Acceso protegido Wi-Fi ( WPA ), Acceso protegido Wi-Fi 2 ( WPA2 ) y Acceso protegido Wi-Fi 3 ( WPA3 ) son los tres programas de certificación de seguridad desarrollados después del año 2000 por Wi-Fi Alliance para proteger las redes informáticas inalámbricas. La Alianza los definió en respuesta a graves debilidades que los investigadores habían encontrado en el sistema anterior, Wired Equivalent Privacy (WEP). [1]
WPA (a veces denominado estándar TKIP) estuvo disponible en 2003. La Wi-Fi Alliance lo concibió como una medida intermedia en anticipación de la disponibilidad del más seguro y complejo WPA2, que estuvo disponible en 2004 y es una abreviatura común de el estándar IEEE 802.11i (o IEEE 802.11i-2004 ) completo .
En enero de 2018, Wi-Fi Alliance anunció el lanzamiento de WPA3, que tiene varias mejoras de seguridad con respecto a WPA2. [2]
A partir de 2023, la mayoría de las computadoras que se conectan a una red inalámbrica son compatibles con el uso de WPA, WPA2 o WPA3.
WEP (Wired Equivalent Privacy) fue uno de los primeros protocolos de cifrado para redes inalámbricas, diseñado para proteger las conexiones WLAN. Admitía claves de 60 y 128 bits, combinando bits configurables por el usuario y configurados de fábrica. WEP utilizó el algoritmo RC4 para cifrar datos, creando una clave única para cada paquete combinando un nuevo vector de inicialización (IV) con una clave compartida. El descifrado implicó revertir este proceso, utilizando el IV y la clave compartida para generar un flujo de claves y descifrar la carga útil. A pesar de su uso inicial, las importantes vulnerabilidades de WEP llevaron a la adopción de protocolos más seguros. [3]
La Wi-Fi Alliance pretendía que WPA fuera una medida intermedia para reemplazar a WEP en espera de la disponibilidad del estándar IEEE 802.11i completo . WPA podría implementarse mediante actualizaciones de firmware en tarjetas de interfaz de red inalámbrica diseñadas para WEP que comenzaron a distribuirse ya en 1999. Sin embargo, dado que los cambios requeridos en los puntos de acceso inalámbricos (AP) fueron más extensos que los necesarios en las tarjetas de red, la mayoría Los AP anteriores a 2003 no se podían actualizar para admitir WPA.
El protocolo WPA implementa el Protocolo de integridad de clave temporal (TKIP). WEP utilizó una clave de cifrado de 64 o 128 bits que debe ingresarse manualmente en los puntos y dispositivos de acceso inalámbrico y no cambia. TKIP emplea una clave por paquete, lo que significa que genera dinámicamente una nueva clave de 128 bits para cada paquete y así previene los tipos de ataques que comprometieron WEP. [4]
WPA también incluye una verificación de integridad de mensajes , que está diseñada para evitar que un atacante altere y reenvíe paquetes de datos. Esto reemplaza la verificación de redundancia cíclica (CRC) que utilizaba el estándar WEP. El principal defecto de CRC fue que no proporcionó una garantía de integridad de datos suficientemente sólida para los paquetes que manejaba. [5] Existían códigos de autenticación de mensajes bien probados para resolver estos problemas, pero requerían demasiado cálculo para usarse en tarjetas de red antiguas. WPA utiliza un algoritmo de verificación de integridad de mensajes llamado TKIP para verificar la integridad de los paquetes. TKIP es mucho más potente que un CRC, pero no tanto como el algoritmo utilizado en WPA2. Desde entonces, los investigadores han descubierto una falla en WPA que se basaba en debilidades anteriores de WEP y las limitaciones de la función hash del código de integridad del mensaje, llamada Michael , para recuperar el flujo de claves de paquetes cortos para usarlo en reinyección y suplantación de identidad . [6] [7]
Ratificado en 2004, WPA2 reemplazó a WPA. WPA2, que requiere pruebas y certificación por parte de Wi-Fi Alliance, implementa los elementos obligatorios de IEEE 802.11i. En particular, incluye soporte para CCMP , un modo de cifrado basado en AES . [8] [9] [10] La certificación comenzó en septiembre de 2004. Desde el 13 de marzo de 2006 hasta el 30 de junio de 2020, la certificación WPA2 fue obligatoria para todos los dispositivos nuevos que llevaran la marca registrada Wi-Fi. [11] En las WLAN protegidas por WPA2, la comunicación segura se establece mediante un proceso de varios pasos. Inicialmente, los dispositivos se asocian con el punto de acceso (AP) mediante una solicitud de asociación. A esto le sigue un protocolo de enlace de 4 vías, un paso crucial que garantiza que tanto el cliente como el AP tengan la clave precompartida (PSK) correcta sin tener que transmitirla. Durante este protocolo de enlace, se genera una clave transitoria por pares (PTK) para el intercambio de datos seguro. [12]
