Página principal » cómo » Las redes Wi-Fi WPA2 cifradas de advertencia siguen siendo vulnerables a la indagación

    Las redes Wi-Fi WPA2 cifradas de advertencia siguen siendo vulnerables a la indagación

    En este momento, la mayoría de las personas saben que una red Wi-Fi abierta les permite a las personas escuchar su tráfico. Se supone que el cifrado WPA2-PSK estándar evita que esto suceda, pero no es tan infalible como podría pensar.

    Esta no es una gran noticia sobre una nueva falla de seguridad. Más bien, esta es la forma en que WPA2-PSK siempre se ha implementado. Pero es algo que la mayoría de la gente no sabe..

    Abra redes de Wi-Fi vs. redes de cifrado de Wi-Fi

    No debe tener una red Wi-Fi abierta en su casa, pero puede utilizar una en público, por ejemplo, en una cafetería, mientras pasa por un aeropuerto o en un hotel. Las redes abiertas de Wi-Fi no tienen cifrado, lo que significa que todo lo que se envía por aire está "claro". Las personas pueden monitorear su actividad de navegación y cualquier actividad web que no esté protegida con el cifrado en sí misma puede ser investigada. Sí, esto es cierto incluso si tiene que "iniciar sesión" con un nombre de usuario y contraseña en una página web después de iniciar sesión en la red Wi-Fi abierta.

    Cifrado: al igual que el cifrado WPA2-PSK que recomendamos que use en casa, lo corrige un poco. Alguien cercano no puede simplemente capturar su tráfico y husmear en usted. Obtendrán un montón de tráfico cifrado. Esto significa que una red Wi-Fi cifrada protege su tráfico privado para que no pueda ser rastreado en.

    Esto es cierto, pero hay una gran debilidad aquí..

    WPA2-PSK utiliza una clave compartida

    El problema con WPA2-PSK es que usa una "clave precompartida". Esta clave es la contraseña o frase de contraseña, debe ingresar para conectarse a la red Wi-Fi. Todos los que se conectan usan la misma frase de contraseña.

    Es bastante fácil para alguien monitorear este tráfico encriptado. Todo lo que necesitan es:

    • La frase de contraseña: Todos los que tengan permiso para conectarse a la red Wi-Fi tendrán esto.
    • El tráfico de asociación para un nuevo cliente.: Si alguien está capturando los paquetes enviados entre el enrutador y un dispositivo cuando se conecta, tienen todo lo que necesitan para descifrar el tráfico (asumiendo que también tienen la contraseña, por supuesto). También es trivial obtener este tráfico a través de ataques "deauth" que desconectan por la fuerza un dispositivo de una red Wi_Fi y lo obligan a volver a conectarse, lo que hace que el proceso de asociación vuelva a ocurrir..

    Realmente, no podemos enfatizar lo simple que es esto. Wireshark tiene una opción incorporada para descifrar automáticamente el tráfico WPA2-PSK siempre que tenga la clave previamente compartida y haya capturado el tráfico para el proceso de asociación.

    Lo que esto significa en realidad

    Lo que esto significa en realidad es que WPA2-PSK no es mucho más seguro contra las escuchas ilegales si no confías en todos en la red. En casa, debes estar seguro porque tu frase de contraseña de Wi-Fi es un secreto.

    Sin embargo, si va a una cafetería y usa WPA2-PSK en lugar de una red Wi-Fi abierta, puede sentirse mucho más seguro en su privacidad. Pero no debería hacerlo: cualquier persona con la frase de contraseña de Wi-Fi de la cafetería podría monitorear el tráfico de navegación. Otras personas en la red, o simplemente otras personas con la frase de contraseña, podrían interceptar su tráfico si quisieran.

    Asegúrese de tener esto en cuenta. WPA2-PSK evita que las personas sin acceso a la red puedan husmear. Sin embargo, una vez que tienen la frase de contraseña de la red, todas las apuestas están desactivadas.

    ¿Por qué WPA2-PSK no intenta detener esto??

    WPA2-PSK realmente intenta detener esto mediante el uso de una “clave transitoria de pares” (PTK). Cada cliente inalámbrico tiene un PTK único. Sin embargo, esto no ayuda mucho porque la clave única por cliente siempre se deriva de la clave precompartida (la frase de contraseña de Wi-Fi). Por eso es trivial capturar la clave única de un cliente siempre que tenga la clave Wi-Fi. Fi frase de contraseña y puede capturar el tráfico enviado a través del proceso de asociación.

    WPA2-Enterprise resuelve esto ... para redes grandes

    Para las grandes organizaciones que exigen redes seguras de Wi-Fi, esta debilidad de seguridad se puede evitar mediante el uso de la autenticación de EAP con un servidor RADIUS, a veces llamado WPA2-Enterprise. Con este sistema, cada cliente de Wi-Fi recibe una clave verdaderamente única. Ningún cliente de Wi-Fi tiene suficiente información para comenzar a husmear en otro cliente, por lo que esto proporciona una seguridad mucho mayor. Las grandes oficinas corporativas o las agencias gubernamentales deben usar WPA2-Enteprise por este motivo.

    Pero esto es demasiado complicado y complejo para que la gran mayoría de las personas, o incluso la mayoría de los geeks, lo usen en casa. En lugar de una frase de contraseña de Wi-FI que debe ingresar en los dispositivos que desea conectar, tendría que administrar un servidor RADIUS que maneje la autenticación y la administración de claves. Esto es mucho más complicado para los usuarios domésticos de configurar.

    De hecho, ni siquiera vale la pena su tiempo si confía en todos los usuarios de su red Wi-Fi o en todos los que tengan acceso a su frase de contraseña de Wi-Fi. Esto solo es necesario si está conectado a una red Wi-Fi cifrada con WPA2-PSK en un lugar público (cafetería, aeropuerto, hotel o incluso una oficina más grande) donde otras personas en las que no confía también tienen el Wi-Fi. Frase de contraseña de la red FI.


    Entonces, ¿está cayendo el cielo? No claro que no. Pero tenga esto en cuenta: cuando esté conectado a una red WPA2-PSK, otras personas con acceso a esa red podrían fácilmente interceptar su tráfico. A pesar de lo que la mayoría de la gente pueda creer, el cifrado no proporciona protección contra otras personas con acceso a la red.

    Si tiene que acceder a sitios confidenciales en una red Wi-Fi pública, especialmente los sitios web que no utilizan el cifrado HTTPS, considere hacerlo a través de una VPN o incluso un túnel SSH. El cifrado WPA2-PSK en redes públicas no es lo suficientemente bueno.

    Crédito de la imagen: Cory Doctorow en Flickr, Grupo de alimentos en Flickr, Robert Couse-Baker en Flickr