Seguridad inalámbrica con frases de contraseña

Usar una frase de contraseña para obtener acceso a una red inalámbrica y luego crear las claves de cifrado para asegurar esa conexión, es casi 802,11. Introducido originalmente como Protocolo de equivalencia alámbrica, o WEP, la última versión es WPA3-SAE, o Autenticación simultánea de iguales. Aunque muchos de los procesos y tecnologías en segundo plano han cambiado, el método y la facilidad de uso para el usuario final no han cambiado mucho; esto lo convierte fácilmente en el método más utilizado de todas las técnicas en uso para asegurar una conexión Wi-Fi.

La frase de contraseña

Usar una frase de contraseña para acceder a algo es casi tan antiguo como los propios humanos. Diga la palabra secreta o secuencia de palabras a la persona adecuada y se le conceda acceso. Por lo tanto, es muy fácil para las personas entender y utilizar la versión de contraseña de seguridad cuando estos tipos de redes se descubren en la naturaleza.

Barra lateral muy rápida aquí... La frase de contraseña que se analiza aquí no es la misma que la que se introduce en un portal cautivo. Los portales cautivos no son una herramienta de seguridad. Nunca han sido y nunca serán. Lo que se comenta aquí son las frases de contraseña que se utilizan para cifrar la conexión entre el cliente y el AP, no una barrera para acceder a Internet.

El cifrado original utilizado en Wi-Fi era WEP. Esperamos que todos sepan y comprendan que el WEP se vio comprometido a principios de los 2000 con herramientas como aircrack.ng y John the Ripper. El WEP contiene un par de fallos mortales que le permiten ser atacado por fuerza bruta en cuestión de segundos, lo que le llevó a “retirarse oficialmente” en 2004. Digo “retirado oficialmente” porque, aunque los problemas con WEP aún existen, hay redes que se pueden encontrar en uso hoy en día que aún utilizan WEP gracias a los dispositivos del cliente que no admiten ningún cifrado más reciente.

En 2003, después de que WEP se hubiera visto comprometida, pero antes de que el IEEE pudiera introducir oficialmente la enmienda 802.11i, la Wi-Fi Alliance lanzó WPA como una solución stop-gap para redes que necesitaban migrar desde WEP antes de que se ratificara 802.11i y se lanzara WPA2. Concedido, era un espacio de parada crítico, pero sin embargo, cuando 802.11i se ratificó en 2004 fue “reemplazado” por Wi-Fi Protected Access 2, o el protocolo WPA2 con el que todos estamos familiarizados ahora.

WPA2-Personal

WEP se descifraba fácilmente porque solo utilizaba una clave durante el proceso de cifrado y, si se capturaba esa clave, era un proceso sencillo simplemente reutilizar esa misma clave. WEP también fue muy limitado en el número de bits utilizados en el cifrado. Como regla general, menos bits = menos complejidad para descifrar = tiempos más rápidos para descifrar el cifrado.

Por suerte, con 802.11i tenemos WPA2 con cifrado AES-CCMP. AES-CCMP mejoró el algoritmo de cifrado general, incluido el número de bits utilizados en el cifrado. Más bits = más complejidad para descifrar = tiempos más largos para descifrar el cifrado.

Pero, como con todo, hay un acto de equilibrio en Wi-Fi. No obtenemos nada gratis. Los dispositivos más antiguos valoran la resistencia y la estabilidad, mientras que los dispositivos más nuevos buscan velocidad y flexibilidad. En el medio se encuentra el deseo de asegurarnos de mantener nuestras conexiones y datos seguros, aunque algunos de los dispositivos más críticos de nuestra red no siempre admiten la seguridad más reciente y excelente.

Intentar operar estos dispositivos antiguos y nuevos en el mismo SSID puede hacer loco a cualquier administrador, así que cualquier cosa que pueda hacer para lograr el equilibrio de mantener el funcionamiento antiguo y nuevo probablemente ocurrirá, incluyendo tener diferentes SSID en la misma radio para admitir las diferentes capacidades de seguridad.

Ahora, WPA2 ha sido nuestro amigo de confianza desde 2004 y, en su mayoría, nos ha servido bien. Claro, ha habido un contratiempo aquí y allá (¿recuerda KRACK?) pero cuando se implementa y gestiona de manera responsable, era y sigue siendo muy seguro. Sin embargo, cuando los investigadores examinaron WPA2-PSK en detalle, descubrieron algunos problemas con cómo crea las claves de cifrado.

