WPA3, la tercera generación de seguridad Wi-Fi, tiene un defecto gigante: Usted


Text to Speech Demo

ASRock X10 IoT Router

Pocas personas están demasiado preocupadas por la seguridad de Wi-Fi, están felices de conectarse a redes inalámbricas públicas y hacen poco para proteger sus propias redes domésticas. Mientras tenga una contraseña, creemos que estamos a salvo.

Como siempre, mantenerte seguro nunca es tan fácil como parece. La protección de contraseña forma parte de un sistema llamado Acceso Protegido Wi-Fi, o WPA, que está a punto de ser más seguro en forma de WPA 3. A pesar de las mejoras que trae, WPA nunca será una bala de plata.

Hay algunas fallas serias que han estado presentes desde que se inició la primera WPA. Hasta que nos enfrentemos a ellos, nuestras redes inalámbricas siempre tendrán un enorme agujero en su muro de protección.

Matando dragones

La protección de contraseña y cifrado fue un punto importante en la creación y proliferación de WPA2 y nos ha asegurado que la mayoría de nosotros permanezcamos seguros cuando conectamos nuestra gran cantidad de dispositivos contemporáneos a redes Wi-Fi. Pero WPA2 tiene serios defectos que WPA3 fue diseñado para solucionar.

Cuando WPA2 utiliza un intercambio de claves precompartidas y un cifrado más débil, WPA3 se actualiza a un cifrado de 128 bits y utiliza un sistema llamado Autenticación simultánea de iguales (SAE), conocido coloquialmente como un saludo de Dragonfly. Fuerza la interacción de la red en un inicio de sesión potencial, por lo que hace que los piratas informáticos no puedan probar un diccionario de inicio de sesión mediante la descarga de su hash criptográfico y luego ejecuten un software de craqueo para romperlo, permitiéndoles usar otras herramientas para espiar la actividad de la red.

Pero Dragonfly y WPA3 también son vulnerables a algunas fallas peligrosas propias y algunas de las peores han estado presentes en redes protegidas por WPA desde su inicio. Estas vulnerabilidades se han recopilado bajo el nombre de banner de Dragonblood y, a menos que se hayan abordado, podrían significar que WPA3 no es mucho más seguro que WPA2, porque los métodos utilizados para eludir sus protecciones realmente no han cambiado.

Mathy Vanhoef destaca seis problemas en su exposición de Dragonblood, pero casi todos son posibles gracias a una antigua técnica de piratería Wi-Fi llamada un gemelo malvado.

Te ves tan parecida ...

"La falla más grande que ha existido en Wi-Fi durante 20 años es que tú, yo, mi hermana (que no es técnica) podemos lanzar un ataque de gemelos malvados simplemente usando nuestros teléfonos celulares", dijo el director de gestión de productos de Watchguard , Ryan. Orsi, dijo a Digital Trends. "[Supongamos] que tiene un teléfono inteligente y lo saca de su bolsillo, entra en su oficina y tiene una red Wi-Fi protegida por contraseña WPA3. Mira el nombre de esa red Wi-Fi [...] si cambias el nombre de tu teléfono a [el mismo nombre] y enciendes tu punto de acceso, acabas de lanzar un ataque doble malvado. Su teléfono está transmitiendo exactamente la misma red Wi-Fi ".

Ryan Orsi de Watchgard
Ryan Orsi, director de gestión de productos en Watchguard. WatchGard

Aunque los usuarios que se conectan a su red falsa malvada están regalando gran parte de su información al usarla, potencialmente están debilitando su seguridad aún más. Este ataque podría llevarse a cabo con un teléfono inteligente que solo admita WPA2. Incluso si la posible víctima puede admitir WPA3 en su dispositivo, efectivamente los ha rebajado a WPA2 gracias a la compatibilidad con versiones anteriores de WPA3.

Se conoce como Modo de transición WPA3 y permite que una red opere las protecciones WPA3 y WPA2 con la misma contraseña. Eso es genial para alentar el uso de WPA3 sin obligar a las personas a hacerlo de inmediato, y se adapta a dispositivos de clientes más antiguos, pero es un punto débil en el nuevo estándar de seguridad que deja a todos vulnerables.

"Ahora has lanzado el comienzo de un ataque de Dragonblood", continuó Orsi. "Usted está trayendo un punto de acceso gemelo malvado que está transmitiendo una versión WPA2 de la red Wi-Fi y los dispositivos víctimas no saben la diferencia. Es el mismo nombre ¿Cuál es el legítimo y cuál es el gemelo malvado? Es difícil para un dispositivo o ser humano decirlo ".

Pero el Modo de transición de WPA3 no es su único punto débil para posibles ataques de baja calificación. Dragonblood también cubre un ataque de degradación de grupo de seguridad que permite a las personas que usan un ataque doble malvado rechazar las solicitudes iniciales de protección de seguridad WPA3. El dispositivo cliente intentará conectarse de nuevo utilizando un grupo de seguridad diferente. La red falsa puede simplemente esperar hasta que se realice un intento de conexión utilizando una seguridad inadecuada y aceptarla, lo que debilita considerablemente las protecciones inalámbricas de la víctima.

Como destacó Orsi, los ataques gemelos malvados han sido un problema con las redes Wi-Fi durante más de una década, especialmente las públicas donde los usuarios pueden no estar conscientes del nombre de la red a la que planean conectarse antes de tiempo. WPA3 hace poco para protegerse contra esto, porque el problema no es técnicamente con la tecnología en sí, sino en la capacidad del usuario para diferenciar entre redes legítimas y redes falsas. No hay nada en los menús Wi-Fi del dispositivo que sugieran a qué redes son seguras conectarse y cuáles no.

Según el autor de Dragonblood, Mathy Vanhoef , puede costar tan poco como $ 125 del poder de cómputo de Amazon AWS (ejecutar un software de descifrado de contraseñas) para decodificar contraseñas en minúsculas de ocho caracteres, y hay muchos servicios que pueden incluso demostrar Más competitivo que eso. Si un hacker puede robar información de tarjeta de crédito o bancaria, esa inversión se recupera rápidamente.

“Si el gemelo malvado está allí y una víctima se conecta a él, aparece la página de inicio. "La página de inicio de un gemelo malvado viene en realidad del portátil del atacante", dijo Orsi a Digital Trends. "Esa página de inicio puede tener un Javascript malicioso o un botón y 'haga clic aquí para aceptar, descargue este software para conectarse a este punto de acceso'".

Mantente a salvo estando a salvo

"Los problemas [de seguridad WPA] no se resolverán hasta que el consumidor general pueda ver en su dispositivo en lugar de un pequeño candado para significar que está protegido por contraseña, hay algún otro símbolo o indicador visual que dice que esto no es un gemelo malvado" Dijo Orsi. “[Deberíamos] ofrecer a las personas un símbolo visual que tenga fuertes raíces técnicas, pero no tienen que entenderlo. Debería decir, este es el que puede confiar. Reserve su hotel con una tarjeta de crédito en este Wi-Fi porque es el correcto ".

Dicho sistema requeriría que el IEEE (Instituto de Ingenieros Eléctricos y Electrónicos) lo ratifique como parte de un nuevo estándar de Wi-Fi. La Wi-Fi Alliance, que posee los derechos de autor de "Wi-Fi", tendría que decidir sobre un emblema y extender la actualización a los fabricantes y proveedores de software para utilizarlo. Hacer tal cambio a Wi-Fi como sabemos, requeriría una gran empresa de muchas empresas y organizaciones. Es por eso que Orsi y Watchguard quieren inscribir a las personas para mostrar su apoyo a la idea de un nuevo sistema inalámbrico de confianza que brinde un claro indicador visual para ayudar a las personas a mantenerse seguras en las redes Wi-Fi.

Hasta que ocurra algo así, todavía hay algunos pasos que puede tomar para protegerse. El primer consejo que nos dio Orsi fue actualizar y parchear todo, especialmente si agrega seguridad WPA3. Por más que sea defectuoso, aún es mucho mejor que WPA2, por eso muchos de los ataques de Dragonblood se centran en degradar la seguridad cuando es posible.

Eso es algo que Jean-Philippe Taggart de Malwarebytes dijo a Digital Trends también. Tan defectuoso como podría ser WPA3, sigue siendo una actualización. Asegurarse de que todos los dispositivos WPA3 que use también estén ejecutando el último firmware, es muy importante. Eso podría ayudar a mitigar algunos de los ataques de canal lateral que estaban presentes en las primeras versiones de WPA3.

Si es un usuario habitual de redes Wi-Fi públicas (o incluso si no lo es), Orsi también recomienda tomar medidas para usar una VPN o una red privada virtual ( aquí se explica cómo configurar una ). Estos agregan una capa adicional de cifrado y ofuscación a su conexión al enrutarla a través de un servidor de terceros. Eso puede hacer que sea más difícil para los atacantes locales ver lo que está haciendo en línea, incluso si logran obtener acceso a su red. También oculta el tráfico de los atacantes remotos y posiblemente de las agencias de tres letras que podrían estar vigilando.

Cuando se trata de proteger su Wi-Fi en casa, también le recomendamos una contraseña de red segura. Los ataques de diccionario y los ataques de fuerza bruta que son posibles por muchas de las hazañas de Dragonblood son inútiles si su contraseña es complicada, larga y única. Guárdelo en un administrador de contraseñas si no está seguro de recordarlo ( estos son los mejores ). Cambie con poca frecuencia también. Nunca se sabe si sus amigos y familiares han estado tan seguros con su contraseña de Wi-Fi como lo ha sido usted.

Previous Entries Mac Pro 2019: todo lo que necesitas saber Next Entries Tendencias digitales en vivo: resumen de la WWDC de Apple, el Congreso puede investigar las grandes tecnologías

Deja un comentario