La seguridad WPA (Wi-Fi Protected Access) y cómo proteger una red WiFi es una inquietud muy común entre los usuarios y administradores de redes y se comenta de forma periódica que es posible crackear WPA. Aunque en la actualidad todo el mundo coincide en aceptar que el antiguo estándar WEP (Wired Equivalent Privacy) es inseguro y su uso debe ser evitado por la posibilidad de romper el sistema en pocos segundos, al cambiar a WPA no todo el mundo conoce de qué forma se puede medir la seguridad de una contraseña y de una red WiFi WPA o WPA2.

¿Qué longitud debe tener una clave WPA o WPA2 para ser segura?

De forma resumida, se puede afirmar que una contraseña WiFi de 12 caracteres es segura y no podrá ser descifrada con el poder de cómputo existente a día de hoy, ya que el tiempo necesario para crackear la contraseña crece de forma exponencial.

Complejidad de crackear una contraseña WiFi

La siguiente tabla ilustra la complejidad de una contraseña WiFi WPA o WPA2 y el tiempo necesario que necesitaría un atacante para romper la contraseña.

Espacio de caracteres

Tamaño de la clave

Tiempo de cómputo necesario para recorrer todas las posibles combinaciones

Tarjeta gráfica

Tiempo de cómputo necesario para recorrer todas las posibles combinaciones

FPGA

Sólo minúsculas / sólo mayúsculas

(26 posibilidades)

8

7 días1 día y 8 horas
Sólo minúsculas / sólo mayúsculas y números
(36 posibilidades)

8

93 días18 días
Mayúsculas y minúsculas

(52 posibilidades)

8

4 años y 300 días353 días
Mayúsculas, minúsculas y números

(62 posibilidades)

8

474 años4 años
Sólo minúsculas / sólo mayúsculas

(26 posibilidades)

12

8645 años1.730 años
Sólo minúsculas / sólo mayúsculas y números

(36 posibilidades)

12

430.000 años85.858 años
Mayúsculas y minúsculas

(52 posibilidades)

12

35 millones de años7.083.000 años
Mayúsculas, minúsculas y números

(62 posibilidades)

12

292 millones de años58.460.000 años
Sólo minúsculas / sólo mayúsculas

(26 posibilidades)

16

InfinitoInfinito
Sólo minúsculas / sólo mayúsculas y números

(36 posibilidades)

16

InfinitoInfinito
Mayúsculas y minúsculas

(52 posibilidades)

16

InfinitoInfinito
Mayúsculas, minúsculas y números

(62 posibilidades)

16

InfinitoInfinito

 

Un hash WiFi WPA es el resultado de realizar varias operaciones matemáticas con una contraseña WiFi y que puede ser utilizado para comprar si la contraseña es válida en un proceso de cracking. Por simplificar podríamos afirmar que un hash es lo mismo que una clave WiFi. Una tarjeta gráfica potente para consumo doméstico (>400€) proporciona un rendimiento de 350.000 hashes WPA o WPA2 por segundo, es decir, puede comprobar 350.000 contraseñas en un solo segundo. Un hardware FPGA Pico de venta al público (>1000€) obtienen un rendimiento muy superior de 1.750.000 hashes por segundo. Si la contraseña es lo suficientemente larga y no está basada en un diccionario (una palabra o una frase predecible) no será posible crackear la contraseña WiFi en un tiempo prudencial.

Aspectos técnicos de seguridad WiFi

Para asegurar una red WiFi y evitar que esta pueda ser hackeada por terceros, hay otros aspectos a considerar además de la complejidad de la contraseña:

  • PIN WPS (Wireless Protected Setup): A nivel doméstico es habitual que los routers WiFi incluya soporte de la funcionalidad WPS para facilitar el intercambio de claves entre el punto de acceso y el usuario sin necesidad de usar la contraseña WiFi. Este proceso puede ser abusado con herramientas como Reaver o wpscrack, y puede permitir obtener la clave de acceso a la red WiFi independientemente de su longitud o complejidad. La recomendación primera recomendación debe ser inhabilitar WPS si está soportado.
  • Nombre de la red WiFi: El algoritmo de cifrado de WPA o WPA2 hace uso del nombre de la red WiFi para generar la clave criptográfica. Para evitar el uso de ataques de cracking con tablas rainbow se debe evitar usar un nombre de red conocido, como WLAN_66 y en su defecto usar nombres nuevos y que no identifiquen a la empresa o al usuario, como WLAN-YTQZFJ.
  • TKIP o AES CCMP: Según el estándar 802.11, WPA usa un algoritmo llamado TKIP para firma, y WPA2 usa el algoritmo AES CCMP que es mucho más robusto y elimina fallos de seguridad como “Beck-Tews attack” o “Ohigashi-Morii attack”. La recomendación es eliminar el soporte de TKIP si es posible, aunque a día de hoy los ataques no están lo suficientemente extendidos.
  • Redes publicadas: La mayoría de dispositivos (teléfonos, ordenadores portátiles,..) preguntan periódicamente a su alrededor la lista de redes conocidas solicitando esta información al aire, mediante el envío de un paquete WiFi conocido como frame de tipo Probe Request. Si un usuario configura incorrectamente la red WiFi y establece la contraseña como nombre de la red, cualquiera que se encuentre escuchando con un scanner WiFi como Acrylic podrá ver la contraseña de la red solicitada por el dispositivo del usuario.
  • Contraseñas de administración: A nivel doméstico es habitual que el punto de acceso WiFi sea un router ADSL o un router de cable. Estos dispositivos pueden estar configurados con contraseñas de administración remotas como admin/admin, 1234/1234, support/support,.. y accesibles desde Internet a través de HTTP con un navegador web. Se debe cambiar la contraseña de administración y limitar el acceso al panel de administración del router WiFi desde otras redes, como Internet, para evitar que un usuario pueda obtener la contraseña WiFi explotando un fallo de configuración del router WiFi desde internet.

Consideraciones operativas de seguridad WiFi WPA:

Dependiendo de cómo trabajemos con las redes WiFi, hay otras consideraciones de seguridad a tener en cuenta:

  • Rotación de personal: En una empresa de medio tamaño WPA está desaconsejado debido a la dificultad de realizar el cambio de la contraseña cuando una persona abandona la empresa. Si esta clave es reutilizada por muchos usuarios o integrada en dispositivos hardware como TPVs, cambiar la contraseña para limitar el acceso a ex trabajadores puede ser complejo. Es por esta razón que en estos entornos se recomienda el uso de mecanismos Enterprise, con autenticación basada en RADIUS.
  • Interceptación de comunicaciones: Si un usuario intercepta con un sniffer WiFi el proceso de autenticación de un usuario llamado 4 way handshake y consigue crackear la contraseña, o conoce la contraseña de la red WiFi, podría descifrar el tráfico de cualquier usuario conectado. Por esta razón WPA o WPA2 se deben usar sólo en entornos domésticos, donde existen ciertas garantías de que el resto de usuarios no van a espiar las comunicaciones de otros.

Buenas prácticas de seguridad WiFi:

Para disponer de una red WiFi segura, os contamos algunas recomendaciones adicionales de seguridad WiFi que debéis considerar.

  • Rotación de la contraseña WiFi: Tanto si usamos una contraseña WiFi WPA a nivel doméstico, como a nivel empresarial, las contraseñas se deben cambiar periódicamente. Usando contraseñas de al menos 12 caracteres un tiempo razonable de cambio de contraseña son 6 meses.
  • Deshabilitar TKIP: Su uso está desaconsejado en la actualidad y se debería deshabilitar. Si es estrictamente necesario podemos mantenerlo haciendo uso de contraseñas seguras de al menos 12 caracteres.
  • Analiza las redes a tu alcance: Tanto con la versión gratuita del escáner WiFi Acrylic WiFi Free o con la versión profesional de Acrylic podrás analizar que redes hay al alcance y cómo están configurada su seguridad.
  • Mide la propagación de la señal: Para mejorar la cobertura WiFi y para evitar que la señal inalámbrica salga del perímetro de tu casa o de tu oficina, puedes usar un software de site survey como Acrylic WiFi Heatmaps para medir la cobertura. De esta forma podrás ajustar los parámetros de tu punto de acceso con el fin de evitar una propagación no deseada de la red, y seleccionar su mejor ubicación para mejorar el rendimiento WiFi.

¿Te ha resultado útil conocer cómo funciona la seguridad WPA? déjanos tus comentarios. También te recomendamos consultar nuestro artículo técnico sobre cómo de segura es una red WiFi oculta.