del Cert Software Engineering Institute. Base de datos de notas de vulnerabilidad . El sitio proporciona enlaces a información de proveedores sobre parches y correcciones.
¿Qué tipo de vulnerabilidades de ataque exponen las redes insuficientemente seguras?
No es sólo el peligro de sufrir KRACK. Una red wifi no segura está pidiendo a gritos ser atacada y WPA3 ayudará a mitigar estos riesgos. Certificado de EE. UU. describe los posibles escenarios de ataque:
- Llevando a cuestas – El alcance típico de wifi en interiores es de 150 a 300 pies. Si vives cerca de tu vecino, tu conexión podría estar abierta a atacantes... o incluso al hijo geek de al lado que usa tu wifi para descargar sus películas.
- Conduciendo – Un tipo de transporte a cuestas en el que atacantes potenciales conducen por vecindarios con una antena en busca de redes inalámbricas no seguras.
- Ataques de gemelos malvados – En un ataque gemelo malvado, un atacante imita un punto de acceso a una red pública, configurando su señal de transmisión para que sea más fuerte que la generada por el punto de acceso legítimo. Naturalmente, los usuarios se conectan a la señal más potente, la del delincuente. Luego, el pirata informático lee fácilmente los datos de la víctima. Siempre verifique el nombre y la contraseña de un punto de acceso wifi antes de conectarse.
- Olfateo inalámbrico – Evite los puntos de acceso públicos que no sean seguros y donde los datos no estén cifrados. Los delincuentes utilizan “ rastreadores ”para encontrar información confidencial como contraseñas o números de tarjetas de crédito.
- Acceso no autorizado a la computadora – Un punto de acceso no seguro podría permitir que un atacante acceda a cualquier directorio y archivo que usted haya puesto a disposición para compartir sin querer. Bloquee siempre el intercambio de archivos en público.
- surf de hombro – En las zonas públicas, tenga cuidado con los merodeadores y atacantes que le observan escribir mientras pasan o graban su sesión. Puedes comprar un protector de pantalla para evitar esto.
Robo de dispositivos móviles – No es sólo la red la que supone un riesgo para sus datos. Si le roban el dispositivo mientras trabaja en un punto de acceso, es un día de bonanza para los delincuentes. Asegúrese de que sus datos estén siempre protegidos con contraseña y que la información confidencial esté cifrada. Eso incluye datos en dispositivos de almacenamiento portátiles.
Algunas precauciones
Palabras de advertencia de quienes encontraron la falla de KRACK
Mathy Vanhoef, investigador postdoctoral en seguridad informática en KU Leuven y uno de los investigadores que descubrió KRACK, en su sitio web tiene algunas observaciones de advertencia sobre WPA3 que vale la pena considerar.
- apretón de manos SAE – Si el protocolo de enlace SAE no se implementa con cuidado, puede ser vulnerable a ataques de canal lateral , que Wikipedia describe como ataques basados en información sobre una implementación de software. Parece que las vulnerabilidades explotables que surgen de configuraciones incorrectas no pueden evitarse ni siquiera con WPA3.
- Cifrado no autenticado – Si bien el uso de cifrado inalámbrico oportunista (OWE) fortalecerá la privacidad del usuario en redes abiertas, Vanhoef sugiere que sólo se pueden prevenir los ataques pasivos (aquellos en los que los piratas informáticos husmean el tráfico). Los ataques activos (los que utilizan puntos de acceso ficticios para engañar a los usuarios) seguirán permitiendo al adversario interceptar el tráfico. Vanhoef explica:
Una deficiencia de OWE es que no existe ningún mecanismo para confiar en un punto de acceso en el primer uso. . Compare esto con, por ejemplo, SSH: la primera vez que se conecta a un servidor SSH, puede confiar en la clave pública del servidor. Esto evita que un adversario intercepte el tráfico en el futuro. Sin embargo, con OWE no existe la opción de confiar en un AP en particular en el primer uso. Entonces, incluso si te conectaste a un AP en particular anteriormente, un adversario aún puede configurar un AP falso y obligarte a conectarte a él en el futuro.
- Oportunidad perdida – Sólo una de las cuatro características promocionadas por Wi-Fi Alliance en la preparación de WPA3 es realmente obligatoria para WPA3. “Desafortunadamente, el programa de certificación WPA3 solo exige la compatibilidad con el nuevo protocolo de enlace Dragonfly. Eso es todo. Las otras funciones son opcionales o forman parte de otros programas de certificación. Me temo que en la práctica esto significa que los fabricantes simplemente implementarán el nuevo protocolo de enlace, le colocarán una etiqueta de “certificación WPA3” y terminarán de una vez”, dice Vanhoef. El resultado final será que el usuario final no sabe realmente qué funciones se incluyen y qué tan seguras son.
¿Qué tienen que decir los cínicos, incluidos los desarrolladores de TI, sobre WPA3?
Únase a las conversaciones en El blog de Bruce Schneiner. , DD-WRT , Intercambio de pila de seguridad , o Especias comunitarias para obtener información interesante sobre si WPA3 es realmente la panacea definitiva para las vulnerabilidades de seguridad wifi. Y si vale la pena pasar demasiado tiempo durmiendo en la vulnerabilidad. Algunas contribuciones:
- “Sospecho que WPA3 ayudará. Por un momento - Hasta que los chicos malos encuentren otro agujero. .”
- 'A gran flujo de ingresos para los proveedores de hardware quién dejará de parchear el equipo actual e insistirá en que compre los nuevos WAP si quiere WPA3”.
- “El aspecto más decepcionante de WPA3 es que, como todos los estándares wifi anteriores (WEP, WPA, WPA2 e incluso WPS), éste ha sido desarrollado por un consorcio cerrado, exclusivo de miembros […] Todo lo que promete el anuncio de WPA3 es que el proceso cerrado en WPA4 ahora puede comenzar”.
- “ El vector de ataque que utiliza KRACK es simplemente demasiado pequeño (y seguirá disminuyendo) para que estos ataques se generalicen”. Las redes abiertas, por ejemplo, no son vulnerables a KRACK, pero corren mucho más riesgo de sufrir ataques maliciosos que las redes WPA2. Al momento de escribir este artículo, de hecho, no se ha documentado ningún ataque KRACK; Según los expertos, esto se debe a que el esfuerzo es demasiado grande para los ciberdelincuentes cuando hay tantos objetivos más fáciles a su alrededor.
En esa nota cínica, practique wifi seguro, manténgase informado y comience a ahorrar para un nuevo enrutador . De acuerdo a Dion Phillips , escribiendo para Puerta Infinita , “… es dudoso que los dispositivos inalámbricos actuales se actualicen para admitir WPA3 y es mucho más probable que la próxima ola de dispositivos pase por el proceso de certificación. Dicho esto, los dispositivos de los clientes también deberán estar certificados de la misma manera para poder aprovechar la nueva certificación”.
Expertos Estoy de acuerdo en que el lanzamiento será a finales de 2019. Tendrá que comprar un nuevo enrutador, pero WPA3 es compatible con versiones anteriores, por lo que es posible que no necesite actualizar todos sus dispositivos conectados, a menos que sean muy antiguos.
¿Cómo puedes protegerte?
¿Cómo pueden protegerse las empresas? (Resuelto)
Mateo Hughes tiene algunas sugerencias prácticas atenuadas con algunas palabras de precaución.
- Instalar un parche compatible con versiones anteriores – Desafortunadamente, dice Hughes, muchas personas no solo tardan en instalar parches s, muchos fabricantes tardan en emitirlos.
- Instalar un vpn , un túnel cifrado entre dispositivos que evita las escuchas de personas externas. Para algunas personas, afirma, esto puede resultar poco práctico ya que no podrán acceder a otros dispositivos conectados en su red.
- Usar SSL/TLS – Esto proporciona una capa adicional de cifrado para frustrar a los ladrones y espías, ya que cifra los paquetes en la capa de sesión en lugar de en la capa de red (que podría ser el objetivo de los atacantes de KRACK).
- Actualizar dispositivos y software – Asegúrese de que su departamento de TI implemente actualizaciones y parches de software periódicos para todos los dispositivos de la empresa, incluidos los BYOD. Comuníquese con los fabricantes para asegurarse de que realmente hayan emitido parches que solucionen la falla de KRACK.
Además, Asegure su enrutador – Asegúrese de que su enrutador esté bajo llave, a salvo de amenazas internas o de personas externas que visiten el edificio. También hay una serie de valores predeterminados en su enrutador que puede cambiar para reforzar la seguridad, p. restringir el tráfico entrante, deshabilitar servicios no utilizados, cambiar la información de inicio de sesión predeterminada y cambiar el SSID en dispositivos más antiguos. Verifique que el firewall de su enrutador esté habilitado (no siempre se hace automáticamente). Utilice SSID para crear puntos de acceso separados para su personal y sus clientes. Desactive la configuración protegida WiFi (WPS), que se utiliza para ayudar con el emparejamiento de dispositivos.
Lea también los consejos relacionados para redes domésticas a continuación.
Consejos de seguridad Wifi para redes domésticas y dispositivos IoT (Resuelto)
- Practica el sentido básico de seguridad wifi – Lea la guía de Comparitech para proteger la red wifi de tu hogar .
- Deja de usar wifi – Conéctese a Internet a través de una conexión Ethernet o de datos (3/4G) en casa, o utilice datos móviles, especialmente para transacciones sensibles.
