Usar WPA2 con una buena contraseña es seguro siempre que deshabilite WPS. En sus inicios usar WPS fue una idea aceptable, pero usarla ahora es un error.
Su router probablemente sea compatible con WPS y probablemente esté habilitado de manera predeterminada. Al igual que UPnP, esta es una característica insegura que hace que su red inalámbrica sea más vulnerable a los ataques.
¿Qué es WPS?
La mayoría de los usuarios deberían usar WPA2-Personal, también conocido como WPA2-PSK. El "PSK" significa "clave precompartida". Esto significa que en router se configura una clave de contraseña inalámbrica y luego debe proporcionar la misma contraseña en cada dispositivo que desee conectar a su red WiFi. Esto básicamente es una contraseña que protege su red WiFI del acceso no autorizado.
Esto puede ser un poco incómodo, ya que debe ingresar su clave de contraseña en cada dispositivo nuevo que conecte. Wi-FI Protected Setup (WPS), se creó para resolver este problema. Cuando se conecta a un router con WPS activado, verá un mensaje que le indicará que puede usar una forma más fácil de conectarse en lugar de ingresar su clave de contraseña de Wi-Fi. La idea es que usted puede presionar un botón en el router y un botón en el dispositivo y ambos elementos se emparejarán y usted como usuario no tiene que hacer ninguna configuración real.
Por qué WPS es inseguro
Hay diferentes formas de implementar WPS:
PIN: el router tiene un PIN de ocho dígitos que debe ingresar en sus dispositivos para conectarse. En lugar de verificar todo el PIN de ocho dígitos a la vez, el router verifica los primeros cuatro dígitos por separado de los últimos cuatro dígitos. Esto hace que los PIN de WPS sean muy fáciles de "Hackear usando usar fuerza bruta" adivinando diferentes combinaciones. Solo hay 11,000 posibles códigos de cuatro dígitos, y una vez que el software de fuerza bruta obtiene los primeros cuatro dígitos correctos, el atacante puede pasar al resto de los dígitos. Muchos enrutadores de consumo no se desconectan después de proporcionar un PIN de WPS incorrecto, lo que permite a los atacantes intentar adivinar una y otra vez. Un PIN de WPS puede ser forzado en menos de un día. Cualquiera puede usar un software como "reaver" o "wifite" para descifrar un PIN de WPS.
Pulsar un boton para conectarse: en lugar de ingresar un PIN o una contraseña, simplemente puede presionar un botón físico en el router después de intentar conectarse. (El botón también puede ser un botón de software en una pantalla de configuración.) Esto es más seguro, ya que los dispositivos solo se pueden conectar con este método durante unos minutos después de presionar el botón o después de que se conecte un solo dispositivo. No estará activo y disponible para explotar todo el tiempo, como lo es un PIN de WPS. La conexión pulsando el boton parece en gran medida segura, con la única vulnerabilidad de que cualquier persona con acceso físico al router podría presionar el botón y conectarse, incluso si no conoce la contraseña del WiFi.
PIN es obligatorio
Si bien la conexión al pulsar un boton es indiscutiblemente segura, el método de autenticación PIN es el método básico obligatorio que todos los dispositivos WPS certificados deben admitir. Así es, la especificación WPS exige que los dispositivos implementen el método de autenticación más insegura.
Los fabricantes de routers no pueden solucionar este problema de seguridad porque la especificación WPS requiere un método inseguro para verificar el PIN. Cualquier dispositivo que implemente WPS de acuerdo con la especificación, será vulnerable. La especificación en sí no es buena.
¿Puedes desactivar WPS?
Hay diferentes tipos de routers en el mercado.
- Algunos routers no le permiten desactivar WPS, sin proporcionar ninguna opción en sus interfaces de configuración para hacerlo.
- Algunos routers proporcionan una opción para desactivar WPS, pero esta opción no hace nada y WPS aún está habilitado sin su conocimiento. En 2012 quedó al descubierto este error en algunos routers que fueron probados de fabrica".
- Algunos routers le permitirán deshabilitar o habilitar WPS, sin ofrecer ninguna opción de métodos de autenticación.
- Algunos routers le permitirán deshabilitar la autenticación WPS basada en PIN mientras aún usa la autenticación del botón.
- Otros routers no son compatibles con WPS. Estos son probablemente los más seguros.
Cómo desactivar WPS
Si su router le permite desactivar WPS, es probable que encuentre esta opción en Wi-FI Protected Setup o WPS en su interfaz de configuración basada en web.
Debería al menos desactivar la opción de autenticación basada en PIN. En muchos dispositivos, solo podrá elegir habilitar o deshabilitar WPS. Elija deshabilitar WPS si esa es la única opción que puede hacer.
Estaríamos un poco preocupados por dejar WPS habilitado, incluso si la opción PIN parece estar deshabilitada. Dado el terrible historial de los fabricantes de routers en lo que respecta a WPS y otras características inseguras como UPnP.
Claro, teóricamente puedes estar seguro con WPS habilitado siempre que la autenticación basada en PIN esté desactivada, pero ¿por qué tomar el riesgo? Todo lo que WPS hace es permitirle conectarse a Wi-Fi más fácilmente. Si crea una contraseña que puedas recordar fácilmente, debería poder conectarse igual de rápido. Ademas esto es un problema solo la primera vez: ya que si se conecta a un dispositivo una vez, no debería tener que volver a hacerlo. WPS es muy arriesgado para una característica que ofrece un beneficio tan minimo.
