Tutoriales y Manuales
Entradas Mensuales
-
▼
2024
(Total:
1016
)
- ► septiembre (Total: 50 )
-
▼
marzo
(Total:
123
)
- Encuentran puerta trasera en biblioteca XZ en Linu...
- Twitter ha perdido a casi el 25% de sus usuarios
- Los trucos para acelerar rápida y fácilmente tu Ra...
- MSI SPATIUM M580 FROZR, el SSD PCIe 5.0 con hasta ...
- Copilot de Microsoft se ejecutará de forma local e...
- Construyen la cámara más rápida del mundo: 156,3 b...
- Investigadores belgas han estado entrenando una IA...
- "Es como Amazon en esteroides": cómo funciona Temu...
- Robo de cuentas de Apple mediante bombardeo MFA y ...
- Android 15 permitirá compartir la señal de audio v...
- Samsung 990 EVO vs PRO: comparación y diferencias ...
- WhatsApp mejorará su editor de fotos con funciones...
- El trazado de rayos de próxima generación mejorará...
- Microsoft publica un parche de emergencia para los...
- Europa investiga a Apple, Amazon, Meta y Google po...
- China prohíbe el uso de CPU AMD e Intel en PC gube...
- Las operadoras Españolas aún no han recibido la or...
- Vulnerabilidad incorregible en los procesadores Ap...
- Desmantelan los servidores en Alemania del mercado...
- Continúan los anuncios falsos de Broncano y Sobera...
- MacOS 14.4 causa el caos, los programas se cierran...
- Detenidas ocho personas por almacenar y distribuir...
- Android 15 permitirá enviar y recibir SMS vía saté...
- Estados Unidos demanda a Apple por crear un monopo...
- Web del MIT encuentra la IA que necesites
- Vídeo de Nvidia es el primero donde la IA apunta d...
- Cinco detenidos por robar 3,5 millones de euros co...
- La basura electrónica crece más rápido de lo que p...
- Loop DoS: nuevo ataque de DDoS basado en UDP
- Un grave fallo de seguridad del gobierno francés e...
- Microsoft anuncia Office 2024
- Francia multa a Google con 250 millones de euros p...
- Microsoft contrata a Mustafa Suleyman, cofundador ...
- Elon Musk reconoce tomar ketamina para salir de un...
- La inteligencia artificial superará a los humanos ...
- Descubren cómo romper la seguridad de ChatGPT para...
- Tesla pierde ya 600.000 millones en bolsa y sus pr...
- Confirman la condena del informático que dejó una ...
- Hackean a jugadores profesionales de ‘Apex Legends’
- YouTube avisará si un video realista fue creado co...
- NVIDIA presenta Blackwell GB200, su nuevo “superch...
- Llegan los filtros de belleza de Google Meet a su ...
- Sony PlasyStation PS5 Pro
- Historia de las tarjetas gráficas: los inicios de ...
- Detenidos el padre y el novio de una menor por gra...
- Vulnerabilidad de Kubernetes que permite la adquis...
- VLC supera los 5.000 millones de descargas entre e...
- Microsoft trabaja en una función para que escribas...
- Fluorescentes y luces de mala calidad pueden bajar...
- En España los ilustradores exigen a las editoriale...
- Asus Zenfone 11 Ultra
- WebTunnel Bridge, nueva herramienta de Tor contra ...
- Historia del nacimiento de Kazaa después del éxito...
- WPA3: el protocolo de seguridad más seguro para tu...
- Google tiene un agente de IA que aprende a jugar a...
- Cómo compartir archivos confidenciales por interne...
- En España un joven de Murcia robó 40 millones de m...
- Speedometer 3 es la nueva versión del benchmark má...
- OpenAI presenta Sora, la IA que crea vídeos ultrar...
- El Parlamento Europeo aprueba la Ley de inteligenc...
- Denuncian estafas para vender criptomonedas que us...
- ChatGPT, Claude 3 o Gemini Ultra: ¿cuál es la mejo...
- El móvil más barato de Xiaomi llega a España: Redm...
- Más de 12 millones de claves y secretos filtrados ...
- Taringa dice adiós tras 20 años de historia
- Airbnb prohíbe las cámaras de seguridad en interiores
- Bobby Kotick (Activision) quiere comprar TikTok co...
- Distrobox crea imágenes y ejecuta en contenedores ...
- Un informante de Boeing que señaló fallos de segur...
- Elon Musk va a por ChatGPT: su chatbot Grok será d...
