21Jul
WPA2 con una contraseña segura es segura siempre que deshabilite WPS.Encontrará este consejo en guías para proteger su wifi en toda la web. La configuración protegida de Wi-Fi fue una buena idea, pero usarla es un error.
Su enrutador probablemente sea compatible con WPS y probablemente esté habilitado de manera predeterminada. Al igual que UPnP, esta es una característica insegura que hace que su red inalámbrica sea más vulnerable a los ataques.
¿Qué es la instalación protegida de Wi-Fi?
La mayoría de los usuarios domésticos deberían usar WPA2-Personal, también conocido como WPA2-PSK.El "PSK" significa "clave precompartida". Configura una frase de contraseña inalámbrica en su enrutador y luego proporciona la misma frase de contraseña en cada dispositivo que conecte a su red WI-Fi. Esto esencialmente le proporciona una contraseña que protege su red Wi-FI del acceso no autorizado. El enrutador deriva una clave de encriptación de su frase de contraseña, que usa para encriptar el tráfico de su red inalámbrica a fin de garantizar que las personas que no tengan la clave no puedan escucharla.
Esto puede ser un poco incómodo, ya que debe ingresar su frase de contraseña en cada dispositivo nuevo que conecte. Wi-FI Protected Setup( WPS), se creó para resolver este problema. Cuando se conecta a un enrutador con WPS habilitado, verá un mensaje que le indicará que puede usar una forma más fácil de conectarse en lugar de ingresar su frase de contraseña de Wi-Fi.
Por qué la configuración protegida de Wi-Fi es insegura
Hay varias maneras diferentes de implementar la configuración protegida de Wi-Fi:
PIN : El enrutador tiene un PIN de ocho dígitos que debe ingresar en sus dispositivos para conectarse. En lugar de verificar todo el PIN de ocho dígitos a la vez, el enrutador verifica los primeros cuatro dígitos por separado de los últimos cuatro dígitos. Esto hace que los PIN de WPS sean muy fáciles de "usar fuerza bruta" adivinando diferentes combinaciones. Solo hay 11,000 códigos de cuatro dígitos posibles, y una vez que el software de fuerza bruta obtiene los primeros cuatro dígitos correctos, el atacante puede pasar al resto de los dígitos. Muchos enrutadores de consumo no se desconectan después de proporcionar un PIN de WPS incorrecto, lo que permite a los atacantes adivinar una y otra vez. Un PIN de WPS puede ser forzado en aproximadamente un día.[Fuente] Cualquiera puede usar el software llamado "Reaver" para descifrar un PIN de WPS.
Push-Button-Connect : en lugar de ingresar un PIN o una frase de contraseña, simplemente puede presionar un botón físico en el enrutador después de intentar conectarse.(El botón también puede ser un botón de software en una pantalla de configuración.) Esto es más seguro, ya que los dispositivos solo se pueden conectar con este método durante unos minutos después de presionar el botón o después de que se conecta un solo dispositivo. No estará activo y disponible para explotar todo el tiempo, como lo es un PIN de WPS.La conexión con botón pulsador parece en gran medida segura, con la única vulnerabilidad de que cualquier persona con acceso físico al enrutador podría presionar el botón y conectarse, incluso si no conocía la frase de contraseña de Wi-Fi. El PIN
es obligatorio
Aunque la conexión por botón pulsador es seguramente segura, el método de autenticación PIN es el método básico obligatorio que todos los dispositivos certificados WPS deben admitir. Así es, la especificación WPS exige que los dispositivos implementen el método de autenticación más inseguro.
Los fabricantes de enrutadores no pueden solucionar este problema de seguridad porque la especificación WPS requiere un método inseguro para verificar los PIN.Cualquier dispositivo que implemente Wi-FI Protected Setup de acuerdo con la especificación será vulnerable. La especificación en sí no es buena.
¿Se puede deshabilitar WPS?
Existen varios tipos diferentes de enrutadores.
- Algunos enrutadores no le permiten deshabilitar WPS, sin proporcionar ninguna opción en sus interfaces de configuración para hacerlo.
- Algunos enrutadores proporcionan una opción para deshabilitar WPS, pero esta opción no hace nada y WPS aún está habilitado sin su conocimiento. En 2012, este error se encontró en "cada punto de acceso inalámbrico Linksys y Cisco Valet probado. .." [Fuente]
- Algunos enrutadores le permitirán desactivar o habilitar WPS, sin ofrecer ninguna opción de métodos de autenticación.
- Algunos enrutadores le permitirán deshabilitar la autenticación WPS basada en PIN mientras sigue usando la autenticación de botón.
- Algunos enrutadores no son compatibles con WPS en absoluto. Estos son probablemente los más seguros.
Cómo deshabilitar WPS
Si su enrutador le permite deshabilitar WPS, es probable que encuentre esta opción en Wi-FI Protected Setup o WPS en su interfaz de configuración basada en web.
Al menos debe deshabilitar la opción de autenticación basada en PIN.En muchos dispositivos, solo podrá elegir habilitar o deshabilitar WPS.Elija deshabilitar WPS si esa es la única opción que puede hacer.
Estaríamos un poco preocupados por dejar WPS habilitado, incluso si la opción PIN parece estar deshabilitada. Dado el terrible historial de los fabricantes de enrutadores en lo que respecta a WPS y otras características inseguras como UPnP, ¿no es posible que algunas implementaciones de WPS continúen haciendo que la autenticación basada en PIN esté disponible incluso cuando parece estar deshabilitada?
Claro, en teoría podría estar seguro con WPS habilitado siempre que la autenticación basada en PIN esté desactivada, pero ¿por qué correr el riesgo? Todo lo que WPS realmente hace es permitirle conectarse a Wi-Fi más fácilmente. Si creas una frase de contraseña que puedas recordar fácilmente, deberías poder conectarte igual de rápido. Y esto es solo un problema la primera vez: una vez que haya conectado un dispositivo una vez, no debería tener que volver a hacerlo. WPS es muy arriesgado para una característica que ofrece un beneficio tan pequeño.
Crédito de la imagen: Jeff Keyzer en Flickr