La tercera es la vencida: El nuevo estándar de seguridad en WiFi, WPA3 ya es oficial

La Alianza Wi-Fi lanzó el 25 de junio la Wi-Fi Certified WPA3. La nueva generación de seguridad WiFi, que trae nuevas capacidades para aumentar las protecciones en redes inalámbricas y viene a reemplazar a su predecesor, el WPA2. La Alianza espera que WPA3 ya esté ampliamente implementado hacia fines de 2019, aunque otros creen que esto será un proceso que tardará varios años. Mientras se realice el cambio hacia WPA3, ambos protocolos continuarán interoperando.

WPA es acrónimo de Wi-Fi Protected Access y es un estándar de autenticación de dispositivos inalámbricos que utiliza el protocolo Advanced Encryption Standard (AES) para prevenir que hackers maliciosos capturen tus comunicaciones. WPA, WPA2 y WPA3 reemplazaron al Wired Equivalent Privacy o protocolo WEP, que como sabemos, era bastante fácil de romper. Ambos protocolos WPA preexistentes tuvieron un upgrade en capacidades a principios de año, puesto que ya se habían descubierto bastantes problemas de seguridad en ellos. Actualmente, el protocolo WPA2 es mandatorio en todos los dispositivos certificados para Wi-Fi, a pesar de los problemas de seguridad que presentaba. Sin embargo, la piedra de tope fue el descubrimiento y desarrollo, en 2016, y posterior publicación en 2017, del ataque de replay KRACK, que permite interceptar, acceder a información que previamente se creía encriptada de forma segura e incluso manipular el tráfico entre dispositivos. Si bien aún no será necesario que reemplacemos nuestros dispositivos, sí se espera que, en una primera instancia, los dispositivos reciban upgrades de firmware que permitan hacerlos compatibles con WPA3.

De no ser así sí será necesario reemplazarlos eventualmente, puesto que de lo contrario, quedarás expuesto a problemas de seguridad. Además, la nueva generación de Wi-Fi, la 802.11ax, ya viene, y a medida que los dispositivos vengan preparados para ella, también vengan preparados para WPA3. La Alianza dice que, a medida que la adopción crezca, el protocolo WPA3 será considerado obligatorio para que los dispositivos puedan tener la certificación Wi-Fi.

El estándar WPA3 continuará asegurando el mercado a través de dos modos de operación: WPA3-Personal y WPA3-Enterprise, para redes pequeñas y personales, y para redes más grandes y que consideren el advenimiento de la Internet de las Cosas, y proveerá grandes mejoras en términos de configuración, autenticación y encriptación, dificultándole la tarea a los atacantes maliciosos. Dentro de las más importantes mejoras que podemos encontrar están:

  • Protección contra ataques de Fuerza Bruta

WPA3 provee protección contra ataques de diccionario, incluso si es que escoges contraseñas menos complejas, dado que impone límites estrictos al número de veces que un usuario puede intentar adivinar la contraseña de una red.

  • WPA3 Forward Secrecy

Implementa un handshake más robusto y que no es vulnerable a exploits como KRACK. Se llama Dragonfly Protocol o Simultaneous Authentication of Equals (SAE) y endurece la seguridad, dado que previene que los atacantes decripten el tráfico antiguo, incluso si es que hubiesen adquirido la contraseña de la red

  • Encriptación más robusta para redes críticas

En su versión Enterprise, WPA3 incorpora un algoritmo de encriptación mucho más fuerte, destinado a redes industriales, de defensa y gobierno. Específicamente, incluye el equivalente a encriptación de 192-bit, que se alinea con la suite CNSA (Commercial National Security Algorithm). Esta característica fue requerida por el CNSS (Committee on National Security Systems), una entidad de la NSA

  • Protección para redes Wi-Fi públicas o abiertas

Esta característica es fantástica, pues disminuye notablemente el riesgo de ataques Man-in-the-Middle al que estamos expuestos cada vez que nos conectamos a redes abiertas en cafés, aeropuertos, restoranes, universidades, lo que se te ocurra. Lo hace a través de encriptación individualizada, con Opportunistic Wireless Encryption (OWE), que encripta cada conexión entre un dispositivo y el router con una clave única. Entonces, incluso si el punto de acceso no requiere una contraseña (o sea, si es una red abierta), tu dispositivo y los datos que de él emanen no estarán expuestos a la red ni a los atacantes

Además, la Alianza ha introducido el Wi-Fi Easy Connect, una nueva característica que viene destinada a la Internet de las Cosas, especialmente pensada para que los dispositivos sin pantalla (o incluso, sin botones) puedan conectarse con facilidad a los routers y es un reemplazo para WPS (Wi-Fi Protected Setup), que ya ha sido considerado como inseguro. Si el dispositivo soporta Easy Connect, podrás escanear el código QR correspondiente del dispositivo con tu teléfono para enviar las credenciales entre el dispositivo y el router, de modo que éstos se conecten. Esta característica suena útil, pero se espera que este completamente implementada en años, dado que requiere la interacción de ya 3 dispositivos, al menos, que la soporten. Pasará un buen tiempo hasta que la adopción sea completa.

Qualcomm fue la primera compañía que anunció (en mayo de 2018) la implementación del nuevo estándar en la fabricación de sus productos, ya en el chip para sus teléfonos Snapdragon 845 en junio y para sus access points en julio. La adopción de WPA3 ya ha comenzado y le damos una merecida y esperada bienvenida!