La configuración protegida de Wi-FI (WPS) es insegura: Esto es por lo que deberías desactivarlo

WPA2 con una contraseña fuerte es seguro siempre que desactives WPS. Encontrarás este consejo en guías para asegurar tu Wi-Fi por toda la web. La Configuración Protegida de Wi-Fi fue una buena idea, pero usarla es un error.

Tu router probablemente soporta WPS y es probable que esté activado por defecto. Al igual que UPnP, se trata de una función insegura que hace que su red inalámbrica sea más vulnerable a los ataques.

¿Qué es la configuración protegida de Wi-Fi?

Relacionado: La diferencia entre las contraseñas Wi-Fi WEP, WPA y WPA2

La mayoría de los usuarios domésticos deberían utilizar WPA2-Personal, también conocido como WPA2-PSK. El «PSK» significa «clave precompartida». Usted configura una frase de contraseña inalámbrica en su router y luego proporciona esa misma frase de contraseña en cada dispositivo que conecta a su red WI-Fi. De este modo, se obtiene una contraseña que protege la red Wi-FI de accesos no autorizados. El router obtiene una clave de cifrado a partir de su frase de contraseña, que utiliza para cifrar el tráfico de su red inalámbrica para garantizar que las personas que no tienen la clave no puedan espiarlo.

Esto puede ser un poco incómodo, ya que tiene que introducir su frase de contraseña en cada nuevo dispositivo que conecte. Wi-FI Protected Setup (WPS), fue creado para resolver este problema. Cuando te conectas a un router con WPS activado, verás un mensaje diciendo que puedes utilizar una forma más fácil de conectarte en lugar de introducir tu frase de contraseña Wi-Fi.

Por qué la configuración protegida de Wi-Fi es insegura

Hay varias formas diferentes de implementar la configuración protegida de Wi-Fi:

PIN: El router tiene un PIN de ocho dígitos que necesitas introducir en tus dispositivos para conectarte. En lugar de comprobar todo el PIN de ocho dígitos a la vez, el router comprueba los cuatro primeros dígitos por separado de los cuatro últimos. Esto hace que los PIN WPS sean muy fáciles de «forzar» adivinando diferentes combinaciones. Sólo hay 11.000 códigos de cuatro dígitos posibles, y una vez que el software de fuerza bruta acierta los cuatro primeros dígitos, el atacante puede pasar al resto de los dígitos. Muchos routers de consumo no se desconectan cuando se proporciona un PIN WPS erróneo, lo que permite a los atacantes adivinar una y otra vez. Un PIN WPS puede ser forzado en aproximadamente un día. Cualquiera puede utilizar un software llamado «Reaver» para descifrar un PIN WPS.

Push-Button-Connect: En lugar de introducir un PIN o una frase de contraseña, puede simplemente pulsar un botón físico en el router después de intentar conectarse. (El botón también puede ser un botón de software en una pantalla de configuración.) Esto es más seguro, ya que los dispositivos sólo pueden conectarse con este método durante unos minutos después de pulsar el botón o después de que un solo dispositivo se conecte. No estará activo y disponible para ser explotado todo el tiempo, como lo está un PIN WPS. La conexión por botón parece bastante segura, con la única vulnerabilidad de que cualquier persona con acceso físico al router podría pulsar el botón y conectarse, incluso si no conociera la frase de contraseña Wi-Fi.

El PIN es obligatorio

Aunque la conexión mediante un botón es posiblemente segura, el método de autenticación mediante el PIN es el método básico y obligatorio que deben soportar todos los dispositivos WPS certificados. Así es, la especificación WPS exige que los dispositivos implementen el método más inseguro de autenticación.

Los fabricantes de routers no pueden solucionar este problema de seguridad porque la especificación WPS exige el método inseguro de comprobación de PIN. Cualquier dispositivo que implemente la Configuración Protegida Wi-FI de acuerdo con la especificación será vulnerable. La especificación en sí misma no es buena.

¿Se puede desactivar el WPS?

Hay varios tipos diferentes de routers por ahí.

• Algunos routers no permiten desactivar el WPS, proporcionando ninguna opción en sus interfaces de configuración para hacerlo.
• Algunos routers proporcionan una opción para desactivar el WPS, pero esta opción no hace nada y el WPS sigue habilitado sin su conocimiento. En 2012, este fallo se encontró en «todos los puntos de acceso inalámbrico Linksys y Cisco Valet… probados».
• Algunos routers le permitirán deshabilitar o habilitar WPS, sin ofrecer ninguna opción de métodos de autenticación.
• Algunos routers le permitirán deshabilitar la autenticación WPS basada en el PIN mientras sigue utilizando la autenticación por botón.
• Algunos routers no admiten WPS en absoluto. Estos son probablemente los más seguros.

Cómo desactivar WPS

Relacionado: ¿Es UPnP un riesgo para la seguridad?

Si su router le permite desactivar WPS, probablemente encontrará esta opción en Configuración protegida de Wi-FI o WPS en su interfaz de configuración basada en la web.

Al menos debería desactivar la opción de autenticación basada en PIN. En muchos dispositivos, sólo podrá elegir si activar o desactivar WPS. Elija desactivar WPS si es la única opción que puede hacer.

Nos preocuparía un poco dejar WPS activado, incluso si la opción del PIN parece estar desactivada. Dado el pésimo historial de los fabricantes de routers en lo que respecta a WPS y otras características inseguras como UPnP, ¿no es posible que algunas implementaciones de WPS sigan poniendo a disposición la autenticación basada en el PIN incluso cuando parezca estar desactivada?

Seguro que, en teoría, podrías estar seguro con WPS activado siempre que la autenticación basada en PIN estuviera desactivada, pero ¿por qué correr el riesgo? Todo lo que hace WPS realmente es permitirle conectarse a la Wi-Fi más fácilmente. Si creas una frase de contraseña que puedas recordar fácilmente, deberías poder conectarte igual de rápido. Y esto sólo es un problema la primera vez: una vez que hayas conectado un dispositivo una vez, no deberías tener que volver a hacerlo. WPS es terriblemente arriesgado para una función que ofrece un beneficio tan pequeño.

Crédito de la imagen: Jeff Keyzer en Flickr