Vulnerabilidad «Krack» de WiFi en WPA2: lo que hay que saber

El 16 de octubre de 2017, se encontró una vulnerabilidad KRACK en WPA2, el método de seguridad más común que se encuentra en la mayoría de los routers inalámbricos lanzados desde 2004. Su naturaleza permite a los hackers infiltrarse en una conexión WiFi completamente segura sin que la víctima lo sepa hasta que es demasiado tarde para hacer algo al respecto. Para empeorar las cosas, la gran mayoría de los dispositivos inalámbricos utilizan WPA2 para negociar la entrada en una red.

Y la historia no ha terminado: es posible que se necesiten algunos años para mitigar por completo los daños, independientemente del esfuerzo que hagan los fabricantes de software como Apple y Microsoft para parchear sus sistemas.

Cómo funciona la vulnerabilidad KRACK

wifiattack-router

Para entender la vulnerabilidad Krack (como se llama en los medios de comunicación, abreviatura de «Key Reinstallation Attack»), primero tenemos que saber cómo funciona WPA2. Para autenticar un dispositivo en la red, tanto el router como el dispositivo pasan por un proceso de cuatro pasos, conocido como handshake de cuatro vías. Vamos a explicarlo con un poco más de detalle, ya que muchos enchufes se equivocan en este proceso:

  • El router envía una cadena de números al dispositivo, dándole los medios para construir su propia clave privada con la que se comunicará directamente con el router. Esto se conoce como clave transitoria por pares (PTK).
  • A continuación, el dispositivo envía su información de autenticación a través de otra cadena de números que incluye un código de integridad del mensaje -que valida que es realmente el dispositivo con el que el router se está comunicando- seguido de un código de autenticación que valida que el dispositivo tiene la clave para acceder a la red.
  • El router, al recibir la información anterior, responderá con una clave temporal de grupo (GTK) que se utiliza para la difusión.
  • El dispositivo, al recibir la GTK, responde con un ping de confirmación, entrando efectivamente en la red.
RELACIONADO:  Como hacer que la madera se vea rustica

El proceso es un poco más complicado de lo que he descrito, pero a efectos de nuestra siguiente explicación, es suficiente.

Los hackers que quieran explotar la vulnerabilidad son capaces de «reinstalar» las claves negociadas entre el router y el dispositivo. Ahí se va toda la protección. Alguien con la capacidad de hacer esto puede hacerse pasar por su víctima a voluntad y recibir paquetes que están destinados sólo a sus ojos (si el hacker reinstala la PTK).

Cómo protegerse

wifiattack-protect

Entonces, si un hacker puede suplantar perfectamente su identidad sin que usted lo sepa, ¿cómo se supone que usted puede proteger su información? En teoría, uno podría simplemente conectarse a una red WiFi, y luego manipular los paquetes para hacer un pago en tu nombre a su cuenta bancaria.

El primer paso es evitar el Wi-Fi por completo para cosas sensibles como iniciar sesión en tu aplicación de banca online. Para estas cosas, podrías utilizar tu red celular. Puede que le cueste uno o dos céntimos (si tiene un plan de datos que requiere el pago por X cantidad de datos transferidos), pero al menos tendrá la tranquilidad de que está en una red que tiene más músculo anti-hacker detrás que un router de 40 dólares en una cafetería.

Si no puedes evitar el WiFi y debes hacer algo ahora, te sugiero encarecidamente que te conectes a una red privada virtual (VPN) antes de hacerlo. El uso de una VPN no te dará necesariamente inmunidad contra los hackers, pero al menos tendrás un poco más de protección con una capa extra de seguridad, especialmente si implica una encriptación de extremo a extremo. Incluso si un pirata informático puede hacerse pasar por usted en relación con el router al que está conectado, la tarea acaba de hacerse mucho más difícil porque las VPN utilizan otro tipo de autenticación que suele proteger contra estos intentos.

RELACIONADO:  Por que los pajaros carpinteros pican la madera

Si no tienes una VPN, debes saber que corres un riesgo al hacer lo que necesitas a través del WiFi. Puedes minimizar este riesgo teniendo una autenticación de múltiples factores con tu banco y otras aplicaciones que utilices.

No es el fin del mundo, pero eso no significa que no debas estar atento y proteger todos tus datos valiosos tanto como puedas.

Estos pasos deben seguirse independientemente de si la conexión WiFi en la que estás es vulnerable o no.

Además, como la mayoría de la gente no instala actualizaciones del firmware de sus routers, es probable que pasen años hasta que esta vulnerabilidad en particular se elimine por completo. No estaría de más actualizar el firmware de tu propio router e informar a tus locales favoritos para que hagan lo mismo.

¿Qué más haces para proteger tus datos? Cuéntanoslo todo en un comentario!