Wi-Fi Protected Access ( WPA ), Wi-Fi Protected Access 2 ( WPA2 ) y Wi-Fi Protected Access 3 ( WPA3 ) son los tres programas de certificación de seguridad desarrollados después del año 2000 por la Wi-Fi Alliance para proteger las redes informáticas inalámbricas. La Alianza los definió como respuesta a las graves debilidades que los investigadores habían encontrado en el sistema anterior, Wired Equivalent Privacy (WEP). [1]
WPA (a veces denominado estándar TKIP) estuvo disponible en 2003. La Wi-Fi Alliance lo concibió como una medida intermedia en previsión de la disponibilidad del más seguro y complejo WPA2, que estuvo disponible en 2004 y es una abreviatura común para el estándar completo IEEE 802.11i (o IEEE 802.11i-2004 ).
En enero de 2018, la Wi-Fi Alliance anunció el lanzamiento de WPA3, que tiene varias mejoras de seguridad con respecto a WPA2. [2]
A partir de 2023, la mayoría de las computadoras que se conectan a una red inalámbrica tienen soporte para usar WPA, WPA2 o WPA3.
WEP (Wired Equivalent Privacy) fue uno de los primeros protocolos de cifrado para redes inalámbricas, diseñado para proteger las conexiones WLAN. Admitía claves de 64 y 128 bits, combinando bits configurables por el usuario y configurados de fábrica. WEP utilizaba el algoritmo RC4 para cifrar datos, creando una clave única para cada paquete mediante la combinación de un nuevo vector de inicialización (IV) con una clave compartida (tiene 40 bits de clave vectorizada y 24 bits de números aleatorios). El descifrado implicaba invertir este proceso, utilizando el IV y la clave compartida para generar un flujo de claves y descifrar la carga útil. A pesar de su uso inicial, las vulnerabilidades significativas de WEP llevaron a la adopción de protocolos más seguros. [3]
La Wi-Fi Alliance pretendía que WPA fuera una medida intermedia para sustituir a WEP hasta que estuviera disponible el estándar IEEE 802.11i completo . WPA se podía implementar mediante actualizaciones de firmware en tarjetas de interfaz de red inalámbrica diseñadas para WEP que comenzaron a distribuirse en 1999. Sin embargo, dado que los cambios necesarios en los puntos de acceso inalámbricos (AP) eran más amplios que los necesarios en las tarjetas de red, la mayoría de los AP anteriores a 2003 no se podían actualizar para que admitieran WPA.
El protocolo WPA implementa el Protocolo de Integridad de Clave Temporal (TKIP). WEP utiliza una clave de cifrado de 64 o 128 bits que debe introducirse manualmente en los puntos de acceso y dispositivos inalámbricos y que no cambia. TKIP emplea una clave por paquete, lo que significa que genera dinámicamente una nueva clave de 128 bits para cada paquete y, por lo tanto, evita los tipos de ataques que comprometieron a WEP. [4]
WPA también incluye un control de integridad de mensajes , que está diseñado para evitar que un atacante altere y reenvíe paquetes de datos. Esto reemplaza la verificación de redundancia cíclica (CRC) que se usaba en el estándar WEP. El defecto principal de CRC era que no proporcionaba una garantía de integridad de datos lo suficientemente fuerte para los paquetes que manejaba. [5] Existían códigos de autenticación de mensajes bien probados para resolver estos problemas, pero requerían demasiados cálculos para ser utilizados en tarjetas de red antiguas. WPA utiliza un algoritmo de verificación de integridad de mensajes llamado TKIP para verificar la integridad de los paquetes. TKIP es mucho más fuerte que un CRC, pero no tan fuerte como el algoritmo utilizado en WPA2. Desde entonces, los investigadores han descubierto un defecto en WPA que se basaba en debilidades más antiguas en WEP y las limitaciones de la función hash del código de integridad de mensajes, llamada Michael , para recuperar el flujo de claves de paquetes cortos para usarlos para la reinyección y la suplantación de identidad . [6] [7]
