1.8. PROTOCOLOS DE CIFRADO

Actualmente existen tres tipos de cifrado de red inalámbrica: Privacidad equivalente por cable (WEP), Acceso protegido wifi (WPA, WPA2 y WPA3) y 802.1x. Los dos primeros se describen más detalladamente en las secciones siguientes. El cifrado 802.1x se usa normalmente para redes empresariales y no se tratará en esta unidad.

Privacidad equivalente por cable (WEP).

WEP es un método de seguridad de red antiguo que todavía está disponible para dispositivos antiguos, pero que ya no se recomienda usar. Cuando se habilita WEP, se configura una clave de seguridad de red. Esta clave cifra la información que un equipo envía a otro a través de la red. Sin embargo, la seguridad WEP es relativamente fácil de vulnerar.

WPA-PSK/WPA2 PSK y TKIP o AES.

Utiliza una clave precompartida (PSK) que tiene más de 7 caracteres y menos de 64 caracteres de longitud.

A diferencia de las claves de 64 y 128 bits de WEP, las claves WPA utilizan claves de 256 bits. Su configuración más común se denomina clave precompartida de acceso protegido WPA-PSK o wifi. Por otra parte, una de las actualizaciones previstas en WPA fue la incorporación de comprobaciones de integridad de los mensajes. Esto determina si alguien ha interceptado paquetes mientras se transmite desde un punto de acceso al cliente.

Otra parte del avance en WPA es el Protocolo de Integridad de Claves Temporales o TKIP. Esto es más seguro que el sistema de claves fijas de WEP, ya que utiliza un sistema de cifrado por paquete. Advanced Encryption Standard o AES, por otro lado, dejó TKIP anticuado. Este cifrado se utilizó principalmente para proteger los datos clasificados del Gobierno de los Estados Unidos.

Autenticación Simultanea de Iguales (SAE).

Este nuevo protocolo empleado por WPA3 (que en realidad data de 2008), se trata de una variación de dragonfly handshake, contando entre sus novedades resistencia a ataques como el de KRACK, pero además hace inútiles los ataques por diccionario a los paquetes interceptados.

SAE a diferencia de PSK, tal y como indica su nombre (Simultaneous Authentication of Equals) trata a cada parte como iguales, y cualquiera de ellas puede establecer o iniciar la comunicación. Este nuevo método se contrapone a la forma de trabajar de PSK, en que router y cliente se encontraban diferenciados, y era posible forzar la desconexión entre ambos para analizar los handshake (tal y como hace KRACK y otros ataques similares).

<aside> 💡 Aunque existe este otro tipo de protocolo de autenticación (SAE) usado en redes con cifrado WPA3, no lo veremos desde el punto de vista de la seguridad, aunque puedes saber más sobre él en este enlace.

</aside>