¿Es segura una red wifi WPA2 o WPA1?
Tabla de contenidos
Estandar de cifrado wifi WPA2 y WPA
La seguridad wifi WPA2 (Wi-Fi Protected Access) y cómo proteger una red WiFi es una inquietud muy común entre los usuarios y administradores de redes y se comenta de forma periódica que es posible crackear WPA. Aunque en la actualidad todo el mundo coincide en aceptar que el antiguo estándar WEP (Wired Equivalent Privacy) es inseguro y su uso debe ser evitado por la posibilidad de romper el sistema en pocos segundos, al cambiar a WPA no todo el mundo conoce de qué forma se puede medir la seguridad de una contraseña y de una red WiFi WPA o WPA2.
¿Cuales son los posibles caracteres de una contraseña?
Una contraseña puede estar formada por gran multitud de caracteres y conjuntos de estos.
Conjuntos de caracteres más usados
Por lo general, sobretodo en contraseñas de fabrica o autogeneradas por los puntos de acceso y routers, las contraseñas tiene un conjunto de caracteres hexadecimal (16 posibles caracteres), lo cual reduce en gran medida la seguridad de estas y relegando su seguridad a la longitud de esta.
¿Qué longitud debe tener una clave wifi WPA2 o WPA para ser segura?
De forma resumida, se puede afirmar que una contraseña WiFi de 12 caracteres es segura y no podrá ser descifrada con el poder de cómputo existente a día de hoy, ya que el tiempo necesario para crackear la contraseña crece de forma exponencial.
Complejidad de crackear una contraseña WiFi
La siguiente tabla ilustra la complejidad de una contraseña wifi WPA2 o WPA1 y el tiempo necesario que necesitaría un atacante para romper la contraseña.
Tiempo de crackeo de contraseñas por fuerza bruta
Un hash WiFi WPA es el resultado de realizar varias operaciones matemáticas con una contraseña WiFi y que puede ser utilizado para comprar si la contraseña es válida en un proceso de cracking. Por simplificar podríamos afirmar que un hash es lo mismo que una clave WiFi. Una tarjeta gráfica potente para consumo doméstico (>400€) proporciona un rendimiento de 350.000 hashes WPA o WPA2 por segundo, es decir, puede comprobar 350.000 contraseñas en un solo segundo. Un hardware FPGA Pico de venta al público (>1000€) obtienen un rendimiento muy superior de 1.750.000 hashes por segundo. Si la contraseña es lo suficientemente larga y no está basada en un diccionario (una palabra o una frase predecible) no será posible crackear la contraseña WiFi en un tiempo prudencial.
Rainbow tables
Durante los últimos años, con el aumento de la complejidad de las contraseñas, ha aparecido nuevas técnicas para el crackeo de contraseñas. Estas nuevas técnicas abordan la problemática de la obtención de contraseñas complejas con una solución mixta entre diccionario y la fuerza bruta.
Las Rainbow tables se basan en pregenerar combinaciones de la contraseña para un algoritmo concreto y que en base a una mínima operación a partir de estos se puede comparar con la contraseña que se desea descifrar, disminuyendo en gran medida la carga computacional y por lo tanto aumentando la velocidad de crackeo a valores muy superiores a los que se pueden obtener mejorando las capacidades de nuestro hardware.
Aspectos técnicos de seguridad WiFi
Para asegurar una red WiFi y evitar que esta pueda ser hackeada por terceros, hay otros aspectos a considerar además de la complejidad de la contraseña:
- PIN WPS (Wireless Protected Setup): A nivel doméstico es habitual que los routers WiFi incluya soporte de la funcionalidad WPS para facilitar el intercambio de claves entre el punto de acceso y el usuario sin necesidad de usar la contraseña WiFi. Este proceso puede ser abusado con herramientas como Reaver o wpscrack, y puede permitir obtener la clave de acceso a la red WiFi independientemente de su longitud o complejidad. La recomendación primera recomendación debe ser inhabilitar WPS si está soportado.
- Nombre de la red WiFi: El algoritmo de cifrado de WPA o WPA2 hace uso del nombre de la red WiFi para generar la clave criptográfica. Para evitar el uso de ataques de cracking con tablas rainbow se debe evitar usar un nombre de red conocido, como WLAN_66 y en su defecto usar nombres nuevos y que no identifiquen a la empresa o al usuario, como WLAN-YTQZFJ.