Ratificado en 2004, WPA2 reemplazó a WPA. WPA2, que requiere pruebas y certificación por parte de Wi-Fi Alliance, implementa los elementos obligatorios de IEEE 802.11i. En particular, incluye soporte para CCMP , un modo de cifrado basado en AES . [8] [9] [10] La certificación comenzó en septiembre de 2004. Desde el 13 de marzo de 2006 hasta el 30 de junio de 2020, la certificación WPA2 fue obligatoria para todos los dispositivos nuevos que llevaran la marca registrada Wi-Fi. [11] En las WLAN protegidas por WPA2, la comunicación segura se establece a través de un proceso de varios pasos. Inicialmente, los dispositivos se asocian con el punto de acceso (AP) a través de una solicitud de asociación. A esto le sigue un protocolo de enlace de 4 vías, un paso crucial que garantiza que tanto el cliente como el AP tengan la clave precompartida (PSK) correcta sin transmitirla realmente. Durante este protocolo de enlace, se genera una clave transitoria por pares (PTK) para el intercambio seguro de datos. [12]
WPA2 emplea el estándar de cifrado avanzado AES con una clave de 128 bits, lo que mejora la seguridad mediante el protocolo Counter-Mode/CBC-Mac CCMP . Este protocolo garantiza un cifrado sólido y la integridad de los datos, utilizando diferentes vectores de inicialización (IV) para fines de cifrado y autenticación. [12]
El protocolo de enlace de cuatro vías implica:
Después del protocolo de enlace, la clave PTK establecida se utiliza para cifrar el tráfico de unidifusión y la clave temporal de grupo (GTK) se utiliza para el tráfico de difusión. Este mecanismo integral de autenticación y cifrado es lo que convierte a WPA2 en un estándar de seguridad sólido para redes inalámbricas. [13]
En enero de 2018, la Wi-Fi Alliance anunció que WPA3 reemplazaría a WPA2. [14] [15] La certificación comenzó en junio de 2018, [16] y la compatibilidad con WPA3 ha sido obligatoria para los dispositivos que llevan el logotipo "Wi-Fi CERTIFIED™" desde julio de 2020. [17]
El nuevo estándar utiliza una fuerza criptográfica equivalente a 192 bits en el modo WPA3-Enterprise [18] ( AES-256 en modo GCM con SHA-384 como HMAC ), y todavía exige el uso de CCMP-128 ( AES-128 en modo CCM ) como algoritmo de cifrado mínimo en el modo WPA3-Personal. TKIP no está permitido en WPA3.
El estándar WPA3 también reemplaza el intercambio de clave precompartida (PSK) con el intercambio de autenticación simultánea de iguales (SAE), un método introducido originalmente con IEEE 802.11s , lo que resulta en un intercambio de clave inicial más seguro en modo personal [19] [20] y secreto hacia adelante . [21] La Wi-Fi Alliance también dice que WPA3 mitigará los problemas de seguridad planteados por contraseñas débiles y simplificará el proceso de configuración de dispositivos sin interfaz de pantalla. [2] [22] WPA3 también admite el cifrado inalámbrico oportunista (OWE) para redes Wi-Fi abiertas que no tienen contraseñas.
La protección de los marcos de gestión tal como se especifica en la enmienda IEEE 802.11w también se aplica en las especificaciones WPA3.