- Actualizar dispositivos y software – Eso incluye todos sus dispositivos, así como su enrutador. Comuníquese con los fabricantes para asegurarse de que realmente hayan emitido parches que solucionen la falla de KRACK.
- Desactivar el uso compartido de archivos – Si bien es tentador compartir fotos con amigos y familiares, trate de evitar hacerlo en un lugar público. También debes crear un directorio para compartir archivos y restringir el acceso a otros directorios. Proteja siempre con contraseña todo lo que comparta.
- No realice transacciones sensibles en lugares públicos – Realiza tus operaciones bancarias online desde casa.
- Instale HTTPS en todas partes – HTTPS en todas partes de Electronic Frontier Foundation (EFF) es una extensión de código abierto para Firefox, Chrome y Opera que cifra las comunicaciones con la mayoría de los sitios web. La extensión no es una opción a prueba de fallos si un sitio web no ofrece cifrado HTTPS, pero si está disponible, HTTPS Everywhere se asegurará de que este sea el contenido que ofrece.
- Usar una vpn – Si bien las VPN brindan una gran seguridad para sus datos, asegúrese de que su proveedor sea tan consciente de la seguridad como usted y reconozca su derecho a la privacidad. Reportado por Bryan Clark en El próximo artículo web , PureVPN, que afirmó que no mantiene registros ni información de identificación de sus usuarios, misteriosamente parecía haber obtenido suficiente información registrada para permitir al FBI rastrear y arrestar a un acosador. ¿Su VPN mantiene registros? En un estudio en profundidad, Comparitech revela la verdad sobre 123 políticas de registro de VPN.
- Configurar un enrutador wifi doméstico – Un enrutador virtual le permite compartir su conexión a Internet con otros dispositivos cercanos. Es más fácil de lo que piensas, similar a configurar un punto de acceso wifi en tu teléfono inteligente.
- Asegure su enrutador – Hay una serie de valores predeterminados en su enrutador que puede cambiar para reforzar la seguridad, p. restringir el tráfico entrante, deshabilitar servicios no utilizados y cambiar el SSID en dispositivos más antiguos.
- Confirma que tu ISP esté actualizado – Muchos usuarios de wifi doméstico utilizan el enrutador proporcionado por su ISP. Si lo hace, confirme que su ISP haya parcheado todos sus dispositivos.
- Evite los puntos de acceso wifi públicos – O, al menos, aprenda cómo minimizar los riesgos de utilizar wifi público.
- Verifique manualmente que las URL sean seguras – Las URL HTTP utilizan cifrado SSL para proteger a los visitantes de su sitio. Las URL HTTP no. Puede ver si una URL es segura en la barra de direcciones. Además, habilite elUtilice siempre una conexión segura(HTTPS) en su dispositivo.
- Utilice contraseñas seguras – Comparitech tiene algunas sugerencias sobre creando contraseñas seguras . Cambie siempre las contraseñas predeterminadas, como 'Admin' o '123'.
- Mantenga el software antivirus actualizado – Elija un software antivirus de buena reputación y manténgalo actualizado. También existen muchas aplicaciones antivirus gratuitas.
- Apágalo - Apaga tu conexión wifi cuando no lo estés utilizando y desactivar la reconexión automática.
- Utilice seguridad multicapa – Mantenga actualizado y utilice el firewall de su sistema operativo Autenticación de dos factores para acceder a sus cuentas de Internet.
- Utilice el cifrado del Estándar de cifrado avanzado (AES) – Comprueba que tu red doméstica utiliza WPA2 con cifrado AES , no TKIP. Ambas opciones de cifrado son vulnerables al descifrado del tráfico mediante KRACK, pero AES no es vulnerable a la inyección de paquetes.
¿Necesito WPA3?
Es mejor prevenir que lamentar, así que sí, lo haces. Pero durante el período de transición (el período en el que los proveedores certificarán sus dispositivos) puede parchear WPA2.
Cambiar su contraseña WPA2 no lo protegerá contra un ataque KRACK que se centra en la gestión de claves. Sin embargo, desde el punto de vista de la seguridad tiene sentido elegir siempre contraseñas seguras.
Pero ¿es suficiente?
Juan Wu , en un artículo en LinkedIn , dice que WPA3 no es suficiente para garantizar la seguridad wifi total porque los piratas informáticos utilizan otros métodos para atacar los métodos wifi. 'El reciente Virus VPNFilter no aprovecha ninguna de las deficiencias de WPA2. En cambio, el ataque se dirige a vulnerabilidades conocidas en la interfaz web de los enrutadores WiFi, puertos remotos que están abiertos con contraseñas codificadas, software que no está actualizado y dispositivos IoT conectados vulnerables”.
¿La solución? Utilice las listas de verificación anteriores sobre cómo proteger sus conexiones wifi como guía para crear una enfoque en capas para la seguridad wifi . ¿Primero de la lista? Manténgase actualizado con parches.