WPA, WEP… Comprendiendo conceptos para tener una red WiFi lo más segura posible

router

Seguro que cada vez que intentas definir una contraseña para la red inalámbrica de tu casa te asaltan las mismas dudas… WEP, WPA, WPA2, WPA personal, WPA empresas… ¿Qué significa cada una de ellas? Como ya vimos cuando hablamos de los ajustes básicos y wifi de nuestra conexión ADSL de Jazztel, a la hora de establecer la seguridad hay diferentes tipos. Esto puede confundir al usuario así que veamos con detalle cada una de las opciones.

A grandes rasgos, podríamos decir que las contraseñas WEP para redes WiFi fueron las primeras contraseñas que se desarrollaron para los Routers. Por lo tanto la totalidad de dispositivos que existen en el mercado son capaces de utilizarlas hoy en día, pero al ser las más antiguas, son las más vulnerables también. Las contraseñas WPA son las más utilizadas actualmente, puesto que tienen un mayor grado de seguridad, aunque dependiendo de la antigüedad de los dispositivos no todos son capaces de utilizarlas.

wep

Contraseña WEP (Wired Equivalent Privacy) los primeros pasos

Las contraseñas WEP, cuya traducción sería «Privacidad equivalente al cableado» datan ya de finales del siglo XX, del año 1999. Básicamente las hay de dos tipos, una que utiliza claves de 64 bits y otra que las utiliza de 128 bits. Evidentemente, las segundas contraseñas son de mayor seguridad al ser su encriptado más fuerte. Pero en 2001 (dos años después) analistas criptográficos descubrieron debilidades serias en su algoritmo de cifrado.

Básicamente nos encontramos con que  un sencillo software nos permite descifrar casi cualquier contraseña en unos pocos minutos. Hoy en día se sigue utilizando porque en los menús de configuración de muchos routers es posible configurarlas, pero evidentemente no son la mejor opción. Alguien con conocimientos básicos y algo de malicia podría acceder a tu información y utilizar tu red de manera muy sencilla.

La estructura básica de las contraseñas WEP es Hexadecimal. Lo cual implica que solo se pueden utilizar números del 0 al 9 y letras de la A a la F. Si creamos una contraseña con 64 bits de cifrado, la misma podrá tener una extensión máxima de 10 caractéres. Mientras que si la hacemos de 128 bits podrá tener un máximo de 26 caracteres.

wpa2

Contraseña WPA (WiFi Protected Access) la sustituta de WEP

WPA llegó en el 2003 para intentar solucionar los problemas detectados a las contraseñas WEP. La novedad radica en que poseen un sistema de encriptación dinámico que va cambiando según el uso, por lo que es más difícil acceder a una red WiFi que utiliza este tipo de contraseñas. Esto no quiere decir que el sistema nos vaya cambiando la contraseña cada cierto tiempo, sino que la encriptación cambia debido al uso de un servidor «central» (normalmente alojado en el router) que actualiza la encriptación de manera dinámica.

El uso de contraseñas WPA permite utilizar cualquier letra del abecedario, cualquier número, e incluso permite el uso de algunos caracteres especiales (*$%#@). Existen cuatro variantes de las contraseñas WPA. La WPA-Personal, WPA-2-Personal, WPA-Enterprise y WPA-2-Enterprise.

Las dos variantes de WPA, WPA y WPA-2

La diferencia entre WPA y WPA-2 es que la primera es el protocolo que vino a sustituir a WEP, mientras que el WPA-2 vino a entrar cuando el nuevo protocolo 802.11ie  fue finalizado y adoptadas sus especificaciones. La variante «Personal» y «Enterprise» vienen diferenciadas al se la primera formada por contraseñas pre-compartidas, mientras que la versión Enterprise requieren de autenticación.

Diferencias entre WPA-Personal y WPA-Enterprise

Las diferencia entre WPA-Personal y WPA-Enterprise es básicamente el método de autenticación de contraseña que utilizan ya sea esta WPA o WPA-2. En WPA-Personal utiliza un servidor RADIUS (Remote Authentication Dial-IUser Server) que se encarga de recibir la información de usuario y contraseña cada vez que alguien intenta conectarse a la red WiFi. Es este servidor el que posee la información y por lo tanto es capaz de comprobar si esta es correcta o no. Una vez comprobado (y dado el acceso) será el servidor RADIUS el que proporcionará acceso asignando una dirección IP al dispositivo conectado.

WPA-Enterprise viene a mostrar el mismo funcionamiento, con la salvedad de que existe un certificado de seguridad para añadirle mayor seguridad a un entorno empresarial. El pago de esta licencia hace que el entorno sea más seguro, pero me temo que sea algo reservado a grandes empresas y que a un usuario normal no le aporte mucho beneficio en su red doméstica.

macaddress

Dos consejos básicos (ni uno más) para tener una red Wi-Fi a prueba de bombas (o casi)

Según lo que hemos aprendido hasta ahora, el paso evidente es olvidarse de las contraseñas WEP. Realmente, aunque a día de hoy sigan apareciendo en muchos routers, es un tipo de contraseñas que solo utilizan tarjetas WiFi muy antiguas. Por lo que si tenemos un ordenador que utiliza este tipo de contraseñas, tal vez sea conveniente actualizar su tarjeta WiFi o directamente renovar el equipo (si es posible, evidentemente). Para cualquier usuario doméstico una contraseña WPA-2-Personal es lo suficientemente fuerte para tener una red inalámbrica segura.