WPA ha sido diseñado específicamente para funcionar con hardware inalámbrico producido antes de la introducción del protocolo WPA, [23] que proporciona una seguridad inadecuada a través de WEP . Algunos de estos dispositivos admiten WPA solo después de aplicar actualizaciones de firmware, que no están disponibles para algunos dispositivos antiguos. [23]
Los dispositivos Wi-Fi certificados desde 2006 admiten los protocolos de seguridad WPA y WPA2. El protocolo WPA3 es obligatorio desde el 1 de julio de 2020. [17]
Se pueden distinguir diferentes versiones de WPA y mecanismos de protección en función del usuario final de destino (como WEP, WPA, WPA2, WPA3) y el método de distribución de claves de autenticación, así como el protocolo de cifrado utilizado. A partir de julio de 2020, WPA3 es la última versión del estándar WPA, que aporta funciones de seguridad mejoradas y aborda las vulnerabilidades encontradas en WPA2. WPA3 mejora los métodos de autenticación y emplea protocolos de cifrado más sólidos, lo que lo convierte en la opción recomendada para proteger las redes Wi-Fi. [22]
También conocido como modo WPA-PSK ( clave precompartida ), está diseñado para usos domésticos, de pequeñas oficinas y básicos y no requiere un servidor de autenticación. [24] Cada dispositivo de red inalámbrica encripta el tráfico de red derivando su clave de encriptación de 128 bits de una clave compartida de 256 bits . Esta clave puede introducirse como una cadena de 64 dígitos hexadecimales o como una frase de contraseña de entre 8 y 63 caracteres ASCII imprimibles . [25] Sin embargo, esta asignación de frase de contraseña a PSK no es vinculante, ya que el Anexo J es informativo en el último estándar 802.11. [26] Si se utilizan caracteres ASCII, la clave de 256 bits se calcula aplicando la función de derivación de clave PBKDF2 a la frase de contraseña, utilizando el SSID como sal y 4096 iteraciones de HMAC - SHA1 . [27] El modo WPA-Personal está disponible en las tres versiones de WPA.
Este modo empresarial utiliza un servidor 802.1X para la autenticación, ofreciendo un mayor control de seguridad al reemplazar el vulnerable WEP con el cifrado TKIP más avanzado. TKIP asegura la renovación continua de las claves de cifrado, reduciendo los riesgos de seguridad. La autenticación se realiza a través de un servidor RADIUS , lo que proporciona una seguridad sólida, especialmente vital en entornos corporativos. Esta configuración permite la integración con los procesos de inicio de sesión de Windows y admite varios métodos de autenticación como el Protocolo de autenticación extensible , que utiliza certificados para una autenticación segura, y PEAP, creando un entorno protegido para la autenticación sin requerir certificados de cliente. [28]
Originalmente, la Wi-Fi Alliance solo certificaba EAP-TLS ( Extensible Authentication Protocol - Transport Layer Security ). En abril de 2010, la Wi-Fi Alliance anunció la inclusión de tipos EAP [30] adicionales en sus programas de certificación WPA- y WPA2-Enterprise. [31] Esto se hizo para garantizar que los productos certificados por WPA-Enterprise pudieran interoperar entre sí.
A partir de 2010, [actualizar]el programa de certificación incluye los siguientes tipos de EAP:
Los clientes y servidores 802.1X desarrollados por empresas específicas pueden admitir otros tipos de EAP. Esta certificación es un intento de que los tipos de EAP más populares puedan interoperar; el hecho de que no lo hayan hecho a partir de 2013 [actualizar]es uno de los principales problemas que impiden la implementación de 802.1X en redes heterogéneas.
Los servidores comerciales 802.1X incluyen Microsoft Network Policy Server y Juniper Networks Steelbelted RADIUS, así como el servidor Aradial Radius. [33] FreeRADIUS es un servidor 802.1X de código abierto.