- Mejores sistemas operativos para dispositivos NAS
- Actualizaciones en Windows 11 sin reiniciar
- Olivia Casta, la modelo que no existe
- Las ciberestafas ya son el segundo delito más denu...
- Donald Trump se opone al bloqueo de TikTok en EE. UU.
- Aumenta el uso de malware en ficheros PDF
- Microsoft confirma que está bajo el ataque de un g...
- Firefly llega a Adobe Express para Android e iOS
- Ciberdelincuentes aprovechan vulnerabilidades 0-da...
- Fallece Akira Toriyama, creador de series míticas ...
- Alguien se enfadó tanto con que el emulador de Swi...
- Nothing entra en la gama media con el Phone 2A, di...
- Actualizaciones críticas para VMware ESXi, Worksta...
- Microsoft y OpenAI publican una investigación conj...
- Filtrados millones de códigos de verificación de G...
- Un ingeniero de Microsoft advierte que la intelige...
- Haiper, la alternativa gratuita a Sora que mete mi...
- HBO Max prohibirá "enérgicamente" compartir cuentas
- OpenAI tacha de hipócrita a Elon Musk: quería el c...
- Apple trabaja en un MacBook plegable de 20 pulgada...
- Apple cancela la cuenta de desarrollador de Epic G...
- AntiSPAM con SpamAssassin
- En España será ilegal fotocopiar el DNI (Documento...
- Worldcoin ya es ilegal en España: la AEPD bloquea ...
- Vulnerabilidades en los paquetes de software de có...
- La Casa Blanca pidió a la industria que dejara de ...
- Windows 11 abandona el subsistema de apps para And...
- suyu: Yuzu resurge de sus cenizas en otra app sin ...
- Truco para mejorar el rendimiento del Explorador ...
- Claude 3: la nueva IA capaz de superar a GPT-4 y G...
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
En el panorama en constante evolución de la seguridad de redes, OpnSense se ha convertido en una formidable solución de firewall. Nacido de...
-
Pese a que Gemini ofrece multitudes de opciones, recientemente, se ha dado a conocer una situación fuera de lo común. Hace unos días, un es...
WPA3: el protocolo de seguridad más seguro para tu red WiFi
WPA3 emerge como una pieza clave en el mundo de la conectividad, puesto que proporciona un nivel más avanzado de seguridad para nuestras redes Wi-Fi. Para ello, introduce características innovadoras para contrarrestar amenazas de ciberseguridad, fortalece el sistema de cifrado y la protección de las contraseñas y, además, da la posibilidad de una configuración más simplificada.
Microsoft anunció que próximas actualizaciones de Windows 11 rechazarán establecer conexión con redes inalámbricas wifi que sigan utilizando protocolos de seguridad inseguros, como el viejo WEP y WPA/WPA2 TKIP, protegiendo así a sus usuarios de redes vulnerables a todo tipo de ataques que permiten el robo de información.
Evolución del cifrado wifi de WEP a WPA3
El primer protocolo de seguridad inalámbrica fue WEP, introducido en 1997 para proteger a las primeras versiones de wifi. Utiliza el algoritmo de cifrado RC4 (Rivest Cipher 4), en un primer momento con clave de 64 bits y posteriormente de 128. Fue declarado obsoleto en 2004 y hay numerosas herramientas disponibles para ejecutar todo tipo de ataques sobre las redes que lo siguen utilizando. En España aún lo utilizan el 7% de las redes wifi.
En 2003 apareció la primera versión de WPA como un remedio temporal para paliar los problemas de seguridad de WEP mientras se desarrollaba el más complejo WPA2. El hardware que soportaba WEP podía ser actualizado a WPA, ya que también se basa en el cifrado RC4, mejorado con TKIP (Temporal Key Integrity Protocol). En 2012 se declaró obsoleto, pero sigue siendo utilizado por el 13% de las redes en nuestro país.
Con WPA y sucesivas versiones se establecieron dos formas de autenticar el usuario ante la red. La primera, llamada WPA Personal, es el sistema más sencillo para redes de usuarios particulares. Consiste en el uso de una clave compartida PSK (Pre Shared Key) que introducimos en el router y el dispositivo cliente. El otro sistema, WPA-Enterprise, es utilizado en entornos corporativos. Recurre a EAP (Extensible Authentication Protocol) para autentificar al cliente ante un servidor RADIUS (Remote Authentication Dial-In User Service).
