La mayor actualización de seguridad Wi-Fi en 14 años fue presentada recientementepor Wi-Fi Alliance. El protocolo de certificado de seguridad Wi-Fi Protected Access 3 (WPA3) proporciona algunas actualizaciones muy necesarias para el protocolo WPA2 introducido en 2004. En lugar de un trabajo mayorista de seguridad Wi-Fi, WPA3 se enfoca en traer nuevas técnicas contra las grietas que han comenzado a mostrarse en WPA2.
Wi-Fi Alliance también anunció dos protocolos de certificación adicionales y adicionales junto con WPA3. Los protocolos Enhanced Open y Easy Connect no dependen de WPA3, pero sí mejoran la seguridad para tipos específicos de redes y ciertas situaciones.
Todos estos protocolos ahora están disponibles para que los fabricantes los incorporen a sus dispositivos. Si WPA2 es algo por lo que pasar, estos protocolos finalmente verán la adopción universal, pero Wi-Fi Alliance no ha establecido ningún tipo de línea de tiempo cuando eso debería suceder. Lo más probable es que, a medida que los nuevos dispositivos lleguen al mercado, eventualmente veamos un punto de inflexión en el que WPA3, Enhanced Open y Easy Connect son nuevos pilares.
Entonces, ¿qué hacen todos estos nuevos protocolos de certificación? Hay muchos detalles, y dado que la mayoría de ellos se ocupan del cifrado inalámbrico, también hay muchas matemáticas complicadas, pero aquí está la esencia de los cuatro cambios principales que estos protocolos aportarán a la seguridad inalámbrica.
Autenticación simultánea de iguales
Este es el mayor cambio que WPA3 trae a la mesa. El momento más importante para la defensa de cualquier red es cuando un nuevo dispositivo o usuario intenta conectarse. El enemigo debe permanecer fuera de la puerta, por lo que WPA2 y ahora WPA3 ponen mucho énfasis en autenticar nuevas conexiones y garantizar que no sean intentos de los atacantes para obtener acceso.
La autenticación simultánea de iguales (SAE) es un nuevo método para autenticar un dispositivo que intenta conectarse a una red. Una variación del llamado apretón de manos libélula que usa criptografía para evitar que un intruso adivine una contraseña, SAE dicta exactamente cómo un nuevo dispositivo, o usuario, debería “saludar” a un enrutador de red cuando intercambian claves criptográficas.
SAE reemplaza el método de clave precompartida (PSK) que se ha usado desde que se introdujo WPA2 en 2004. PSK también se conoce como un apretón de manos de cuatro vías, después de la cantidad de apretones de manos o mensajes de ida y vuelta, que tenían pasar entre un enrutador y un dispositivo de conexión para ambas partes para demostrar que conocían una contraseña previamente acordada sin que ninguno de los lados lo revelara abiertamente. Hasta 2016, PSK parecía seguro, hasta que se descubrieron los Ataques de Reinstalación Clave (KRACK).
Un KRACK interrumpe la serie de apretones de manos fingiendo perder temporalmente la conexión al enrutador. En realidad, está utilizando las oportunidades de conexión repetidas para analizar los apretones de manos hasta que se junta lo que la contraseña debe ser. SAE bloquea este tipo de ataque, así como los ataques de diccionario sin conexión más comunes, en los que una computadora genera cientos, miles o millones de contraseñas para determinar qué contraseña coincide con la información de verificación proporcionada por los apretones de manos de PSK.
Como su nombre indica, SAE funciona considerando los dispositivos como iguales, en lugar de tratar a un lado como un solicitante explícito y al otro lado un autenticador (tradicionalmente el dispositivo de conexión y el enrutador, respectivamente). Cualquiera de las partes puede iniciar el apretón de manos, y luego proceden a enviar su información de autenticación de forma independiente, más bien como parte de un intercambio de ida y vuelta. Sin el vaivén, KRACK no tiene ningún lugar para poner un pie en la puerta, y los ataques de diccionario son inútiles.
SAE ofrece una característica de seguridad adicional que PSK no: reenvía el secreto. Supongamos que un atacante obtiene acceso a los datos cifrados que un enrutador está enviando y recibiendo desde una Internet más amplia. Anteriormente, el atacante podía retener esos datos. Luego, más tarde, si lograron atrapar una contraseña, podrían descifrar los datos almacenados anteriormente. Con SAE, la contraseña de cifrado se cambia cada vez que se establece una conexión, por lo que incluso si un atacante engañó a la red, solo pudieron robar las contraseñas para descifrar los datos transmitidos después de ese momento.
