¿Qué tan seguro es navegar por WLAN?

En octubre de 2017, investigadores de la Universidad de Lovaina en Bélgica publicaron un informe desastroso para el mundo de las tecnologías de la información. El estándar de cifrado WPA2, que supuestamente proporciona una conexión WLAN segura en miles de millones de dispositivos en todo el mundo, se había roto.

La vulnerabilidad se llamaba KRACK, abreviatura de Key Reinstalación Attack. Hasta entonces, WPA2 se consideraba absolutamente seguro. Desde 2006, el cifrado es obligatorio para todos los dispositivos con certificación WiFi. Casi todos los dispositivos habilitados para WLAN de los últimos doce años se han visto afectados.

¿Qué ha estado pasando desde octubre? La buena noticia es que la vulnerabilidad puede ser tapada con un parche. Las malas noticias: por mucho no todos los dispositivos reciben la actualización necesaria. “Los principales fabricantes -como Microsoft, Apple y Samsung- ofrecen a sus dispositivos actuales actualizaciones”, dice Dennis Schirrmacher de la revista especializada “c’ t”. Los routers ampliamente usados como las cajas Fritz! también recibirían actualizaciones automáticas. “Con routers más antiguos y muchos otros dispositivos WLAN, no pasa nada.”

Esto se aplica en particular a la “Internet de las Cosas”: los dispositivos conectados a la WLAN, como televisores o impresoras inteligentes, en la mayoría de los casos no recibirán una actualización, especialmente los dispositivos más antiguos no la recibirán. Muchos routers también quedan en blanco. La actualización manual no es fácil para los legos. Esto significa que la vulnerabilidad todavía está presente en muchos dispositivos.

Pero ¿cuán alto es el riesgo de navegar sin actualizarse a través del cifrado WPA2? “El esfuerzo para el atacante sigue siendo muy alto a pesar de la brecha”, dice Schirrmacher. “Eso sólo vale la pena para blancos particularmente atractivos, como el espionaje industrial”. Los usuarios de WLAN, por otra parte, tienen poco que temer en el ámbito privado.

Así es como funciona un ataque KRACK

Esto se debe al punto débil que KRACK explota. En términos simples, los paquetes de datos WPA2 están respaldados con una clave de número única que no se puede utilizar más de una vez. Estas teclas se intercambian entre los dispositivos y no se pueden leer.

Durante la configuración de prueba del KRACK, esta llave fue interceptada por manipulación del tráfico de radio. El receptor se bloquea a tiempo y sólo recibe datos incompletos. Esto lleva a una repetición del transporte, en la que se utiliza la misma clave de número que antes. De este modo se aprovecha el principio de la llave única. Los investigadores de la Universidad de Lovaina han publicado explicaciones detalladas en un sitio web.

Por lo tanto, los atacantes tendrían que poder manipular el tráfico de radio WLAN. Dada la corta gama de enrutadores domésticos, tendrían que estar muy cerca de los dispositivos. Es más probable que las redes públicas, como los aeropuertos o los cafés, representen un riesgo.

WPA3 en la planificación

Pero también en este caso, un ataque dirigido es difícil de implementar. Por lo tanto, el riesgo de ser víctima de KRACK es muy bajo. Bajo ninguna circunstancia debe cambiar al cifrado WPA o WEP anterior. Éstos son considerablemente menos seguros y pueden ser decodificados con mucho menos esfuerzo.

KRACK hace poco daño, pero WPA2 es ahora inseguro. La WiFi Alliance anunció el desarrollo de WPA3 en enero en la feria CES de Las Vegas. Esta encriptación no sólo debería cerrar la brecha de KRACK, sino también proteger mejor las redes que sólo están protegidas con una contraseña débil.

Sin embargo, Matteo Cagnazzo del Instituto para la Seguridad de Internet en Gelsenkirchen señala que WPA3 tampoco promete seguridad para todos:”No se dice que los dispositivos antiguos sean compatibles con WPA3 o que reciban actualizaciones. Si aún no has recibido una actualización de KRACK, es aún menos probable.” Por lo tanto, puede ser necesario adquirir nuevos equipos para obtener más seguridad.

La información precisa sobre compatibilidad y una fecha de lanzamiento específica están aún pendientes. Sin embargo, este año ha llegado el momento. Hasta entonces, los usuarios no deberían enviar datos confidenciales a través de WLAN en lugares públicos.