WPA-Personal y WPA2-Personal siguen siendo vulnerables a ataques de descifrado de contraseñas si los usuarios confían en una contraseña o frase de contraseña débil . Los hashes de frase de contraseña WPA se generan a partir del nombre SSID y su longitud; existen tablas arco iris para los 1000 SSID de red principales y una multitud de contraseñas comunes, que solo requieren una búsqueda rápida para acelerar el descifrado de WPA-PSK. [34]
Se puede intentar forzar de manera bruta contraseñas simples utilizando Aircrack Suite a partir del protocolo de autenticación de cuatro vías intercambiado durante la asociación o la reautenticación periódica. [35] [36] [37] [38] [39]
WPA3 reemplaza los protocolos criptográficos susceptibles de análisis fuera de línea con protocolos que requieren interacción con la infraestructura para cada contraseña adivinada, supuestamente colocando límites temporales en el número de conjeturas. [14] Sin embargo, fallas de diseño en WPA3 permiten a los atacantes lanzar ataques de fuerza bruta de manera plausible (
).WPA y WPA2 no proporcionan secreto hacia adelante , lo que significa que una vez que una persona adversa descubre la clave precompartida, potencialmente puede descifrar todos los paquetes cifrados utilizando esa PSK transmitida en el futuro e incluso en el pasado, que podría ser recopilada pasiva y silenciosamente por el atacante. Esto también significa que un atacante puede capturar y descifrar silenciosamente los paquetes de otros si se proporciona un punto de acceso protegido por WPA de forma gratuita en un lugar público, porque su contraseña suele compartirse con cualquier persona en ese lugar. En otras palabras, WPA solo protege de los atacantes que no tienen acceso a la contraseña. Debido a eso, es más seguro utilizar Transport Layer Security (TLS) o similar además de eso para la transferencia de cualquier dato confidencial. Sin embargo, a partir de WPA3, este problema se ha abordado. [21]
En 2013, Mathy Vanhoef y Frank Piessens [40] mejoraron significativamente los ataques WPA-TKIP de Erik Tews y Martin Beck. [41] [42] Demostraron cómo inyectar una cantidad arbitraria de paquetes, y cada paquete contenía como máximo 112 bytes de carga útil. Esto se demostró implementando un escáner de puertos , que se puede ejecutar contra cualquier cliente que use WPA-TKIP . Además, mostraron cómo descifrar paquetes arbitrarios enviados a un cliente. Mencionaron que esto se puede usar para secuestrar una conexión TCP , lo que permite a un atacante inyectar JavaScript malicioso cuando la víctima visita un sitio web. Por el contrario, el ataque Beck-Tews solo pudo descifrar paquetes cortos con contenido mayoritariamente conocido, como mensajes ARP , y solo permitió la inyección de 3 a 7 paquetes de como máximo 28 bytes. El ataque Beck-Tews también requiere que se habilite la calidad del servicio (tal como se define en 802.11e ), mientras que el ataque Vanhoef-Piessens no. Ninguno de los dos ataques conduce a la recuperación de la clave de sesión compartida entre el cliente y el punto de acceso . Los autores afirman que el uso de un intervalo de renovación de claves corto puede evitar algunos ataques, pero no todos, y recomiendan encarecidamente cambiar de TKIP a CCMP basado en AES .
Halvorsen y otros muestran cómo modificar el ataque Beck-Tews para permitir la inyección de 3 a 7 paquetes con un tamaño de 596 bytes como máximo. [43] La desventaja es que su ataque requiere sustancialmente más tiempo para ejecutarse: aproximadamente 18 minutos y 25 segundos. En otro trabajo, Vanhoef y Piessens demostraron que, cuando se utiliza WPA para cifrar paquetes de difusión, su ataque original también se puede ejecutar. [44] Esta es una extensión importante, ya que sustancialmente más redes utilizan WPA para proteger paquetes de difusión que para proteger paquetes de unidifusión . El tiempo de ejecución de este ataque es en promedio de alrededor de 7 minutos, en comparación con los 14 minutos del ataque original de Vanhoef-Piessens y Beck-Tews.
Las vulnerabilidades de TKIP son significativas porque antes se consideraba que WPA-TKIP era una combinación extremadamente segura; de hecho, WPA-TKIP sigue siendo una opción de configuración en una amplia variedad de dispositivos de enrutamiento inalámbricos proporcionados por muchos proveedores de hardware. Una encuesta realizada en 2013 mostró que el 71% todavía permite el uso de TKIP y el 19% lo admite exclusivamente. [40]
En diciembre de 2011, Stefan Viehböck reveló una falla de seguridad más grave que afecta a los enrutadores inalámbricos con la función Wi-Fi Protected Setup (WPS), independientemente del método de cifrado que utilicen. Los modelos más recientes tienen esta función y la habilitan de manera predeterminada. Muchos fabricantes de dispositivos Wi-Fi para consumidores habían tomado medidas para eliminar la posibilidad de elegir frases de contraseña débiles al promover métodos alternativos de generación y distribución automática de claves seguras cuando los usuarios agregan un nuevo adaptador o dispositivo inalámbrico a una red. Estos métodos incluyen presionar botones en los dispositivos o ingresar un PIN de 8 dígitos .
La Wi-Fi Alliance estandarizó estos métodos como Wi-Fi Protected Setup; sin embargo, la función PIN, tal como se implementó ampliamente, introdujo una falla de seguridad importante. La falla permite que un atacante remoto recupere el PIN WPS y, con él, la contraseña WPA/WPA2 del enrutador en unas pocas horas. [45] Se ha instado a los usuarios a desactivar la función WPS, [46] aunque esto puede no ser posible en algunos modelos de enrutador. Además, el PIN está escrito en una etiqueta en la mayoría de los enrutadores Wi-Fi con WPS, que no se puede cambiar si se ve comprometida.
En 2018, la Wi-Fi Alliance presentó Wi-Fi Easy Connect [47] como una nueva alternativa para la configuración de dispositivos que carecen de suficientes capacidades de interfaz de usuario al permitir que los dispositivos cercanos sirvan como una UI adecuada para fines de aprovisionamiento de red, mitigando así la necesidad de WPS. [48]
Se han descubierto varias debilidades en MS-CHAPv2 , algunas de las cuales reducen considerablemente la complejidad de los ataques de fuerza bruta, haciéndolos factibles con hardware moderno. En 2012, la complejidad de romper MS-CHAPv2 se redujo a la de romper una sola clave DES (trabajo de Moxie Marlinspike y Marsh Ray). Moxie recomendó: "Las empresas que dependen de las propiedades de autenticación mutua de MS-CHAPv2 para la conexión a sus servidores Radius WPA2 deberían comenzar de inmediato a migrar a otra cosa". [49]
Los métodos EAP tunelizados que utilizan TTLS o PEAP que cifran el intercambio MSCHAPv2 se implementan ampliamente para proteger contra la explotación de esta vulnerabilidad. Sin embargo, las implementaciones de clientes WPA2 predominantes durante la década de 2000 eran propensas a errores de configuración por parte de los usuarios finales o, en algunos casos (por ejemplo, Android ), carecían de cualquier forma accesible para el usuario de configurar correctamente la validación de los CN de certificados de servidor AAA. Esto extendió la relevancia de la debilidad original en MSCHAPv2 dentro de los escenarios de ataque MiTM . [50] En las pruebas de cumplimiento más estrictas para WPA2 anunciadas junto con WPA3, se requerirá que el software de cliente certificado se ajuste a ciertos comportamientos relacionados con la validación de certificados AAA. [14]
Hole196 es una vulnerabilidad en el protocolo WPA2 que abusa de la clave temporal de grupo (GTK) compartida. Puede utilizarse para realizar ataques de tipo "man-in-the-middle" y de denegación de servicio . Sin embargo, supone que el atacante ya está autenticado en el punto de acceso y, por lo tanto, en posesión de la GTK. [51] [52]
En 2016 se demostró que los estándares WPA y WPA2 contienen un generador de números aleatorios expositivos (RNG) inseguro. Los investigadores demostraron que, si los proveedores implementan el RNG propuesto, un atacante puede predecir la clave de grupo (GTK) que se supone que genera aleatoriamente el punto de acceso (AP). Además, demostraron que la posesión de la GTK permite al atacante inyectar cualquier tráfico en la red y le permite descifrar el tráfico de Internet unicast transmitido a través de la red inalámbrica. Demostraron su ataque contra un enrutador Asus RT-AC51U que usa los controladores MediaTek fuera del árbol, que generan la GTK por sí mismos, y demostraron que la GTK se puede recuperar en dos minutos o menos. De manera similar, demostraron que las claves generadas por los daemons de acceso de Broadcom que se ejecutan en VxWorks 5 y posteriores se pueden recuperar en cuatro minutos o menos, lo que afecta, por ejemplo, a ciertas versiones de Linksys WRT54G y ciertos modelos Apple AirPort Extreme. Los proveedores pueden defenderse contra este ataque utilizando un RNG seguro. Al hacer esto, Hostapd que se ejecuta en kernels Linux no es vulnerable a este ataque y, por lo tanto, los enrutadores que ejecutan instalaciones típicas de OpenWrt o LEDE no presentan este problema. [53]
En octubre de 2017, se publicaron los detalles del ataque KRACK (Key Reinstallation Attack) a WPA2. [54] [55] Se cree que el ataque KRACK afecta a todas las variantes de WPA y WPA2; sin embargo, las implicaciones de seguridad varían entre las implementaciones, dependiendo de cómo los desarrolladores individuales interpretaron una parte mal especificada del estándar. Los parches de software pueden resolver la vulnerabilidad, pero no están disponibles para todos los dispositivos. [56] KRACK explota una debilidad en el protocolo de enlace de 4 vías de WPA2, un proceso crítico para generar claves de cifrado. Los atacantes pueden forzar múltiples protocolos de enlace, manipulando los restablecimientos de clave. Al interceptar el protocolo de enlace, podrían descifrar el tráfico de red sin descifrar el cifrado directamente. Esto plantea un riesgo, especialmente con la transmisión de datos confidenciales. [57]
Los fabricantes han publicado parches en respuesta, pero no todos los dispositivos han recibido actualizaciones. Se recomienda a los usuarios que mantengan sus dispositivos actualizados para mitigar dichos riesgos de seguridad. Las actualizaciones periódicas son cruciales para mantener la seguridad de la red frente a amenazas en constante evolución. [57]
Los ataques Dragonblood expusieron vulnerabilidades significativas en el protocolo de enlace Dragonfly utilizado en WPA3 y EAP-pwd. Entre ellas se encontraban ataques de canal lateral que podrían revelar información confidencial del usuario y debilidades de implementación en EAP-pwd y SAE. También se plantearon inquietudes sobre la seguridad inadecuada en los modos de transición que admiten tanto WPA2 como WPA3. En respuesta, se están integrando actualizaciones de seguridad y cambios de protocolo en WPA3 y EAP-pwd para abordar estas vulnerabilidades y mejorar la seguridad general de Wi-Fi. [58]
El 11 de mayo de 2021, se revelaron FragAttacks, un conjunto de nuevas vulnerabilidades de seguridad que afectan a los dispositivos Wi-Fi y permiten a los atacantes dentro del alcance robar información o atacar dispositivos. Entre ellas se incluyen fallas de diseño en el estándar Wi-Fi, que afectan a la mayoría de los dispositivos, y errores de programación en los productos Wi-Fi, lo que hace que casi todos los productos Wi-Fi sean vulnerables. Las vulnerabilidades afectan a todos los protocolos de seguridad Wi-Fi, incluidos WPA3 y WEP. Explotar estas fallas es complejo, pero los errores de programación en los productos Wi-Fi son más fáciles de explotar. A pesar de las mejoras en la seguridad Wi-Fi, estos hallazgos resaltan la necesidad de un análisis y actualizaciones de seguridad continuos. En respuesta, se desarrollaron parches de seguridad y se recomienda a los usuarios que utilicen HTTPS e instalen las actualizaciones disponibles para protegerse. [59]
es compatible con versiones anteriores y posteriores y está diseñado para ejecutarse en dispositivos Wi-Fi existentes como una descarga de software.