Las redes Wi-Fi, omnipresentes en nuestro día a día, se han convertido en un vector de ataque preferido por hackers oportunistas en busca de diversión y ganancias. Si utilizas Wi-Fi en casa para conectarte a Internet desde tu ordenador o dispositivo móvil, podrías ser víctima de un hacker si no sigues nuestros consejos sobre seguridad Wi-Fi. Una serie de errores en el núcleo del protocolo WPA2, el estándar de seguridad Wi-Fi más común, podrían dejar expuestas las conexiones que se realizan a través de tu red.
La Amenaza KRACK: Un Ataque al "Handshake" de Cuatro Vías
El exploit conocido como KRACK (Key Reinstallation Attacks) ha sido desarrollado como prueba de concepto para demostrar la existencia de vulnerabilidades reales en WPA2. KRACK funciona explotando el "handshake de cuatro vías" de las WPA2, un proceso de autenticación y establecimiento de claves de cifrado entre un cliente y un punto de acceso. Durante el tercero de estos pasos, la clave puede reenviarse múltiples veces, y las vulnerabilidades hacen que, reenviándolas de determinadas maneras, se pueda socavar completamente el cifrado de la conexión.
El CERT de los Estados Unidos ya ha emitido un comunicado a cerca de 100 organizaciones advirtiéndoles de esta investigación. US-CERT ha sido consciente de varias vulnerabilidades de administración clave en el protocolo de seguridad WPA2 de 4 vías. El impacto de la explotación de estas vulnerabilidades incluye descifrado, repetición de paquetes, secuestro de conexión TCP, inyección de contenido HTTP y otros. Tenga en cuenta que, como problemas de nivel de protocolo, la mayoría o todas las implementaciones correctas del estándar se verán afectadas. Los investigadores ya han advertido a las empresas que venden puntos de acceso a corporaciones y gobiernos de la vulnerabilidad, de manera que estos ya han tenido tiempo para parchearlas o mitigarlas.
Comprendiendo WPA/WPA2 y sus Debilidades
Las siglas WPA vienen del inglés Wi-Fi Protected Access, en español: Acceso Protegido Wi-Fi. El WPA es un esquema de seguridad utilizado para proteger la transmisión de datos en redes inalámbricas. El propósito del desarrollo de WPA fue corregir los errores de seguridad que presenta WEP (Wired Equivalent Privacy), el protocolo de seguridad Wi-Fi más antiguo y considerado obsoleto. WEP, introducido a finales de los 90, se diseñó para proporcionar la misma seguridad que las redes cableadas, pero tiene importantes vulnerabilidades que hacen que sea relativamente fácil de descifrar para los hackers. La Wi-Fi Alliance retiró oficialmente WEP en 2004.
El WPA incorporó mejoras tanto en la autenticación como en el cifrado. Sin embargo, a pesar del incremento en la seguridad, existen formas de comprometer una red WPA, por ejemplo, a través de la explotación del protocolo TKIP (Temporal Key Integrity Protocol) y de una característica denominada Wi-Fi Protected Setup (WPS), que se usa para facilitar la autenticación automática de dispositivos a la red wireless.
Para corregir estos temas y mejorar la seguridad surgió posteriormente la versión 2 de WPA, o también llamado WPA2. En WPA2, el cifrado se ve reforzado a través de la incorporación del protocolo AES (Advanced Encryption Standard). Aún así, si el administrador de la red inalámbrica utiliza un sistema de clave pre-compartida (PSK), es factible utilizar un ataque de fuerza bruta, basado en diccionario o híbrido sobre la red objetivo. Por supuesto, el éxito de la misión y el tiempo que tome ejecutar el hack dependerá de la longitud de la clave y de si esta está o no basada en criterios de complejidad.