En 2004 se completó WPA2, convirtiéndose en característica obligada para todos los routers certificados desde 2006. Se trata del cifrado básico que actualmente debe usar una red para considerarse medianamente segura. WPA2 incorporó el cifrado seguro AES (Advanced Encryption Standard), pero para mantener la compatibilidad puede emplear el viejo TKIP.
WPA2 quiso facilitar la autenticación de los usuarios con WPS (Wi-Fi Protected Setup) mediante PIN, NFC o pulsando el conocido botón que traen la mayoría de routers y que permite asociar un cliente rápidamente sin introducir ningún dato. Pronto se demostró vulnerable y fue reemplazado por Device Provisioning Protocol (DPP), que permite que un cliente ya autentificado dé acceso a otros equipos compartiendo un código QR.
En 2018 llegó WPA3 que podemos encontrar en los puntos de acceso WiFi 6, que hasta la fecha es el protocolo de seguridad wifi más robusto. Además de la autentificación por clave con WPA3-Personal que sustituye PSK por SAE (Simultaneous Authentication of Equals) y por servidor con WPA3-Enterprise, incorpora Opportunistic Wireless Encryption (OWE), un tercer sistema pensado para redes abiertas que no piden clave al conectarse. Aun así, cifra individualmente el tráfico de cada cliente, por lo que es una alternativa segura a las redes abiertas donde cualquiera podría leer el contenido de la comunicación del resto de usuarios.
Qué es WPA3, el protocolo de seguridad para tu router
Se trata de la tercera versión del protocolo WPA introducido en 2018, relacionado con la seguridad en redes Wi-Fi con siglas provenientes de Wi-Fi Protected Access. La primera versión fue presentada en 2003, aunque solo tardó un año en ser sustituida por WPA2, la cual ya se considera obsoleta puesto que se descubrieron diversas vulnerabilidades.
La finalidad del protocolo WPA consiste en garantizar que los datos transmitidos son privados a través de la conexión Wi-Fi, evitando su interceptación por terceros, lo que es importante a la hora de realizar cualquier gestión online como puede ser una comunicación, una transacción bancaria o una compra.
Descubriendo su funcionamiento
En el protocolo WPA3 se introduce el modo Simultaneous Authentication of Equals (SAE), que resiste muchos más tipos de ataques y además también aborda vulnerabilidades en las contraseñas débiles mediante la implementación de protección contra ataques de diccionario durante la fase de autenticación.
WPA3 utiliza un cifrado de 192 bits. Este cifrado se logra mediante la combinación de la Autenticación Simultánea de Iguales (SAE, por sus siglas en inglés) con el cifrado de flujo de datos individualizado (Individualized Data Encryption). Esto refuerza significativamente la seguridad de la red inalámbrica al hacer más difícil para los atacantes realizar ataques de fuerza bruta y descifrar el tráfico de la red.
¿Cuáles son las diferencias respecto a WPA2?
WPA3 es un protocolo más seguro y robusto que WPA2, ya que resuelve algunas de sus vulnerabilidades, como el ataque KRACK que permitía romper el cifrado de WPA2 y acceder al tráfico de la red. WPA3 también se diseñó para proporcionar un mayor nivel de seguridad para las redes Wi-Fi. A continuación, detallamos algunas de sus características, aunque pueden variar dependiendo del dispositivo:
- Seguridad individualizada para cada dispositivo: introduce el cifrado individualizado para cada dispositivo, conocido como OWE. Esto ayuda a proteger las comunicaciones entre el punto de acceso y cada dispositivo conectado, incluso si se utiliza una contraseña débil o nula.
- Mejora en redes públicas: incluye mejores específicas para la seguridad en este tipo de redes, lo que ayudaría a proteger la privacidad de los usuarios en entornos donde son potencialmente menos seguras.
- Protección contra ataques de reenvío Man-in-the-Middle: hace más difícil que los atacantes intercepten y manipulen el tráfico entre dispositivos.
- Defensa a contraseñas débiles: incorpora mejoras en la autenticación y resistencia ante ataques que intenten adivinar la contraseña, lo que reduce la probabilidad de éxito de los ataques basados en contraseñas menos robustas.
- Protege contra ataques de desconexión: protección de ataques que intentan interrumpir la comunicación entre el dispositivo y el router.
- Protección contra ataques de suplantación: protege la red Wi-Fi contra ataques que intentan hacerse pasar por el router o por otro dispositivo para engañar al usuario.
¿Qué es WPA3?
