Recientemente se ha dado a conocer la vulnerabilidad de las redes WiFi a través del famoso #Krack, que entra en la red, la hackea y es capaz de acceder a los dispositivos que se han conectado a ella. Los compañeros de El Mundo han publicado un artículo en el que tratan de explica cómo podemos proteger nuestras redes WiFi para que no sean vulnerables a estos ataques.

El anuncio de una grave vulnerabilidad en el cifrado WPA2 de las redes WiFi pone en peligro los datos de millones de personas en todo el mundo. WPA2, considerada hasta ahora como la mejor forma de protección en comunicaciones inalámbricas, puede ser burlada y el tráfico que circula a través de estas redes descifrado gracias al vector de ataque bautizado como KRACK. Los atacantes no podrán averiguar la contraseña de la red inalámbrica pero sí ver el tráfico que circula por ella.

¿Qué se puede hacer? De entrada hay que tener en cuenta de que WPA2 es solo una capa más de protección en los datos que circulan por una red. Si estamos usando un ordenador o un móvil para ver una página web cifrada con HTTPS, por ejemplo, WPA2 es una segunda capa de cifrado sobre la que ya aporta HTTPS. Aunque ahora se pueda descifrar el tráfico de la red WiFi, los datos que se envían a través de HTTPS, SSL o cualquier otro protocolo con cifrado adicional siguen estando en cierta medida protegidos.

Una VPN (red privada virtual) también mitiga el problema, dado que crea una conexión con cifrado independiente entre el cliente y el resto de la red. Aunque un atacante pueda ver los paquetes de datos que circulan por la red, no será capaz de descifrar su contenido.

Ninguna de estas opciones, en cualquier caso, es una garantía. HTTPS ha tenido varios problemas de seguridad en los últimos meses y continuamente se descubren nuevos agujeros en la mayoría de los protocolos de seguridad por donde es posible “colarse”. Nada es cien por cien seguro, nunca, y perder una de las pocas capas de seguridad que usamos a diario es un problema considerable para la integridad de nuestros datos.

Aparte de esto, es importante entender que no todas las redes WiFi se han vuelto inseguras de la noche a la mañana. En muchas empresas, por ejemplo, se utiliza WPA Enterprise, un sistema de cifrado basado en autenticación por servidor que no está afectado por el conjunto de vulnerabilidades detectadas ayer. Otros sistemas de cifrado, como WEP, tampoco están afectado pero se consideran obsoletos y mucho menos seguros que WPA2, así que no es aconsejable usarlos como alternativa.

Le mejor solución, a largo plazo, será actualizar los diferentes equipos presentes en la red inalámbrica. No solo PCs, móviles y tabletas, sino también los propios routers que instalan las operadoras y cualquier otro dispositivo que se conecte a ellos, como un set-top box para la TV, una cámara digital o un sistema de videovigilancia.

Aquí los usuarios dependen de la velocidad de los fabricantes en poner a disposición de los clientes los diferentes parches y la facilidad con la que se puedan instalar.

iOS, macOS y Windows

En el caso de iOS, macOS y Windows los dispositivos sólo se han visto parcialmente afectados. A los clientes WiFi que utilizan no les afectan todas las vulnerabilidades que se condensan en KRACK. No están a salvo, pero explotar el fallo de seguridad es más complejo. Aún así, tanto Microsoft como Apple disponen ya de parches de seguridad para sus productos.

Apple ya lo ha instalado en las versiones beta de iOS y MacOS (también en los sistemas operativos de AppleTV y Apple Watch). En la próxima actualización pública del sistema operativo, llegarán al resto de los usuarios.

Microsoft también ha lanzado ya una actualización de seguridad que arregla el problema en dispositivos con Windows. El https://portal.msrc.microsoft.com/en-US/eula parche de seguridad del pasado 10 de octubre incluía las herramientas necesarias para proteger los PC del ataque.

Android y Linux

En el caso de dispositivos Android y equipos con Linux, la situación es algo más compleja. Los clientes WiFi que utilizan son algo más vulnerables, permitiendo no solo descifrar el tráfico que envían en redes WiFi sino realizar ataques de suplantación de identidad, por ejemplo, y de manera más sencilla.

Algunas distribuciones de Linux, como DebianUbuntuGentoo o OpenBSD, ya tienen parches disponibles que solucionan el problema. En el caso de OpenBSD estos parches están disponibles desde el pasado mes de julio.

Android es especialmente vulnerable. Google está trabajando ya en un parche que se comenzará a distribuir en las próximas semanas. Al tratarse de una actualización de seguridad, tendrá menos problemas y obstáculos para la distribución que las nuevas versiones del sistema operativo (que deben ser adaptadas por los fabricantes y operadoras para cada modelo). En la mayoría de teléfonos el parche estará disponible en las próximas semanas.

Actualizar estos dispositivos es sólo parte del trabajo. Los routers inalámbricos WiFi también tendrán que ponerse al día. Esto es lo que más preocupa a los expertos en seguridad, ya que la mayoría de los usuarios no suele actualizar el software de estos dispositivos. En muchos casos ni siquiera pueden, ya que la gestión depende de la operadora que lo ha instalado en casa como parte de la instalación de ADSL o fibra.

Para aquellos que tengan un router propio o acceso al de la operadora, compañías como Netgear, Aruba, Intel o Cisco tienen ya actualizaciones disponibles para varios de los modelos y lanzarán nuevos a lo largo de los próximos días.

Los usuarios que estén preocupados por la seguridad de sus datos pero no puedan actualizar o configurar una VPN, tienen una alternativa algo incómoda pero eficaz: conectar los dispositivos al router a través de un cable de red. Es necesario desactivar la función WiFi del router si se hace, ya que si la red WiFi permanece activa, los paquetes de datos viajarán igualmente por ella.