WPA2 emplea el estándar de cifrado avanzado AES con una clave de 128 bits, lo que mejora la seguridad a través del protocolo CCMP Counter-Mode/CBC-Mac . Este protocolo garantiza un cifrado sólido y la integridad de los datos, utilizando diferentes vectores de inicialización (IV) para fines de cifrado y autenticación. [13]
El protocolo de enlace de 4 vías implica:
Después del protocolo de enlace, la PTK establecida se utiliza para cifrar el tráfico de unidifusión y la clave temporal de grupo (GTK) se utiliza para el tráfico de difusión. Este mecanismo integral de autenticación y cifrado es lo que hace que WPA2 sea un estándar de seguridad sólido para redes inalámbricas. [15]
En enero de 2018, Wi-Fi Alliance anunció WPA3 como reemplazo de WPA2. [16] [17] La certificación comenzó en junio de 2018, [18] y la compatibilidad con WPA3 ha sido obligatoria para los dispositivos que llevan el logotipo "Wi-Fi CERTIFIED™" desde julio de 2020. [19]
El nuevo estándar utiliza una potencia criptográfica equivalente de 192 bits en modo WPA3-Enterprise [20] ( AES-256 en modo GCM con SHA-384 como HMAC ), y aún exige el uso de CCMP-128 ( AES-128 en modo CCM). ) como algoritmo de cifrado mínimo en modo WPA3-Personal. TKIP no está permitido en WPA3.
El estándar WPA3 también reemplaza el intercambio de clave precompartida (PSK) con el intercambio de autenticación simultánea de iguales (SAE), un método introducido originalmente con IEEE 802.11s , lo que resulta en un intercambio de clave inicial más seguro en modo personal [21] [22] y secreto directo . [23] La Wi-Fi Alliance también dice que WPA3 mitigará los problemas de seguridad planteados por contraseñas débiles y simplificará el proceso de configuración de dispositivos sin interfaz de pantalla. [2] [24] WPA3 también admite cifrado inalámbrico oportunista (OWE) para Wi-Fi abierto sin contraseña.
Las especificaciones WPA3 también exigen la protección de los marcos de gestión como se especifica en la enmienda IEEE 802.11w .
WPA ha sido diseñado específicamente para funcionar con hardware inalámbrico producido antes de la introducción del protocolo WPA, [25] que proporciona una seguridad inadecuada a través de WEP . Algunos de estos dispositivos admiten WPA solo después de aplicar actualizaciones de firmware, que no están disponibles para algunos dispositivos heredados. [25]
Los dispositivos Wi-Fi certificados desde 2006 admiten los protocolos de seguridad WPA y WPA2. Se requiere WPA3 desde el 1 de julio de 2020. [19]
Se pueden distinguir diferentes versiones de WPA y mecanismos de protección según el usuario final de destino (como WEP, WPA, WPA2, WPA3) y el método de distribución de la clave de autenticación, así como el protocolo de cifrado utilizado. A partir de julio de 2020, WPA3 es la última versión del estándar WPA, que ofrece funciones de seguridad mejoradas y aborda las vulnerabilidades encontradas en WPA2. WPA3 mejora los métodos de autenticación y emplea protocolos de cifrado más potentes, lo que lo convierte en la opción recomendada para proteger las redes Wi-Fi. [26]
Este modo empresarial utiliza un servidor 802.1X para la autenticación, lo que ofrece un mayor control de seguridad al reemplazar el vulnerable WEP con el cifrado TKIP más avanzado. TKIP garantiza la renovación continua de las claves de cifrado, lo que reduce los riesgos de seguridad. La autenticación se realiza a través de un servidor RADIUS , lo que proporciona una seguridad sólida, especialmente vital en entornos corporativos. Esta configuración permite la integración con los procesos de inicio de sesión de Windows y admite varios métodos de autenticación, como el Protocolo de autenticación extensible , que utiliza certificados para una autenticación segura, y PEAP, que crea un entorno protegido para la autenticación sin necesidad de certificados de cliente [31].