SAE se define en el estándar IEEE 802.11-2016 , que, dicho sea de paso, tiene más de 3500 páginas.
Protocolos de seguridad de 192 bits
WPA3-Enterprise , una versión de la certificación WPA3 orientada a instituciones financieras, gobiernos y corporaciones, cuenta con un cifrado de 192 bits. Este es un nivel de seguridad excesivo para, por ejemplo, un enrutador en una red doméstica, pero tiene sentido para las redes que se ocupan de información particularmente confidencial.
Wi-Fi actualmente ofrece seguridad con seguridad de 128 bits. El protocolo de seguridad de 192 bits no será obligatorio, sino una configuración opcional para las instituciones que lo quieran o lo requieran para sus redes. Wi-Fi Alliance también hace hincapié en que las redes empresariales deben tener un alto nivel de fortaleza criptográfica en todo: la fortaleza general de la seguridad de un sistema depende de su eslabón más débil.
Para garantizar que toda la seguridad de una red, de extremo a extremo, cumpla este nivel de coherencia, WPA3-Enterprise utilizará un protocolo de modo Galois / contador de 256 bits para el cifrado, un modo de Autenticación de mensaje hashed de 384 bits para crear y confirmar claves, y un intercambio de Curva elíptica Diffie-Hellman y Algoritmo de Firma Digital de Curva Elíptica para autenticar claves. Son muchas matemáticas complicadas, pero el resultado es que cada paso del proceso mantendrá un mínimo de cifrado y seguridad de 192 bits para las organizaciones que lo deseen.
Easy Connect
Easy Connect es un reconocimiento de la gran cantidad de dispositivos conectados en el mundo de hoy. Si bien no todo el mundo puede estar apuntando a la tendencia de la casa inteligente, es probable que la persona promedio tenga al menos unos pocos dispositivos conectados a su enrutador doméstico más que en 2004. Easy Connect es el esfuerzo de la Alianza Wi-Fi para conectar todo esos dispositivos más intuitivos.
En lugar de ingresar contraseñas cada vez que desee agregar algo a su red, los dispositivos tendrán códigos QR únicos; cada código de dispositivo funcionará como una especie de clave pública. Para agregar un dispositivo, escanea el código usando un teléfono inteligente ya conectado a la red.
Después de escanear un código QR, la red y el dispositivo intercambian y autentican claves para conexiones posteriores. Easy Connect es un protocolo separado para WPA3: los dispositivos certificados Easy Connect deben contar con la certificación WPA2, pero no necesariamente con la certificación WPA3.
Abierto mejorado
Enhanced Open es otro protocolo separado, esta vez diseñado para protegerte mientras estás en una red abierta. Las redes abiertas, es decir, las redes a las que se conecta en cafeterías y aeropuertos, vienen con un conjunto de problemas de los que normalmente no tiene que preocuparse cuando se conecta a una red doméstica o de trabajo.
Muchos de los ataques que ocurren en redes abiertas son ataques pasivos. Con toneladas de personas conectadas a la red, un atacante puede obtener una gran cantidad de datos al sentarse y analizar los datos que entran y salen.
Enhanced Open utiliza el Cifrado Inalámbrico Oportuno (OWE), definido en el estándar de la Fuerza de Trabajo de Ingeniería de Internet RFC8110 , para protegerse contra este tipo de escuchas pasivas. OWE no requiere ningún tipo de protección de autenticación adicional; se centra en mejorar el cifrado de los datos enviados a través de redes públicas para que los espías no puedan robarlo. También previene la llamada inyección de paquetes no sofisticada, en la cual un atacante intenta subvertir las operaciones de la red construyendo y transmitiendo paquetes de datos que parecen ser parte de las operaciones normales de la red.
El motivo por el que Enhanced Open no proporciona ninguna protección de autenticación se debe a la naturaleza de las redes abiertas; por diseño, están disponibles para uso general. Enhanced Open fue diseñado para mejorar la defensa de una red abierta contra ataques pasivos sin requerir que los usuarios comunes ingresen contraseñas adicionales o pasen por pasos adicionales.
Pasarán unos años antes de que WPA3, Easy Connect y Enhanced Open se conviertan en la norma. La adopción pública de WPA3 en particular ocurrirá cuando los enrutadores sean reemplazados o actualizados. Sin embargo, si le preocupa la seguridad de una red personal, debería poder reemplazar su enrutador actual con un enrutador certificado WPA3 a medida que los fabricantes comiencen a venderlo en los próximos meses.