El cifrado WPA2 de las redes Wi-Fi -el más usado- ahora es vulnerables y se podrían espiar las comunicaciones.
Los rumores empezaron la noche del domingo, pero para la mañana del lunes los peores presagios se han hecho realidad. El investigador belga Mathy Vanhoef ha descubierto gravísimas vulnerabilidades en la seguridad de las redes Wi-Fi presente en todos los routers del mundo. Así, se confirma que todas las redes inalámbricas con protección WPA2 son inseguras a un ataque.
WPA2 (Wi-Fi Protected Access II) es el reemplazo de WPA y a su vez de WEP, sistemas de seguridad que se rompieron hace más de una década. Es el sistema de seguridad que hace que sin la contraseña de la red Wi-Fi, no se pueda acceder a ella. Por suerte cuando WPA se rompió ya se estaba preparando WPA2, pero en esta ocasión no hay reemplazo.
Se le ha dado el nombre de KRACK (Key Reinstallation Attacks) y la información final se hará pública a lo largo del día. Una demostración se verá en un evento de seguridad el próximo 1 de noviembre.
KRACK es la combinación de hasta diez vulnerabilidades. De una u otra forma permitiría espiar las comunicaciones de una red Wi-Fi protegida. Ya sea en tu hogar o en tu empresa e independientemente del equipo que se use, los investigadores han logrado verificar las vulnerabilidades.
Las buenas noticias es que algunos sistemas operativos están mejor preparados que otros. Por ejemplo, ya hay parches de seguridad para Linux. La mala noticia es que el 41% de los móviles con Android son vulnerables al ataque.
Google ha confirmado que lanzará una actualización de seguridad el próximo 6 de noviembre, pero no todos los móviles la recibirán ya que muchos fabricantes no actualizan sus equipos pasado un tiempo.
Según Vanhoef, en Android es muy preocupante porque “hace trivial interceptar y manipular el tráfico enviado por estos dispositivos”.
¿Qué significa para ti?
Ya tengas un router Wi-Fi en tu casa, te conectes a uno en tu trabajo, colegio, universidad o en una cafetería, la seguridad de ese router se ha roto. Esto no quiere decir que vayan a espiar las conversaciones o los datos que se transmiten. Se requiere estar cerca de la red y conocer estas vulnerabilidades, algo poco probable.
Ni cambiar la contraseña del router o comprar uno nuevo arreglará nada. Este es un problema en la base de sistema de seguridad de todas las redes Wi-Fi del mundo. Por ahora, no hay mucho que puedas hacer.
¿Cómo se actualizarán millones de redes Wi-Fi?
Esto no va a ser fácil o barato.
Algunos fabricantes de routers han empezado a trabajar en parches de seguridad para actualizar sus equipos, aunque no se descarta que el problema sea tan grave que algunos modelos deban cambiar chips. Si esto finalmente pasa, se tendrán que cambiar millones de dispositivos, algo que podría pasar en cualquier caso ya que es más barato que mandar actualizaciones a cientos o miles de dispositivos diferentes.
La operadora que ha puesto el router Wi-Fi en tu casa es la última responsable de mandar una actualización. Pero la forma en la que está montada esta industria es tan desorganizada, que se tardará meses en lanzar un parche para estos equipos.
Vídeo: Demostración que muestra el ataque a un teléfono con Android. (En inglés.)
Es responsabilidad de las operadoras comunicar a todos sus clientes el procedimiento de actualización. Si te has comprado un router por tu cuenta, visita la web del fabricante o revisa si hay actualizaciones del equipo periódicamente.
Se espera que sistemas operativos como Windows, macOS, iOS y Android lancen actualizaciones para arreglar estas vulnerabilidades, así que recuerda actualizar siempre que se lance un aviso.
Para los/las valientes que quieran investigar las vulnerabilidades, este es el listado completo que se actualizará en próximos días: CVE-2017-13077, CVE-2017-13078, CVE-2017-13079, CVE-2017-13080, CVE-2017-13081, CVE-2017-13082, CVE-2017-13084, CVE-2017-13086, CVE-2017-13087 y CVE-2017-13088.
Recuerda: “la seguridad es una ilusión“.
Nota: La responsabilidad es tuya.
Miguel Rosero, editor de la revista impresa y online Eventos En Red. Profesional de la comunicación y la tecnología.