Originalmente, sólo EAP-TLS ( Protocolo de autenticación extensible - Seguridad de la capa de transporte ) estaba certificado por la alianza Wi-Fi. En abril de 2010, Wi-Fi Alliance anunció la inclusión de tipos EAP [33] adicionales en sus programas de certificación WPA y WPA2-Enterprise. [34] Esto fue para garantizar que los productos certificados WPA-Enterprise puedan interoperar entre sí.
A partir de 2010, [actualizar]el programa de certificación incluye los siguientes tipos de EAP:
Los clientes y servidores 802.1X desarrollados por empresas específicas pueden admitir otros tipos de EAP. Esta certificación es un intento de que los tipos populares de EAP interoperen; el hecho de que no lo hayan hecho a partir de 2013 [actualizar]es uno de los principales problemas que impiden la implementación de 802.1X en redes heterogéneas.
Los servidores comerciales 802.1X incluyen Microsoft Network Policy Server y Juniper Networks Steelbelted RADIUS, así como el servidor Aradial Radius. [36] FreeRADIUS es un servidor 802.1X de código abierto.
Las claves precompartidas WPA y WPA2 siguen siendo vulnerables a ataques de descifrado de contraseñas si los usuarios confían en una contraseña o frase de contraseña débil . Los hashes de frase de contraseña WPA se generan a partir del nombre SSID y su longitud; Existen tablas Rainbow para los 1000 SSID de red principales y una multitud de contraseñas comunes, que solo requieren una búsqueda rápida para acelerar el descifrado de WPA-PSK. [37]
Se puede intentar la fuerza bruta de contraseñas simples utilizando Aircrack Suite a partir del protocolo de enlace de autenticación de cuatro vías intercambiado durante la asociación o la reautenticación periódica. [38] [39] [40] [41] [42]
WPA3 reemplaza los protocolos criptográficos susceptibles de análisis fuera de línea con protocolos que requieren interacción con la infraestructura para cada contraseña adivinada, supuestamente imponiendo límites temporales al número de conjeturas. [16] Sin embargo, las fallas de diseño en WPA3 permiten a los atacantes lanzar ataques de fuerza bruta de manera plausible (consulte Ataque Dragonblood).
WPA y WPA2 no proporcionan secreto directo , lo que significa que una vez que una persona adversa descubre la clave previamente compartida, puede potencialmente descifrar todos los paquetes cifrados utilizando ese PSK transmitido en el futuro e incluso en el pasado, que el atacante podría recopilar de forma pasiva y silenciosa. . Esto también significa que un atacante puede capturar y descifrar silenciosamente los paquetes de otros si se proporciona un punto de acceso protegido por WPA de forma gratuita en un lugar público, porque su contraseña generalmente se comparte con cualquier persona en ese lugar. En otras palabras, WPA sólo protege de atacantes que no tienen acceso a la contraseña. Por eso, es más seguro utilizar Transport Layer Security (TLS) o similar para la transferencia de datos confidenciales. Sin embargo, a partir de WPA3, este problema se ha solucionado. [23]
En 2013, Mathy Vanhoef y Frank Piessens [43] mejoraron significativamente los ataques WPA-TKIP de Erik Tews y Martin Beck. [44] [45] Demostraron cómo inyectar un número arbitrario de paquetes, y cada paquete contenía como máximo 112 bytes de carga útil. Esto se demostró mediante la implementación de un escáner de puertos , que se puede ejecutar contra cualquier cliente que utilice WPA-TKIP . Además, mostraron cómo descifrar paquetes arbitrarios enviados a un cliente. Mencionaron que esto se puede usar para secuestrar una conexión TCP , lo que permite a un atacante inyectar JavaScript malicioso cuando la víctima visita un sitio web. Por el contrario, el ataque Beck-Tews sólo pudo descifrar paquetes cortos con contenido mayoritariamente conocido, como mensajes ARP , y sólo permitió la inyección de 3 a 7 paquetes de como máximo 28 bytes. El ataque Beck-Tews también requiere que se habilite la calidad de servicio (como se define en 802.11e ), mientras que el ataque Vanhoef-Piessens no. Ninguno de los ataques conduce a la recuperación de la clave de sesión compartida entre el cliente y el punto de acceso . Los autores afirman que el uso de un breve intervalo de cambio de claves puede prevenir algunos ataques, pero no todos, y recomiendan encarecidamente cambiar de TKIP a CCMP basado en AES .