Wi-Fi Alliance anunció el protocolo de seguridad WPA3 en 2018, que proporciona un método mucho más seguro y confiable para reemplazar WPA2 y los protocolos de seguridad más antiguos. Las deficiencias fundamentales de WPA2, como el handshake de cuatro vías imperfecto y el uso de una PSK (clave precompartida) permiten que sus conexiones Wi-Fi se expongan a un riesgo. WPA3 realiza mejoras de seguridad adicionales que hacen que sea más difícil entrar a las redes adivinando las contraseñas. Estas son las consideraciones de implementación recomendadas:
-
Protección de contraseña confiable
WPA3-Enterprise alarga el cifrado a 192 bits (cifrado de 128 bits en modo WPA3-Personal) para mejorar la seguridad de la contraseña. Protege contra contraseñas débiles que se pueden descifrar con relativa facilidad mediante adivinanzas.
- Protege tus dispositivos de red
WPA3 reemplaza la clave precompartida WPA2 (PSK) con autenticación simultánea de iguales (SAE) para evitar ataques de reinstalación de claves como el notorio KRACK. Mantendrá sus dispositivos de red seguros mientras se conecta a un punto de acceso inalámbrico. SAE también es una defensa efectiva contra los ataques de diccionario fuera de línea.
- Conexión más segura en área pública
Aunque los atacantes obtienen claves de cifrado de tráfico, es difícil calcular el uso del tráfico y los datos transmitidos con WPA3-Personal. SAE ofrece el beneficio del secreto directo y mucha más seguridad de los datos en una red abierta. WPA3 también proporciona marcos de gestión protegidos (PMF) para evitar escuchas y falsificaciones de áreas públicas.
Tipos de WPA3
Existen dos tipos: el WPA3 Personal y el WPA3 empresarial. El primero de ellos ofrece opciones como la creación de contraseñas más sencillas de recordar, protección para los datos almacenados y el tráfico en la web, incluso en casos de intromisión.
Mientras tanto, el empresarial ha sido diseñado para ser usado en redes del gobierno, empresas o instituciones financieras, mejorando el encriptado para salvaguardar datos confidenciales.
¿Cómo configurar el protocolo WPA3 en el router?
La configuración exacta para habilitar WPA3 puede variar según el modelo y la marca del router, pero en líneas generales, los pasos básicos son los siguientes:
- Verifica la compatibilidad de tu router, no todos admiten WPA3. Para ello, puedes buscar información en la página del fabricante o hacer una búsqueda por Internet introduciendo el modelo del router.
- Abre un navegador web e ingresa la dirección IP del router en la barra de direcciones. Por norma general suele ser: 192.168.1.1 o 192.168.0.1.
- Introduce el nombre de usuario y contraseña del router e inicia sesión. Si no conoces estos datos, prueba a revisar la documentación del router, o bien a probar con contraseñas tipo: admin, 1234 o similares, que en ocasiones vienen configuradas por defecto así. Otra opción es que consultes a tu operadora de Internet por esta información.
- A continuación, busca la sección de configuración inalámbrica o Wi-Fi, selecciona el tipo de seguridad y elige WPA3 (dependiendo del router puedes encontrar WPA3-Personal o WPA3-Enterprise, que suele ser más conveniente para redes empresariales).
- Guarda los cambios.
- Reinicia el router para que los cambios tengan efecto.
2 de cada 10 wifis en España son vulnerables
Según la información de wigle.net con datos de febrero de 2022, 2 de cada 10 redes wifi que pueden escucharse en las calles en nuestro país no están adecuadamente protegidas, bien por estar abiertas o utilizar WEP o la primera versión WPA declarada obsoleta. Con casi 11 millones de redes censadas, sólo el 72% utiliza WPA2, siendo el uso de WPA3 todavía residual.
La debilidad de las redes wifi actuales está en la contraseña
Para atacar una red wifi WPA2 con AES, como la que probablemente utiliza tu router si es el original proporcionado por la operadora, hay dos tipos de ataques: de fuerza bruta y de diccionario. Un ataque de fuerza bruta consiste en ir comprobando secuencialmente todas las claves posibles hasta dar con la correcta. Dado que esto puede llevar mucho tiempo, se suelen utilizar ataques de diccionario, que contienen las claves más frecuentemente utilizadas, evitando así perder tiempo probando todas las combinaciones.