Métodos de Ataque y Motivaciones de los Hackers
Los hackers de WiFi tienen varias motivaciones. El mejor escenario es alguien que hackea tu WiFi para robar tu ancho de banda. El peor de los casos es que alguien hackea tu WiFi para robar tu identidad o dinero. Para obtener contraseñas de WiFi, los hackers utilizan dos métodos muy diferentes. Algunos hackers toman un camino fácil y explotan contraseñas de WiFi débiles que son fáciles de descifrar con un simple ataque de diccionario. Si una red no está protegida ni encriptada, es fácilmente susceptible a un ataque de hombre en el medio (MITM). Un ataque se llama MITM cuando un hacker puede interceptar datos debido a las mencionadas deficiencias de seguridad.
En los ataques de gemelo malvado (“evil twin”) o en los ataques de puntos de acceso inalámbrico falsos, los ciberdelincuentes crean redes Wi-Fi falsas para capturar información de los usuarios que acceden a ellas. Los ciberdelincuentes crean Wi-Fi público falso y, una vez que los usuarios se unen a la red, los hackers pueden interceptar y manipular el tráfico, y posicionarse “en el medio” entre los usuarios o entre los usuarios y una aplicación. Esto incluye convencer a los usuarios para que revelen información confidencial, como sus números de tarjeta de crédito o credenciales de inicio de sesión. Por medio del uso de bots para probar combinaciones de frases de contraseña populares o entradas aleatorias, los atacantes pueden obtener acceso a redes Wi-Fi e ingresar mediante la “fuerza bruta”. El phishing intenta engañar activamente a los usuarios, haciendo que proporcionen de forma voluntaria o accidental su información sensible al atacante o descarguen malware ellos mismos. La interferencia es un tipo de ataque de denegación de servicio (DoS) que inunda la red Wi-Fi con interferencias no deseadas para inhibir el rendimiento o evitar que los dispositivos legítimos se conecten. Generalmente, el objetivo final es hacer que la red no pueda utilizarse.
Protegiendo tu Red Wi-Fi: Medidas Esenciales
A pesar de la seriedad del problema, no debe cundir el pánico. Para empezar, si alguien quiere explotar esta vulnerabilidad, tiene que estar físicamente cerca de tu ordenador, por lo que cualquier cracker de Internet no podrá entrar en él. Y es que hay mucha otra información privada que no delega en los protocolos de WPA2. Por ejemplo, cada vez que entras en una web protegida con HTTPS, tu navegador "negocia" una capa de cifrado independiente.
Sí, puede ser difícil recordar una cadena alfanumérica de diez dígitos de texto incomprensible, pero las consecuencias de un hackeo de WiFi exitoso pueden ser devastadoras. Con tantas maneras de hackear WiFi, ¿será posible permanecer protegido contra los atacantes anónimos que quieren aprovecharse de usted? Sí, pero requiere un poco de esfuerzo de su parte. A continuación, presentamos nuestras 8 principales recomendaciones sobre cómo mejorar drásticamente la seguridad de su red Wi-Fi.
Protege tu red en 5 sencillos pasos
Cambiar las credenciales de administrador del router: ¿Se acuerda del momento cuando llegó su router y realizó la configuración inicial? Si es así, probablemente también recuerde que tuvo que ingresar un login de administrador y contraseña, ¿verdad? Es común que los usuarios no cambien las credenciales predeterminadas ("admin"/"admin"), lo que facilita enormemente el acceso no autorizado. Es poco probable que algo así suceda a los usuarios caseros, pero los dueños de negocio no lo pueden tomar a la ligera.
Configuración de cifrado fuerte: El cifrado Wi-Fi es su principal defensa contra los hackers que buscan una forma rápida y conveniente de piratear contraseñas Wi-Fi. El nivel básico de protección de Wi-Fi es el cifrado WEP. Siempre debe usar al menos encriptación WPA + TKIP. Idealmente, configure su router para usar el cifrado WPA2 + AES o WPA3 para una seguridad a toda prueba. WPA2 (Acceso Protegido Wi-Fi 2) es la segunda generación del protocolo de seguridad inalámbrica de acceso Wi-Fi protegido. Una de las ventajas del sistema WPA2 fue que introdujo el sistema de cifrado avanzado (AES) para sustituir al sistema TKIP, más vulnerable, usado en el protocolo WPA original. WPA3 (Acceso Protegido a Wi-Fi 3) es el protocolo de seguridad inalámbrica más reciente, diseñado para cifrar los datos de forma más segura y proteger las sesiones pasadas, incluso si una contraseña se ve comprometida posteriormente (una denominada Confidencialidad directa total. WPA3 se basa en el protocolo AES-GCMP (Galois/Counter Mode Protocol), un modo de cifrado de alto rendimiento que aumenta la seguridad y la velocidad.