Halvorsen y otros muestran cómo modificar el ataque Beck-Tews para permitir la inyección de 3 a 7 paquetes con un tamaño máximo de 596 bytes. [46] La desventaja es que su ataque requiere mucho más tiempo para ejecutarse: aproximadamente 18 minutos y 25 segundos. En otro trabajo, Vanhoef y Piessens demostraron que, cuando se utiliza WPA para cifrar paquetes de transmisión, también se puede ejecutar su ataque original. [47] Esta es una extensión importante, ya que sustancialmente más redes usan WPA para proteger paquetes de transmisión que para proteger paquetes de unidifusión . El tiempo de ejecución de este ataque es de unos 7 minutos de media, en comparación con los 14 minutos del ataque original de Vanhoef-Piessens y Beck-Tews.
Las vulnerabilidades de TKIP son importantes porque antes se consideraba que WPA-TKIP era una combinación extremadamente segura; de hecho, WPA-TKIP sigue siendo una opción de configuración en una amplia variedad de dispositivos de enrutamiento inalámbrico proporcionados por muchos proveedores de hardware. Una encuesta realizada en 2013 mostró que el 71% todavía permite el uso de TKIP y el 19% admite exclusivamente TKIP. [43]
Stefan Viehböck reveló en diciembre de 2011 un fallo de seguridad más grave que afecta a los enrutadores inalámbricos con la función de configuración protegida Wi-Fi (WPS), independientemente del método de cifrado que utilicen. Los modelos más recientes tienen esta función y la habilitan de forma predeterminada. Muchos fabricantes de dispositivos Wi-Fi de consumo habían tomado medidas para eliminar el potencial de opciones de frases de contraseña débiles mediante la promoción de métodos alternativos para generar y distribuir automáticamente claves seguras cuando los usuarios agregan un nuevo adaptador o dispositivo inalámbrico a una red. Estos métodos incluyen presionar botones en los dispositivos o ingresar un PIN de 8 dígitos .
La Wi-Fi Alliance estandarizó estos métodos como Configuración protegida de Wi-Fi; sin embargo, la función PIN, tan ampliamente implementada, introdujo una nueva falla de seguridad importante. El fallo permite a un atacante remoto recuperar el PIN WPS y, con él, la contraseña WPA/WPA2 del router en unas pocas horas. [48] Se ha instado a los usuarios a desactivar la función WPS, [49] aunque esto puede no ser posible en algunos modelos de enrutadores. Además, el PIN está escrito en una etiqueta en la mayoría de los enrutadores Wi-Fi con WPS, que no se puede cambiar si se ve comprometido.
En 2018, Wi-Fi Alliance introdujo Wi-Fi Easy Connect [50] como una nueva alternativa para la configuración de dispositivos que carecen de capacidades de interfaz de usuario suficientes, al permitir que los dispositivos cercanos sirvan como una interfaz de usuario adecuada para fines de aprovisionamiento de red, mitigando así la necesidad de WPS. [51]
Se han encontrado varias debilidades en MS-CHAPv 2, algunas de las cuales reducen gravemente la complejidad de los ataques de fuerza bruta, haciéndolos viables con hardware moderno. En 2012, la complejidad de romper MS-CHAPv2 se redujo a la de romper una única clave DES (trabajo de Moxie Marlinspike y Marsh Ray). Moxie aconsejó: "Las empresas que dependen de las propiedades de autenticación mutua de MS-CHAPv2 para conectarse a sus servidores WPA2 Radius deberían comenzar inmediatamente a migrar a otra cosa". [52]
Los métodos EAP en túnel que utilizan TTLS o PEAP que cifran el intercambio MSCHAPv2 se implementan ampliamente para proteger contra la explotación de esta vulnerabilidad. Sin embargo, las implementaciones de clientes WPA2 predominantes a principios de la década de 2000 eran propensas a una mala configuración por parte de los usuarios finales o, en algunos casos (por ejemplo, Android ), carecían de una forma accesible para el usuario de configurar correctamente la validación de los CN de certificados de servidor AAA. Esto amplió la relevancia de la debilidad original en MSCHAPv2 dentro de los escenarios de ataque MiTM . [53] Según las pruebas de cumplimiento más estrictas para WPA2 anunciadas junto con WPA3, el software de cliente certificado deberá ajustarse a ciertos comportamientos relacionados con la validación de certificados AAA. [dieciséis]
Hole196 es una vulnerabilidad en el protocolo WPA2 que abusa de la clave temporal de grupo (GTK) compartida. Se puede utilizar para realizar ataques de intermediario y de denegación de servicio . Sin embargo, se supone que el atacante ya está autenticado en el punto de acceso y, por tanto, en posesión de la GTK. [54] [55]
