En 2018 hace su aparición este nuevo protocolo de seguridad, que viene para sustituir al anterior. Hasta ahora había sido suficiente, pero qué diferencias reales hay entre WPA2 y WPA3 y ¿Merece la pena la actualización?
Con las mejoras en la tecnología no solo se pueden hacer cosas buenas. El paso del tiempo, ha hecho que el método de encriptación WPA2, no sea tan invulnerable como hace unos años. Esto no es malo del todo, pues obliga a los desarrolladores a sacar nuevas versiones mejoradas.
Qué diferencias principales hay entre WPA2 y WPA3
Esta creciente necesidad, hace que las mejoras en la seguridad sean un conjunto de técnicas y funcionalidades que la hacen mucho más segura atacando diferentes flancos.
Los puntos más importantes en los que WPA3 mejora sobre WPA2 son en:
- Intercambio inicial de claves
- Resistencia ante desencriptado offline
- OWE u Opportunistic Wireless Encryption
- Envío secreto o forward secrecy
- DPP o Device provisioning protocol
- Claves de encriptación aún más largas
Como puedes ver no son pocas, y las más interesantes son el forward secrecy y su nueva resistencia al desencriptado offline. Esto la converte en un tipo de conexión ideal para entornos empresariales o incluso si valoras mucho tu información.
SAE -Simultaneos Authentication of Equals o el nuevo intercambio de claves en WPA3
Hasta ahora, la conexión con WPA2 se efectuaba con una autentificación de 4 direcciones. En principio bastante segura, pero vulnerable a ataques KRACK en el que un tercero se infiltra y hace pensar al cliente que es necesario renovar claves para así robarlas.
Esto con WPA3 cambia, pues utiliza el método Simultaneus authentication of equals o Dragonfly Key Exchange. Esta técnica se basa básicamente en sustituir el intercambio de claves por un método en el que no es necesario.
WPA3 anti desencriptado offline
Al no haber intercambio de claves, como pasa en WPA2 que se pueden capturar los paquetes de autentificación y cuando se tienen bastantes hacer un ataque por fuerza bruta de forma offline, no se disponen de suficientes datos para hacer este tipo de ataques.
Esto hace que incluso en aquellas redes en la que la contraseña es muy básica, se pueda mantener la red encriptada de forma segura y que para un atacante no sea posible hacer un ataque para recuperar la contraseña de forma externa.
Forward secrecy, o conexión secreta
Hasta ahora, los datos que viajaban por la red podían ser capturados, y con la clave correcta desencriptados. Esto es una vulnerabilidad bastante importante, pues la clave, aunque difícil, se puede llegar a conseguir.
En WPA3 no solo no se puede conseguir capturar esas claves como he comentado, sino que además, la conexión entre el router y el cliente mantiene los datos en secreto de forma que ni siquiera con la contraseña es posible capturar el tráfico de forma que sirva para algo entre los dos.
OWE u opoportunistic wireless encription
Esto está más enfocado a la protección de wifis abiertas, esos puntos de acceso donde se puede conectar cualquiera. A diferencia de hasta ahora, en WPA3 la encriptación se hace para cada cliente, de modo que no se comparten claves y cada uno solo puede ver y atrapar los datos de su propia conexión.
Esto unido al punto anterior hace que el sniffing sea cosa del pasado, e incluso ya no se podría hacer ataques del tipo man in the middle. Es una forma bastante efectiva de hacer que nuestros datos estén seguros incluso en sitios públicos.
DPP o Device Provisioning Protocol
Este es el protocolo que viene a sustituir el WPS y que está pensado para domótica y también el internet de las cosas o IoT en general.
Este permite a los dispositivos conectarse sin una contraseña, ya bien sea con NFC o incluso con un código QR. No es parte del WPA3, pero sí de la nueva certificación de seguridad que hará que la conexión con estos dispositivos sencillos sea mucho más segura.
Claves de encriptación más largas
A día de hoy, reinan los 128 bits en las redes WPA2. A partir de ahora, con WPA3 este número se incrementa hasta el equivalente a 192 bits en la versión WPA3-Enterprise.
En las conexiones enterprise no se utiliza solamente una contraseña, sino también un nombre de usuario. Al ser una clave mucho mayor, la dificultad para romperla crece exponencialmente, y lo mejor es que depende del fabricante que sea incluso mayor.
Esto hace que no llegue a merecer la pena ni siquiera intentar desencriptar o conseguir estas claves.
Soporte para WPA3
Ahora lo malo. Desde luego esta tecnología parece que es la repera, que merece la pena pasarte a ella y que lo tienes que hacer cuanto antes. Pero hay un problema.
Al igual que pasa con lo que es la versión de Wifi 6 y las mejoras sobre versiones anteriores, todos tus dispositivos tendrán que ser compatibles con este nuevo protocolo.
El problema es que si te compras un router con WPA3, y tu móvil o portátil no saben como autentificarse con el, no se puede establecer dicha conexión.
Por desgracia, y dado que no es algo que sea de rápida implementación, llevará tiempo, y hasta el próximo cambio de router y dispositivos no será cuando te puedas empezar a plantear usar WPA3.
No es así por ejemplo para ciertas empresas en las que sí merece la pena la renovación e inversión con tal de ganar en este tipo de seguridad.
¿Qué router tienes? ¿WPA2? Comenta y comparte