Verificar dispositivos conectados: Asegurar tu red con WPA2 o WPA3 es solo la mitad de la batalla: cualquiera que se haya colado antes puede seguir conectado hasta que los expulses. Herramientas como NetSpot para iPhone pueden ayudarle a descubrir dispositivos conectados. Instala NetSpot en tu iPhone, abre Descubrimiento de Dispositivos, y obtendrás una lista en vivo de todos los clientes en segundos, perfecto para detectar invitados no deseados.
Mantenga su router actualizado: Su router tiene un sistema operativo complejo, lo que significa que puede tener errores de software. Aunque la mayoría de los routers se actualizan de forma automática, algunos requieren activar manualmente el proceso de actualización. Habilitar las actualizaciones automáticas para garantizar que el firmware del router y el software de todos los dispositivos conectados permanezcan actualizados con los últimos parches de seguridad es crucial.
Ocultar la red Wi-Fi: El nombre de su red Wi-Fi es SSID o Service Set Identifier. Puede conectarse a una red Wi-Fi incluso si no emite ningún SSID, pero tendrá que saber la dirección de la red.
Reducir el alcance del Wi-Fi: Entendemos que la mayoría de la gente prefiere extender el alcance de su red Wi-Fi y no reducirlo, pero, a veces, tiene sentido limitarlo a un área pequeña. Si usted está, por ejemplo, viviendo en un apartamento pequeño, no hay razón para transmitir su Wi-Fi a través del bloque entero, dando a más gente de lo necesario la oportunidad de hackearla. Una herramienta de Análisis Wi-Fi como NetSpot puede ayudarle a determinar el alcance actual de su red, y luego puede desactivar el Control de Potencia de Transmisión en su router para ajustarlo.
Habilitar el filtrado de direcciones MAC: Cada dispositivo compatible con Wi-Fi tiene un identificador único denominado dirección física o dirección MAC (Media Access Control). Puede configurar su router para que solo se comunique con ciertas direcciones MAC, evitando que todos los demás se conecten a su red. Si quieres llevar la seguridad de tu red al siguiente nivel, configura una red privada virtual (VPN) directamente en tu router. Al hacerlo, cifra todo el tráfico que pasa por tu red, lo que significa que la VPN protege todos los dispositivos conectados de los hackers.
Evitar redes públicas abiertas: A pesar de que las redes Wi-Fi públicas son tan convenientes, debe ser muy cuidadoso al conectarse a una. No todas las redes Wi-Fi públicas respetan la privacidad y la seguridad de sus usuarios, y algunas redes públicas pueden incluso ser configuradas por piratas informáticos que quieren atraer a las víctimas inocentes para robar sus contraseñas y cuentas bancarias. Solo debería conectarse a las redes públicas verificadas y confiables y siempre tenga deshabilitada la conexión automática Wi-Fi.
La Evolución de la Seguridad Wi-Fi: De WEP a WPA3
La seguridad de la red no se limita solo a las contraseñas. A lo largo de los años, se han desarrollado varios protocolos de cifrado, cada uno con distintos niveles de seguridad. El sistema WEP fue una de las primeras normas de cifrado para redes inalámbricas. Es anticuado y débil. El sistema WPA se introdujo como respuesta a los puntos débiles de WEP. Es más seguro, ya que utiliza TKIP para el cifrado. El sistema WPA2 es el método de referencia para la mayoría de las redes Wi-Fi actuales. Utiliza AES, un método de cifrado mucho más fuerte y seguro que el TKIP del WPA, lo que hace que el WPA2 sea mucho más resistente a los ataques. El sistema WPA3 es la forma más reciente y segura de protección Wi-Fi disponible en la actualidad.
