Tipos de cifrado en las redes WiFi

Actualmente, tenemos multitud de redes WiFi repartidas por todo el mundo, tanto en sitios públicos como privados, e incluso en empresas. Podemos decir que Internet mueve el mundo, y el poder conectar distintos dispositivos sin necesidad de que estén todos cableados facilita la propagación de la red.

Vamos a detallar los distintos tipos de cifrado que hay en las redes WiFi:

  • Cifrado WEP: según sus siglas en Inglés, Wired Equivalent Privacy, es el protocolo más antiguo de cifrado que se utiliza en las redes WiFi. Es el más inseguro, puesto que no sólo hablamos de que la clave sea fácilmente interceptable, sino que además tras múltiples vulnerabilidades detectadas a lo largo de su funcionamiento (cabe destacar que entró en marcha en el año 2001) es posible esnifar el tráfico de los clientes conectados sin tener propiamente la clave, lo que es un grave riesgo para la privacidad y seguridad de los clientes.

El problema es que aunque la mayoría de dispositivos soportan mayor tipo de   cifrado, muchos soportan únicamente WEP, lo que obliga a bajar la seguridad de la red WiFi a este tipo de cifrado para poder conectar dicho dispositivo.

main-qimg-ef549284f224b1d22fed5f52203f0a25.png

Esquema de funcionamiento del intercambio de clave WEP, extraído de Quora

  • Cifrado WPA:  según sus siglas en Inglés, Wi-Fi Protected Access. Se creó precisamente para paliar los problemas de seguridad que tenía el cifrado WEP. Dentro de WPA tenemos dos formas distintas de generación de las claves: TKIP y AES. Debido a que como todo se va avanzando y progresando, actualmente WPA-TKIP no es segura puesto que permite la reinyección de paquetes, entre otros. Realmente, WPA simplemente fue un protocolo de paso, puesto que el estandar definitivo llegó con WPA2 como veremos ahora.

 

  • Cifrado WPA2: a día de hoy, es el sistema de cifrado más seguro: WPA2-AES, y ya no sólo hablamos de seguridad, sino de velocidad. Cuando mencionamos TKIP en el apartado de WPA, lo que hace este protocolo como sus siglas indican, Temporary Key Integrity Protocol, es ir rotando las claves cada X tiempo. El problema de esto es que aparte que se ha declarado inseguro porque las claves siguen determinado patrón, es que el router en este caso tiene que estar todo el rato generando nuevas claves y enviándolas a los dispositivos, por lo que ralentiza la conexión.

Cabe destacar que la seguridad en WPA2-AES reside en la utilización del protocolo AES, utilizado incluso por el Gobierno de los Estados Unidos debido a la seguridad que ofrece (solo es posible su crackeo mediante persistentes ataques de fuerza bruta)

Por último, decir que WPA va más alla, puesto que existe un determinado tipo de cifrado que utiliza WPA, pero no es WPA-PSK, es decir: no utiliza una clave precompartida (PreSharedKey) que tienen los dispositivos; sino que a través de un servidor RADIUS, que es el que genera las claves, requiere identificación mediante usuario, contraseña o certificado digital. Este tipo de cifrado se utiliza en grandes empresas, instituciones, y es bastante útil para un administrador de red puesto que el servidor RADIUS tiene toda la red bajo control y puede, por ejemplo, anular un usuario sin que el resto se vean afectados (ya sabemos que el hecho de cambiar la clave en casa puede ser algo pesado teniendo en cuenta todos los dispositivos que tenemos, imagina lo que debe de ser en una empresa de 200 empleados o más)

  • WPS: sí, ya sé que no es un cifrado como tal; no obstante conviene mencionar lo que es y como funciona. Como hemos dicho anteriormente, WPA2-AES es bastante seguro y su única debilidad es el ataque de fuerza bruta. El problema vino cuando se introdujo, junto con el salto a WPA esta tecnología llamada WPS o Wifi Protected Setup. Lo que permite esta función es que a través de un PIN numérico de 8 dígitos o tras pulsar un botón físico del router en cuestión, este nos devuelve la clave de la red directamente.

Cisco_router_WPS_button

Botón WPS (azul) en un router de Cisco, fuente: Wikipedia

¿Cómo? ¿Un PIN numérico de 8 dígitos sólo? ¿Y eso no afecta a la seguridad de la red? Pues, evidentemente, sí, y mucho. Para alguien que quiere la clave de la red, es mucho más sencillo lanzar un ataque de fuerza bruta de 00000000 a 99999999 que ir a ciegas lanzando el ataque de fuerza bruta contra un handshake (ya entraremos en profundidad sobre qué es eso). Y aún hay más: muchos routers (incluyendo los que nos ponen los ISP) traen como PIN preconfigurados 12345670, y otros siguen un patrón que hasta nuestros móviles son capaces de aplicar y conectarnos al instante, lo que reduce una clave ultrasegura de WPA2-AES en un simple caramelo para cualquiera que busque en YouTube “hackear wifi wps”

Y aquí finalizamos esta explicación de los tipos de cifrado. ¿Y tú, que tipo de cifrado tienes en casa? ¿Tienes WPS activado?