En 2016 se demostró que los estándares WPA y WPA2 contienen un generador de números aleatorios expositivo (RNG) inseguro. Los investigadores demostraron que, si los proveedores implementan el RNG propuesto, un atacante puede predecir la clave de grupo (GTK) que se supone que el punto de acceso (AP) genera aleatoriamente. Además, demostraron que la posesión del GTK permite al atacante inyectar cualquier tráfico en la red y le permitió descifrar el tráfico de Internet de unidifusión transmitido a través de la red inalámbrica. Demostraron su ataque contra un enrutador Asus RT-AC51U que utiliza los controladores fuera del árbol de MediaTek , que generan el GTK por sí mismos, y demostraron que el GTK se puede recuperar en dos minutos o menos. De manera similar, demostraron que las claves generadas por los demonios de acceso de Broadcom que se ejecutan en VxWorks 5 y posteriores se pueden recuperar en cuatro minutos o menos, lo que afecta, por ejemplo, a ciertas versiones de Linksys WRT54G y ciertos modelos Apple AirPort Extreme. Los proveedores pueden defenderse de este ataque utilizando un RNG seguro. Al hacerlo, Hostapd que se ejecuta en kernels de Linux no es vulnerable a este ataque y, por lo tanto, los enrutadores que ejecutan instalaciones típicas de OpenWrt o LEDE no presentan este problema. [56]
En octubre de 2017, se publicaron detalles del ataque KRACK (Key Reinstallation Attack) a WPA2. [57] [58] Se cree que el ataque KRACK afecta a todas las variantes de WPA y WPA2; sin embargo, las implicaciones de seguridad varían entre implementaciones, dependiendo de cómo los desarrolladores individuales interpretaron una parte del estándar mal especificada. Los parches de software pueden resolver la vulnerabilidad, pero no están disponibles para todos los dispositivos. [59] KRACK explota una debilidad en el protocolo de enlace de 4 vías WPA2, un proceso crítico para generar claves de cifrado. Los atacantes pueden forzar múltiples apretones de manos, manipulando restablecimientos de claves. Al interceptar el apretón de manos, podían descifrar el tráfico de la red sin descifrar el cifrado directamente. Esto supone un riesgo, especialmente en la transmisión de datos sensibles. [60]
Los fabricantes han lanzado parches en respuesta, pero no todos los dispositivos han recibido actualizaciones. Se recomienda a los usuarios que mantengan sus dispositivos actualizados para mitigar dichos riesgos de seguridad. Las actualizaciones periódicas son cruciales para mantener la seguridad de la red frente a las amenazas en evolución. [60]
Los ataques Dragonblood expusieron vulnerabilidades importantes en el protocolo de enlace Dragonfly utilizado en WPA3 y EAP-pwd. Estos incluían ataques de canal lateral que potencialmente revelaban información confidencial del usuario y debilidades de implementación en EAP-pwd y SAE. También surgieron preocupaciones sobre la seguridad inadecuada en los modos de transición que soportan tanto WPA2 como WPA3. En respuesta, se están integrando actualizaciones de seguridad y cambios de protocolo en WPA3 y EAP-pwd para abordar estas vulnerabilidades y mejorar la seguridad general de Wi-Fi [61].
El 11 de mayo de 2021, se reveló FragAttacks, un conjunto de nuevas vulnerabilidades de seguridad, que afectan a los dispositivos Wi-Fi y permiten a los atacantes dentro del alcance robar información o apuntar a dispositivos. Estos incluyen fallas de diseño en el estándar Wi-Fi, que afectan a la mayoría de los dispositivos, y errores de programación en los productos Wi-Fi, que hacen que casi todos los productos Wi-Fi sean vulnerables. Las vulnerabilidades afectan a todos los protocolos de seguridad Wi-Fi, incluidos WPA3 y WEP. Explotar estas fallas es complejo, pero los errores de programación en los productos Wi-Fi son más fáciles de explotar. A pesar de las mejoras en la seguridad de Wi-Fi, estos hallazgos resaltan la necesidad de análisis y actualizaciones de seguridad continuos. En respuesta, se desarrollaron parches de seguridad y se recomienda a los usuarios que utilicen HTTPS e instalen las actualizaciones disponibles para su protección. [62]
WPA es compatible con versiones anteriores y anteriores y está diseñado para ejecutarse en dispositivos Wi-Fi existentes como descarga de software.