Aunque WPA2 es seguro, algunos routers antiguos aún admiten los protocolos WEP/WPA. Si los sistemas WEP/WPA están activados, pueden crear una laguna de seguridad. Para eliminar esta amenaza, desactive WEP/WPA en los dispositivos que funcionen con WPA2 y actualice cualquier dispositivo que dependa únicamente de WEP. Si tus dispositivos son compatibles con WPA3, puedes cambiarlo accediendo al portal de administración de tu router con tu dirección IP. Ve a Configuración inalámbrica o Seguridad Wi-Fi; busca la opción Modo de seguridad, donde puedes seleccionar Modo mixto WPA3 o Modo mixto WPA2/WPA3.
Los protocolos de seguridad de Wi-Fi son esenciales para bloquear a los hackers de tu red local. Pero mantenerte a ti mismo y a tu familia a salvo en la red es una batalla a varios frentes. Con la adopción de prácticas recomendadas, como crear contraseñas seguras, actualizar periódicamente la clave de red y actualizar a WPA3, puedes adelantarte a los posibles riesgos. Combínalo con herramientas como una VPN, y habrás creado una fortaleza en torno a tu presencia en Internet.
Consideraciones Adicionales y Herramientas Útiles
El acceso remoto permite acceder al router desde cualquier lugar del mundo. Deshabilitar el acceso remoto al router también puede mejorar la seguridad de WPA2. Uno de los consejos de seguridad más elementales es sencillo: cree contraseñas seguras. Los hackers cuentan con métodos creativos para robar contraseñas y acceder a redes y cuentas, por lo que debe usar contraseñas largas y únicas (o frases de contraseña) para todas sus cuentas.
Los routers están protegidos mediante claves de cifrado, que codifican sus datos y los protegen de los hackers. En una red WPA2-personal, los clientes individuales de la red reciben claves de cifrado únicas cuando proporcionan una clave previamente compartida. WPA2-PSK es ideal para redes domésticas, dado que permite fácilmente que los clientes confíen en la red de host y no precisa un servidor de autenticación empresarial. Pero como se basa en una frase de contraseña para todos los clientes de la red, solo es adecuado para uso doméstico.
Si necesita encontrar la contraseña predeterminada de su router, debería estar en el manual que venía junto con su router. La forma más fácil de encontrar tu clave de seguridad de red es simplemente comprobando tu router o módem. La mayoría de los routers tienen una pegatina en la parte trasera o inferior que muestra el nombre de la red por defecto (SSID) y la clave de seguridad de la red. Si no has cambiado tu contraseña Wi-Fi desde que configuraste el router, esto es lo único que necesitarás.
Si bien los protocolos de seguridad Wi-Fi como WPA2 y WPA3 protegen tu red local cifrando la propia conexión, una VPN (red privada virtual) añade otra capa cifrando todo tu tráfico de Internet y dirigiéndolo a través de un servidor seguro. AVG Secure VPN cuenta con un cifrado de grado militar que mantiene alejados de tus datos a hackers y curiosos. Con una interfaz fácil de usar y un gran número de diferentes servidores que elegir, puedes proteger tu conexión a Internet desde cualquier lugar.
En resumen, la seguridad de tu Wi-Fi es realmente tan fuerte como las medidas que tomes para protegerla. Lo primero es lo primero: la clave de seguridad de tu red debe ser sólida como una roca. Evita contraseñas fáciles de adivinar como "contraseña123" o el nombre de tu mascota. En su lugar, crea una clave larga y única: lo ideal sería de 12 a 16 caracteres con una combinación de letras mayúsculas, minúsculas, números y símbolos especiales. Cuanto más compleja, mejor. ¿Quieres hacerlo más fácil? Utiliza un gestor de contraseñas para generar y almacenar una clave segura. Así no tendrás que preocuparte de recordarla.