Al salir de casa o de la oficina la posibilidad de acceder a una red Wifi sin costo es una oferta tentadora porque no consumimos el plan de datos y seguimos conectados. Lo que menos consideramos al conectar el dispositivo móvil es la seguridad.
Durante la competencia deportiva que atrae a gran parte de las personas en el mundo, el beneficio de conectarse en cualquier lugar para disfrutar un partido es realmente atractivo. Los sitios destino lo saben e incluyen en sus ofertas la conexión gratuita durante los partidos. Y que decir de la propuesta de Rusia al permitir a los aficionados en los estadios conectarse a Wifi gratuito para que puedan compartir sus instantáneas e impresiones de lo que acontece durante su permanencia en el recinto deportivo. Conectar un dispositivo móvil es una demanda de los usuarios que se toma muy en cuenta en las estrategias de mercadeo y servicio al cliente.
La tecnología de redes inalámbricas es cada día la forma más usual con la que nos conectamos a Internet, lo que ha generado que centros comerciales, cafés, hoteles, restaurantes y empresas brinden dentro de sus servicios usuales una conexión de este tipo para atraer clientes o satisfacer a sus empleados. Sin embargo, ¿Cuántas de estas redes brindan un servicio seguro o garantizan que la información de sus usuarios está protegida?
Para muchas empresas la gestión de la seguridad de la red inalámbrica no es más sino colocar un portal donde sus clientes entreguen datos de usuarios y contraseñas, pero la seguridad de la comunicación es mucho más que solo controlar el acceso a la red, es necesario usar un cifrado que permita que las comunicaciones no puedan ser interceptadas en el aire.
La Alianza WiFi ha ido creando desde 1997 estándares orientados para que las comunicaciones inalámbricas siempre sean cifradas, siendo el primer protocolo el WEP (Wired Equivalent Privacy), el cual dejó de considerarse seguro en el 2001, aunque actualmente es posible encontrar cientos de redes que usan este mecanismo obsoleto.
Debido a la fragilidad de WEP, la alianza desarrolla el protocolo de seguridad WPA (WiFi Protected Access) en 2003. Sin embargo, errores de seguridad hicieron que saliera una segunda versión en 2004, llamada WPA2, la cual es la más usada en las redes actualmente.
Pero tras 13 años sin modificaciones y entregando garantía en la seguridad de las redes inalámbricas, unos investigadores encontraron una vulnerabilidad crítica que expone la seguridad de todas las comunicaciones inalámbricas. Desde noviembre de 2017, la alianza anunció que se trabajaba en la versión 3 de este protocolo para restablecer la seguridad y confianza en las redes inalámbricas.
Tras 8 meses de espera, se ha lanzado oficialmente la versión 3 del protocolo de cifrado de comunicaciones inalámbricas WPA3, que trae varias modificaciones para que las empresas puedan gestionar de mejor forma la seguridad con la que sus clientes se conectan a la red. Actualizando el protocolo no solo para las redes de hogar sino enfocando esfuerzos en seguridad de redes empresariales y redes para Internet de las Cosas, dentro de las que destacan las siguientes:
- Seguridad en redes públicas abiertas: Esta característica es muy importante para las empresas que brindan servicio de conexión a Internet a sus clientes, como son restaurantes, centros comerciales, hoteles y demás, porque la seguridad de la conexión a sido mejorada con cifrado individualizado en el tráfico entre cada dispositivo y el punto de acceso a la red inalámbrica.
- Secreto Asegurado: Debido a que uno de los ataques que vulnero la seguridad de WPA2 fue la posibilidad de descifrar tráfico capturado posteriormente, en esta versión del protocolo se implementó una capa de seguridad que evita que si un atacante captura tráfico, pueda posteriormente descifrarlo, limitando a los atacantes a descifrar en tiempo real y aumentando la complejidad de este ataque.
- Cifrado fuerte opcional: Pensado para las redes empresariales que transmiten información sensible o que tienen dispositivos de IoT con información confidencial, es posible mejorar el nivel de cifrado de la red, mitigando cualquier intento de descifrar esta información.
- Protección a Fuerza Bruta: Uno de los ataques comunes que se usan para encontrar la contraseña de conexión es llamado fuerza bruta, la cual se basa en probar diferentes contraseñas hasta encontrar la que es válida, pero con el nuevo protocolo este ataque se ve controlado, limitando no solo los ataques a la conexión sino también a los ataques sin conexión, haciendo mucho más complejo que se encuentre la contraseña por parte de los atacantes.
Estas nuevas características buscan que la nueva versión del protocolo sea rápidamente usada por empresas y hogares, mejorando la seguridad de las comunicaciones en Internet inalámbrico y no solo garantizando controles de acceso como muchos lugares ofrecen hoy en día a sus clientes.
Se espera que, con el lanzamiento oficial por parte de la alianza de Wifi, todos los fabricantes inicien los procesos de actualización de sus dispositivos y chips de conexión, en dispositivos convencionales y en los dispositivos de Internet de las Cosas.
Recuerde la seguridad en todo momento, si es posible utilice una VPN para navegar de forma más segura. Al conectar su dispositivo móvil a una red tome en cuenta las medidas de seguridad. No olvide actualizar los antivirus de sus equipos portátiles. Piense en seguridad antes de pedir la contraseña de la red Wifi y acceder a ella desde una conexión pública o privada que no conoce.
Diego Samuel Espitia Montenegro
Chief Security Ambassador ElevenPaths
@dsespitia