La Wi-Fi Alliance presenta WPA3, la nueva versión para proporcionar seguridad a tu red Wi-Fi

Escrito por Sergio De Luz

La Wi-Fi Alliance ha presentado en Las Vegas nuevas mejoras de seguridad y características para el conocido WPA (Wi-Fi Protected Access), una característica esencial de las redes inalámbricas Wi-Fi para proporcionar seguridad. La propia Wi-Fi Alliance está lanzando mejoras en la configuración, autenticación y cifrado de datos a los dispositivos certificados, con el objetivo de que continúen siendo seguros, y a lo largo de este año lanzarán WPA3, la nueva versión del protocolo de seguridad Wi-Fi.

WPA2 lleva con nosotros muchos años, proporcionando una seguridad confiable, y es utilizada por miles de millones de dispositivos Wi-Fi todos los días. La Wi-Fi Alliance ha comunicado que seguirán utilizando este protocolo, aunque con mejoras en el propio WPA2 para mejorar la protección de los usuarios a medida que va avanzando el panorama de la seguridad. Con la vulnerabilidad KRACK, se puso en jaque el protocolo WPA2, pero posteriormente la Wi-Fi Alliance y los fabricantes han lanzado parches para mitigar este ataque del que ya os informamos:

Los dispositivos Wi-Fi avanzados que quieran proporcionar una seguridad adicional, podrán activar las tramas de administración protegidos (Protected Management Frames), ampliamente adoptados en la generación actual de dispositivos que están certificados por la Wi-Fi Alliance, aunque en la vida real aún hay muchos dispositivos que no soportan este tipo de tramas protegidas, por lo que no pueden conectarse a la red inalámbrica, forzando a que el propio router o punto de acceso las envíe sin proteger. La Wi-Fi Alliance ha declarado que las nuevas mejoras incorporadas reducirán las potenciales vulnerabilidades por una mala configuración en la red Wi-Fi, protegiendo las redes administradas.

Debido al éxito del WPA2 y su generalización, la Wi-Fi Alliance va a ofrecer un conjunto de características para simplificar la configuración de seguridad de la red Wi-Fi, tanto para los usuarios como para los proveedores de servicio, mientras mejora las protecciones de la red inalámbrica.

WPA3 se espera en este año 2018

Durante este año 2018, se crearán cuatro nuevas características para el estándar final de WPA3, que estará orientado tanto a redes Wi-Fi personal como empresariales, igual que tenemos actualmente con WPA2 que está disponible para todos.

Redes Wi-Fi seguras aunque tengamos contraseñas que no sean del todo seguras

Dos de estas características del nuevo WPA3 están orientadas a ofrecer una protección robusta, incluso cuando los usuarios eligen contraseñas que no cumplen con las recomendaciones de seguridad básicas. Una contraseña WPA que no cumple con una recomendación de seguridad básica es por ejemplo poner 8 dígitos (lo mínimo de WPA2), y que sea fácilmente hackeable a través de fuerza bruta, o poner palabras comunes de un diccionario, para poder atacar el handshake de WPA2 a través de diccionario de claves. Además, también se va a simplificar el proceso de configuración de seguridad para los dispositivos que tiene una interfaz de visualización limita o nula. Teniendo en cuanta que WPA3 va a mejorar esto, es casi seguro que mejorarán la seguridad del handshake que se produce al conectar por primera vez un dispositivo inalámbrico al AP o router, de esta manera, será más difícil (o imposible) capturarlo para posteriormente atacarlo con diferentes técnicas como diccionario.

Seguramente utilicen una técnica en el handshake llamada Simultaneous Authentication of Equals (SAE), o también conocida como DragonFly. Todos los protocolos que usará internamente WPA3 ya están diseñados, pero ahora los dispositivos que quieran tener la certificación WPA3 de la Wi-Fi Alliance lo tendrán que implementar obligatoriamente. De hecho, Linux ya soporta este handshake mejorado tanto en modo AP como en modo cliente, pero no se utiliza simplemente porque no hay una intercompatibilidad, y la Wi-Fi Alliance pretende solucionar esto con sus certificaciones.

Cifrado en redes Wi-Fi abiertas y 192 bits

Otra característica que vendrá próximamente es que se va a fortalecer la privacidad del usuario en redes abiertas, a través del cifrado de datos individual. En este caso se utilizará el Opportunistic Wireless Encryption, es decir, tendremos cifrado de los datos pero no autenticación. Os recomendamos leer el RFC 8110 donde se detalla esto.

Finalmente, se va a incorporar una suite de seguridad de 192 bits, alineada con la CNSA para proporcionar una seguridad mayor, y es que la Wi-Fi Alliance ha comentado que incluso los Gobiernos, Defensa o entornos industriales podrán utilizar Wi-Fi con WPA3 de manera totalmente segura.

La Wi-Fi Alliance no ha comentado nada acerca de AES-GCMP, por lo que suponemos que formará parte del propio protocolo WPA3 que veremos a lo largo de este año:

Os recomendamos acceder al comunicado oficial de la Wi-Fi Alliance sobre WPA3 aquí.