Además, fue esta vez cuando la gente se dio cuenta de que WPA2 había estado fuera durante 14 años, y probablemente era hora de renovarse. Esta actualización tuvo lugar en 2018 en forma de WPA3.

Presentación de WPA3-SAE

Al igual que con todas las cosas de la tecnología, las innovaciones ayudan a los atacantes de una red tanto, si no más, como a los operadores y usuarios de red legítimos. A medida que aumentaban las velocidades y la capacidad del procesador para ayudar a las personas a hacer más en sus dispositivos móviles, también se aceleraba la fuerza bruta de contraseñas y credenciales capturadas en la naturaleza. La informática en la nube y las conexiones a Internet omnipresentes hicieron que a las organizaciones les fuera más rápido y fácil extender su carga de trabajo, igual que a los atacantes.

Lo que solía tardar meses en atacar por fuerza bruta ahora puede hacerse en días; lo que solía tardar semanas ahora puede agrietarse en horas, si no minutos. Con la capacidad de los atacantes de recopilar claves de cifrado de todas partes y luego enviarlas a una instancia de computación en la nube o de vuelta a un servidor de cracking central en el que trabajar, el coste de craquear una clave de cifrado es mucho más barato de lo que solía ser.

WPA3-SAE (autenticación simultánea de iguales) introdujo nuevos métodos de cifrado similares a los que se utilizan en 802.1X, lo que hace mucho más difícil descifrar en la naturaleza o fuera de línea utilizando un servidor de cracker de cifrado de fuerza bruta creado a medida para la tarea en cuestión. Lo único que no cambió es que WPA3-SAE sigue utilizando una contraseña proporcionada por los operadores de red al usuario final, igual que WPA2-Personal, WPA e incluso WEP. Aunque el cifrado de back-end es totalmente diferente, para los usuarios finales el proceso sigue siendo el mismo, simplemente más seguro debido a algunos procesos realmente técnicos que no cubriremos aquí.

Todavía no queremos compartir esta contraseña con todos los que conocemos en la calle, pero por el momento, WPA3-SAE utiliza algo conocido como criptografía de curva elíptica para generar las claves de cifrado sin necesidad de enviar ninguna parte de las claves por aire que los atacantes puedan capturar y luego aplicar ingeniería inversa. Y, por ahora, esto es algo que es imposible de descifrar para los atacantes. Sin embargo, al igual que con las generaciones anteriores, no todos los dispositivos actuales son compatibles con WPA3, por lo que todavía tenemos nuestro acto de equilibrio de antes.

Conclusión

En un mundo en el que parece que nos sentimos presionados para tener siempre lo “último y lo mejor”, algunos de los detalles pueden perderse en el shuffle. Aunque WPA2/3-Enterprise es el objetivo, no pasa nada si no todos los dispositivos terminan en esa red. Con WPA3-SAE tenemos un método de seguridad/cifrado basado en contraseñas que es comparable a la versión Enterprise, suponiendo que la gente no está compartiendo esa información en las redes sociales, ya sea accidentalmente o a propósito.

Aunque WPA2-Personal puede no ser la “mejor”, recuerde que con algunas prácticas recomendadas (como el uso de RUCKUS DPSK), la solución combinada sigue siendo realmente segura. Si bien WEP puede ser descifrado por un atacante competente en cuestión de segundos, se convierte en el requisito si es compatible con todos los dispositivos críticos de la red, aunque recomendaría MUCHO actualizar a casi cualquier cosa para salir de WEP. Pero esa es una conversación para un día diferente.

Aunque la seguridad a veces puede ser abrumadora para pensar y comprender, tenga la seguridad de que RUCKUS Networks está trabajando arduamente para permitir a su organización recorrer la línea entre mantener los dispositivos necesarios en la red, evitar que los dispositivos no deseados se unan y permitir a los administradores supervisar y administrar la red al mismo tiempo. Para obtener más información sobre cómo RUCKUS puede ayudar, consulte otros blogs de seguridad, las capacidades de segmentación de red de RUCKUS, las capacidades de incorporación y autenticación seguras y la puerta de enlace WAN (RWG) de RUCKUS.