La debilidad de WPA2 con los ataques de fuerza bruta es que permite hacerlos offline, con herramientas como Aircrack-ng1. Situándose en las proximidades de un cliente conectado a la red, solo hay que enviar un paquete de desautenticación con aireplay-ng
, para capturar su handshake cuando intente reconectarse. El handshake
son 4 paquetes en los que punto de acceso y cliente acuerdan el cifrado
que utilizarán. Sobre este fichero se ejecuta el ataque offline de forma silenciosa hasta que se da con la clave.
Es cierto que PMF (Protected Management Frames) y WPA3 vienen a paliar este tipo de ataques. PMF evita que un tercero pueda desautentificar clientes y WPA3 introdujo un nuevo handshake denominado Dragonfly, supuestamente resistente a ataques de diccionario offline. Dado que muchos clientes no soportan PMF y mucho menos WPA3, es habitual que se configure la red para que siga aceptando clientes antiguos, lo que automáticamente degrada su seguridad.
Cuánto tiempo lleva crackear una clave wifi
Además de Aircrack-ng, la herramienta más utilizada para reventar claves es Hashcat, ya que es capaz de utilizar la potencia de cálculo de las GPU para acelerar el proceso. Una gráfica de última generación como la Nvidia GeForce RTX 4090 puede probar unos 2,5 millones de combinaciones WPA por segundo2. No es necesario que el atacante posea físicamente una GPU, ya que hay servicios online para alquilar en la nube clusters de varias unidades que trabajan en paralelo.
Para que te hagas una idea, este es el tiempo que hemos calculado que lleva recorrer todas las posibles combinaciones cuando la wifi está protegida por una clave de 8 caracteres con la potencia de cálculo ofrecida por la nube. Normalmente no será necesario recorrer toda la secuencia y se sacará antes. Además hay que tener en cuenta que la potencia de cálculo sigue en aumento, por lo que este tiempo se seguirá reduciendo en el futuro. Si tienes activo fast roaming 802.11r el proceso se acelera, ya que no es necesario capturar el handshake y Hastcat es más eficiente búscando la clave.
Caracteres | Ejemplo | Combinaciones | Tiempo |
---|---|---|---|
Letras minúsculas | esmicasa | 208.827.064.576,00 | 2 horas, 52 minutos y 20 segundos. |
+ números | 3smicasa | 2.821.109.907.456,00 | 1 día, 14 horas, 48 minutos y 6 segundos |
+ mayúsculas | 3smiCasa | 218.340.105.584.896,00 | 4 meses, 2 días, 3 horas, 50 minutos y 3,39 segundos |
+ símbolos | 3sm!Casa | 6.095.689.385.410.820,00 | 9 años, 7 meses, 6 días, 22 horas, 19 minutos y 34,42 segundos |
Activar PMF en tu router evita que te roben wifi y protege tu red de ataques DoS
- PMF evita ataques DoS y de fuerza bruta
El wifi utiliza tres tipos de tráfico: de gestión, control y de datos. Las tramas de gestión sirven por ejemplo, para que el punto de acceso wifi emita beacons con los que anuncia que está disponible varias veces por segundo a los clientes de su entorno. Otra trama de gestión es la de desautenticación, con la que el router pide a un cliente que se desconecte. Aunque el tráfico de datos está cifrado, las tramas de gestión por defecto no lo están, lo que facilita que un atacante suplante al punto de acceso. Esto hace a la red vulnerable a ataques DoS. El atacante sólo tiene que enviar tramas deauth con la MAC copiada del punto de acceso para desconectar constantemente a los clientes, dejando la red inservible.
Esta debilidad es la que se utiliza para expulsar a un cliente conectado a la red mientras se captura el tráfico, con el fin de que se reconecte y copiar su handshake. Sobre esta captura luego se aplicará offline y en silencio el ataque de fuerza bruta que permitirá obtener la contraseña.
Afortunadamente, el wifi tiene una solución para este problema. Estandarizado bajo IEEE 802.11w, PMF (Protected Management Frames) cifra la información del tráfico de gestión, haciendo que los clientes descarten las tramas que no vienen del router legítimo. Para que PMF haga su trabajo deben soportarlo tanto el router como el cliente. Para evitar incompatibilidades con dispositivos antiguos muchos routers lo traen inactivo por defecto.
Encontrarás la opción PMF disponible entre la configuración avanzada de la red wifi. Habitualmente tiene tres opciones: Disabled, Optional o Enabled. La opción recomendada es Optional de modo que los dispositivos clientes que lo soporten estarán protegidos mientras que los que no lo soportan seguirán funcionando. Lógicamente solo poniendo Enabled harás inviables los ataques deauth, a costa de dejar desconectados los clientes incompatibles.
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.