- TKIP o AES CCMP: Según el estándar 802.11, WPA usa un algoritmo llamado TKIP para firma, y wifi WPA2 usa el algoritmo AES CCMP que es mucho más robusto y elimina fallos de seguridad como “Beck-Tews attack” o “Ohigashi-Morii attack”. La recomendación es eliminar el soporte de TKIP si es posible, aunque a día de hoy los ataques no están lo suficientemente extendidos.
- Redes publicadas: La mayoría de dispositivos (teléfonos, ordenadores portátiles,..) preguntan periódicamente a su alrededor la lista de redes conocidas solicitando esta información al aire, mediante el envío de un paquete WiFi conocido como frame de tipo Probe Request. Si un usuario configura incorrectamente la red WiFi y establece la contraseña como nombre de la red, cualquiera que se encuentre escuchando con un scanner WiFi como Acrylic podrá ver la contraseña de la red solicitada por el dispositivo del usuario.
- Contraseñas de administración: A nivel doméstico es habitual que el punto de acceso WiFi sea un router ADSL o un router de cable. Estos dispositivos pueden estar configurados con contraseñas de administración remotas como admin/admin, 1234/1234, support/support,.. y accesibles desde Internet a través de HTTP con un navegador web. Se debe cambiar la contraseña de administración y limitar el acceso al panel de administración del router WiFi desde otras redes, como Internet, para evitar que un usuario pueda obtener la contraseña WiFi explotando un fallo de configuración del router WiFi desde internet.
Consideraciones operativas de seguridad wifi WPA2:
Dependiendo de cómo trabajemos con las redes WiFi, hay otras consideraciones de seguridad a tener en cuenta:
- Rotación de personal: En una empresa de medio tamaño WPA está desaconsejado debido a la dificultad de realizar el cambio de la contraseña cuando una persona abandona la empresa. Si esta clave es reutilizada por muchos usuarios o integrada en dispositivos hardware como TPVs, cambiar la contraseña para limitar el acceso a ex trabajadores puede ser complejo. Es por esta razón que en estos entornos se recomienda el uso de mecanismos Enterprise, con autenticación basada en RADIUS.
- Interceptación de comunicaciones: Si un usuario intercepta con un sniffer WiFi el proceso de autenticación de un usuario llamado 4 way handshake y consigue crackear la contraseña, o conoce la contraseña de la red WiFi, podría descifrar el tráfico de cualquier usuario conectado. Por esta razón WPA o WPA2 se deben usar sólo en entornos domésticos, donde existen ciertas garantías de que el resto de usuarios no van a espiar las comunicaciones de otros.
Buenas prácticas de seguridad WiFi:
Para disponer de una red WiFi segura, os contamos algunas recomendaciones adicionales de seguridad WiFi que debéis considerar.
- Rotación de la contraseña WiFi: Tanto si usamos una contraseña WiFi WPA a nivel doméstico, como a nivel empresarial, las contraseñas se deben cambiar periódicamente. Usando contraseñas de al menos 12 caracteres un tiempo razonable de cambio de contraseña son 6 meses.
- Deshabilitar TKIP: Su uso está desaconsejado en la actualidad y se debería deshabilitar. Si es estrictamente necesario podemos mantenerlo haciendo uso de contraseñas seguras de al menos 12 caracteres.
- Analiza las redes a tu alcance: Tanto con la versión gratuita del escáner WiFi Acrylic WiFi Analyzer podrás analizar que redes hay al alcance y cómo están configurada su seguridad.
- Mide la propagación de la señal: Para mejorar la cobertura WiFi y para evitar que la señal inalámbrica salga del perímetro de tu casa o de tu oficina, puedes usar un software de site survey como Acrylic WiFi Heatmaps para medir la cobertura. De esta forma podrás ajustar los parámetros de tu punto de acceso con el fin de evitar una propagación no deseada de la red, y seleccionar su mejor ubicación para mejorar el rendimiento WiFi.
¿Te ha resultado útil conocer cómo funciona la seguridad WPA? déjanos tus comentarios. También te recomendamos consultar nuestro artículo técnico sobre cómo de segura es una red WiFi oculta.