A la hora de generar contraseñas para esta red, es conveniente alejarse lo máximo posible de contraseñas «legibles» o con significado. Existen multitud de sitios web con generadores automáticos de contraseña, una búsqueda en internet te mostrara sitios o aplicaciones que se encargan de esto. Evidentemente son más difíciles de memorizar, pero son más seguras.

Otro método seguro es filtrar direcciones MAC dentro del router. Cada dispositivo inalámbrico, cada Smartphone, tablet u ordenador tiene una dirección única que la identifica (dirección MAC). El modo de obtenerla varía según el sistema operativo que estemos utilizando, en este enlace obtendremos instrucciones de como obtenerla según nuestro sistema.

Con esta filtración conseguiremos que solo un determinado número de dispositivos se le permita acceder a dicha red inalámbrica. Esto hará que en caso de recibir una visita en casa, nos sea más complicado darle acceso a dicha red (deberemos darlo de alta en el listado de direcciones MAC) pero tendremos una red casi a prueba de bombas. Nosotros deberemos decidir según el uso que le vayamos a hacer de la utilización o no de esta característica.

wifi

Menú  seguridad WiFi en routers de Jazztel

A la hora de acceder a la configuración de nuestro router de Jazztel lo haremos a través de la dirección IP «Madre» asignada a dicho router (que por norma general, salvo que hayamos realizado algún cambio debería ser la 192.168.0.1). Al acceder a dicha dirección a traves de cualquier navegador web de nuestro ordenador nos pedirá el usuario y contraseña de acceso de dicho router (que deberíamos tener en nuestro poder).

Una vez dentro del  mismo nos saldrá una pantalla como la que muestra la imagen que acompaña a este artículo. En el menú de la izquierda tenemos un apartado denominado «Wireless» el cual desplegará un submenu al clickarlo con el ratón. En el apartado de seguridad (Security) será donde podremos elegir el tipo de contraseña que queramos para nuestra red WiFi.

WPA-PSK es la denominada WPA-Personal, y la que debería funcionar para el mayor número de redes domésticas, aquí podremos definir la contraseña que queramos. Será conveniente utilizar una contraseña poco legible (ninguna palabra de diccionario) y alternar mayúsculas, minúsculas e incluso símbolos. Cuanto mayor complejidad, mayor seguridad.

Con estos sencillos pasos conseguiremos una red segura, aunque nada es seguro al 100%. En definitiva, se trata en gran parte del uso del sentido común y el entendimiento de estos conceptos nos llevará a comprender mejor lo que estamos haciendo.

En Anexo M | Configura tu ADSL Jazztel, ajustes básicos y conexión WiFi | Comprende mejor las diferentes redes WiFi | Seguridad en Internet: Consejos para proteger tu red

8 respuestas a “WPA, WEP… Comprendiendo conceptos para tener una red WiFi lo más segura posible

  1. muy buenotu aporte que aplicaciones puedo utilizar para hacer auditoria de redes inalambricas?? gracias y bendiciones

  2. Ya, C. Roberto, pero con Wifislax o Bactrack, o otros, se puede ver tu SSID, eso no es suficiente, y un ataque con diccionario puede tardar meses o bien años en descifrar el handshake, yo creo que el peligro es dejar la contraseña por defecto, en aquellos routers que se conoce el algoritmo matemático
    Y lo mejor que se puede hacer, es cambiar semanalmente la contraseña

  3. Dices que puedes encontrar las MAC asociadas haciendo un barrido de red, pero primero tendras que conectar a la red, no? y no puedes conectar a la red wifi porque tiene filtro MAC, en una red de cable modem puedes encontrar las MAC asociadas, pero esto es otro tipo de estructura de red.

  4. Muy buenas:

    Por mucho que se ponga una clave lo bastante robusta con un ataque por diccionario tarde o temprano se rompe.
    Filtrado de MAC no es del todo seguro por que se puede hacer un barrido de RED encontrar las MAC asociadas luego cambio mi MAC por una de la lista y el Router se lo come sin mas!!! y me asociare a esa RED.
    Hay otras soluciones.

  5. Hola Enrique:

    Evidentemente no hay red 100% segura. Países que invierten millones en conseguir redes seguras son blanco de ataques y acaban saltandose todas las medidas de seguridad.

    He intentado enfocar el artículo a usuarios que quieren tener una red doméstica medianamente segura, a los cuales no interesa el esfuerzo ni el tiempo de burlarles la seguridad.

    Un saludo.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *