WPA3: ¿Qué es y en qué se diferencia de la WPA2?

¿Por qué es importante saber qué es y para qué sirve WPA3?

Pero los hackers son insaciables y las amenazas evolucionan continuamente. Por ello los mecanismos de seguridad informática se revisan y actualizan continuamente. A lo largo de los años, este estándar de seguridad se ha ido perfeccionando para ofrecer mayor protección frente a ciberataques. Hoy en día, utilizamos nuestros dispositivos para casi todo. Realizamos operaciones bancarias, mantenemos conversaciones privadas con amigos y almacenamos fotos personales. Toda esta información puede verse comprometida si no tomamos las medidas adecuadas para protegerlos.

Por eso, WPA ha sacado sucesivas versiones a medida que se detectaban fallos de seguridad. En 2003, WPA2 sustituyó a WPA, y en 2018 se lanzó la versión más reciente, WPA3, actualizada en 2019, para corregir las vulnerabilidades de WPA2 como el conocido ataque KRACK.

En este artículo vamos a explicar qué es WPA3, sus características y tipos, compararemos también WPA2 vs. WPA3, y detallaremos las ventajas y desventajas de esta última versión.

¿Qué es WPA3?

Dragonfly se basa en la Autenticación Simultánea de Iguales (SAE), por lo que los dispositivos que participan en la negociación lo hacen de manera equitativa. Para ello, se identifican, y fijan los parámetros de seguridad y las normas que regularán su comunicación. Una vez acabada la negociación, se establece la conexión entre los dispositivos.

Este sistema refuerza la seguridad de las comunicaciones y la confidencialidad de las contraseñas.

Además, en el eventual caso de que se descubrieran las claves actuales, con el forward secrecy se protege la seguridad de las contraseñas empleadas con anterioridad, con que las sesiones antiguas no se verían comprometidas.

Tipos de WPA3

Existen dos tipos de WPA3 que están orientados a distintos usuarios y que se diferencian fundamentalmente en los niveles de seguridad implementados.

WPA3 Personal

Esta versión está pensada para usuarios domésticos u oficinas pequeñas. Se diferencia de la versión anterior en su alto nivel de protección ante un ataque de fuerza bruta. Estos ataques intentan averiguar la contraseña realizando infinidad de intentos hasta dar con la contraseña correcta.

El sistema de autenticación SAE sustituye al protocolo de intercambio de claves Pre Shared Key (PSK) que empleaba WPA2. WPA3 SAE es un mecanismo de protección de contraseñas más seguro. Ello permite usar contraseñas sencillas y fáciles de recordar. Esto facilita la gestión de la clave de seguridad de la red en sistemas en los que los usuarios utilizan una única contraseña compartida.

WPA3 Empresarial

La opción WPA3 Empresarial está diseñada para redes de mayor escala que necesitan niveles de más elevados de seguridad. Es la adecuada para empresas, instituciones financieras o gobiernos.

Utiliza un sistema de doble cifrado: uno de 128 bits para proteger la autenticación del usuario, y otro de 256 bits para la generación de claves, que crea las claves de sesión.

La persona introduce su nombre de usuario o certificado digital, y junto con su contraseña, que serán autenticados mediante el servidor RADIUS. Una vez autenticado, se asigna una clave específica para cada sesión. De este modo si se descifra esta clave, las demás sesiones no quedan comprometidas.

WPA3 Empresarial tiene una variante que utiliza un cifrado de 192 bits para la autenticación. Ello añade una capa adicional de seguridad a los equipos.

WPA3 vs. WPA2: ¿cuál es la diferencia?

WPA3 y WPA2 tienen ciertas diferencias, vemos cuáles son.

Cifrado de seguridad

La principal diferencia entre ambos estándares de seguridad es la fortaleza de su cifrado. Mientras que WPA2 utiliza un cifrado de 128 bits, la versión empresarial de WPA3 puede extender la encriptación hasta 192 bits. De este modo, la clave utilizada es mucho más larga lo que dificulta la rotura del cifrado.

Protocolos de cifrado

WPA3 y WPA2 emplean el algoritmo de cifrado AES (Advanced Encryption Standard), pero con diferentes modos de operación. El CCMP utilizado por WPA2 ha sido sustituido por GCMP-256 (Galois/Counter Mode Protocol) en WPA3. Este protocolo utiliza un cifrado de 256 bits, el doble que CCMP, lo que incrementa la seguridad. GCMP-256 es además más eficiente y mejora la autenticación y la integridad de los datos.

Mayor protección contra ataques de fuerza bruta

WPA2 utiliza el protocolo de autenticación PSK, basado en claves compartidas previamente entre el dispositivo y el router. Por su parte, el mecanismo de autenticación WPA3 SAE es mucho más complejo, lo que dificulta los ataques de fuerza bruta a los que WPA2 es vulnerable.

Ventajas y desventajas de WPA3

Una vez explicadas las diferencias entre ambos protocolos de seguridad, vamos a hablar de las ventajas y desventajas de WPA3.

Ventajas

Las ventajas de WPA3 son significativas.

• 

  Protección más eficiente frente a los ciberataques. El nuevo protocolo de autenticación y el aumento del nivel de cifrado refuerzan la protección de WPA3 Wi-Fi contra las principales amenazas de las redes wifi. Entre estas se incluyen los ataques de diccionario y de fuerza bruta.
• 

  Encriptación de 192 bits. La variante de WPA3 Enterprise de 192 bits añade un plus de seguridad especialmente útil para instituciones públicas y grandes compañías.
• 

  Configuración sencilla y segura. WPA3 Wi-Fi incorpora la tecnología Wi-Fi Easy Connect que facilita la conexión a la red de un modo sencillo y seguro. Easy Connect utiliza el protocolo de aprovisionamiento de dispositivos (DPP) para simplificar la conexión a la red. Para ello se sirve de la tecnología NFC que permite conectar equipos con solo acercarlos, o mediante códigos QR.

Esto la hace especialmente adecuada para aparatos con interfaces limitadas, como los del Internet de las Cosas (IoT). Solo tienes que acercar tu dispositivo al aparato que quieras conectar o escanear el código QR y establecerás la conexión.

De este modo, si tienes una cámara de seguridad inteligente puedes conectarla en unos segundos sin necesidad de introducir complicadas contraseñas.

Wi-Fi Easy Connect permite prescindir de la herramienta de simplificación de la conexión a redes wifi WPS.

Desventajas

Apenas un año después de su lanzamiento, la seguridad del protocolo WPA3 se ponía en entredicho. Los investigadores Mathy Vanhoef y Eyal Ronen descubrieron varias vulnerabilidades conocidas con el nombre Dragonblood, que afectan fundamentalmente al protocolo Dragonfly. Estas vulnerabilidades permiten que se realicen tanto ataques de diccionario como ataques de canal lateral. El sistema de seguridad que se presumía inexpugnable no lo era.

• 

  Ataques de canal lateral. Un ataque de canal lateral es un tipo de ataque no invasivo que permite obtener información útil a partir del comportamiento físico de un dispositivo. Para ello, se analizan aspectos como el consumo de energía o los tiempos de respuesta. Durante el proceso de autenticación, es posible rastrear patrones tanto en el acceso a la memoria como en la velocidad de respuesta de un punto de acceso. Estos patrones pueden proporcionar información valiosa para deducir la contraseña.
• 

  Ataques de degradación. Para facilitar la transición entre WPA2 y WPA3, se permitió la habilitación de un mecanismo que permite el soporte simultáneo de ambos protocolos. Esto posibilita los ataques por degradación, en los que un atacante obliga a un dispositivo a retroceder a WPA2 más débil, sorteando los avances de seguridad de WPA3. Al forzar a un dispositivo a utilizar WPA2, se pone en riesgo la contraseña en caso de ataques de diccionario o de fuerza bruta.
• 

  Ataque de denegación de servicio. Durante la autenticación SAE, los dispositivos intercambian un marco de confirmación para verificar que ambas partes poseen la misma clave de autenticación. Su procesamiento es exigente en términos computacionales. Si un atacante genera numerosos marcos de confirmación, el consumo de recursos será muy elevado y se producirá una sobrecarga en el punto de acceso. Esto impide la conexión de otros dispositivos y la consecuente denegación de servicio.
• 

  Compatibilidad limitada. La compatibilidad nativa con WPA3 está limitada a los dispositivos con wifi 6, y sistemas operativos como Android 10, iOS 13 y macOS 10,15 Catalina o posteriores. Los usuarios de equipos más antiguos podrían necesitar actualizaciones de software o hardware para aprovechar los beneficios del protocolo WPA3. Por tanto, es un gran inconveniente para los usuarios de dispositivos más antiguos.

Hemos ido desgranando a lo largo qué es WPA3 y sus ventajas y mejoras con respecto a la anterior versión. WPA3 supone un avance importante en seguridad wifi, pero presenta también algunas debilidades. Es por ello fundamental estar al tanto de las nuevas amenazas e incorporar todos los medios a nuestro alcance para garantizar la mayor protección posible.