(II) Certificado WPA3 para redes Wi-Fi

Tras una primera entrada donde comentábamos las exigencias por parte de la Wi-Fi Alliance para otorgar la certificación WPA3, a continuación haremos un repaso a las que la citada organización considerada como opcionales.

Mejoras WPA3 opcionales

Las siguientes dos mejoras no forman parte actualmente de los requisitos básicos de certificación WPA3, pero son certificaciones independientes de la Wi-Fi Alliance que se pueden integrar en un dispositivo concreto conjuntamente a la certificación principal WPA3.

Wi-Fi mejorado abierto

Wi-Fi Enhanced Open es una mejora orientada a mejorar la seguridad en las redes Wi-Fi abiertas, como pueden ser las que nos encontramos en aeropuertos, hoteles, bares e incluso las que ofertan algunos municipios en la misma calle. Debido a su propina naturaleza de redes abiertas, el tráfico de la red no está cifrado.

En combinación con WPA3 se crea una conexión cifrada entre un dispositivo (móvil, tablet, portátil…) y el punto de acceso Wi-Fi desde el mismo momento en que se conecta a la red abierta (cifrado de datos individualizados), independientemente de que nunca se haya autenticado en la red ni haya proporcionado una contraseña. Para ello, los dispositivos negocian una clave de sesión única (PMK, Pairwise Master Key) que solo puede ser utilizada una vez. Esta clave de sesión se utiliza en lugar de una clave de red para cifrar la conexión Wi-Fi con WPA2 (CCMP).

Esto presenta una mejora enorme respecto a cualquier solución actual ya que no requiere de ninguna acción por parte del usuario.

El concepto de Wi-Fi Enhanced Open también es conocido como OWE (Opportunistic Wireless Encryption – Cifrado Inalámbrico Oportunista)

Conexión fácil Wi-Fi

Wi-Fi Easy Connect es como denomina la Wi-Fi Alliance el “Protocolo para aprovisionamiento de dispositivos” (DPP). Es el método seguro para conectar dispositivos a una red Wi-Fi y cuya finalidad es reemplazar el cuestionado y superado WPS (Wifi Protected Setup, es un sistema que tiene por funcionalidad básica la de ofrecer una manera controlada de conectarse a una Wi-Fi escribiendo sólo un PIN de 8 dígitos en lugar de la contraseña inalámbrica completa).

El funcionamiento consiste en escanear un código QR o una etiqueta NFC en el equipo Wi-Fi (Router o AP) usando una aplicación de configuración. Posteriormente hay que volver a escanear dichos códigos QR o etiquetas NFC en el dispositivo con el cual deseemos conectarnos a la red Wi-Fi.

Con todo esto se consigue reemplazar a WPS ofreciendo una facilidad de uso incluso mayor y muy orientada ha agregar dispositivos sin pantallas, teclados o incluso sin botones a una red.

Wi-Fi Easy Connect también tiene una ventaja extra: cuando se empareja un dispositivo con el Router o AP, el emparejamiento continuará aunque se cambie el SSID y/o la contraseña de los mismos. Lo que facilita realizar cambios en nuestra red sin tener que volver a emparejar todo lo que tengamos conectado a ella. Muy útil para todo lo relacionado con la domótica. ya que nos evita la tediosa labor de volver a emparejar enchufes, interruptores, termostato, bombillas inteligentes, etcétera.

Conclusiones

Si ahora mismo miramos la configuración de nuestro Router o Ap, comprobaremos que en “Métodos de Autenticación” y respecto a WPA3 aparecen dos opciones:

  • WPA3 Personal
  • WPA2/WPA3 Personal

La primera es clara, sólo permite utilizar WPA3. El tema importante aparece con la segunda. Dado que muchos dispositivos no soportan ni soportarán WPA3, se ha designado una opción híbrida que habilitará una certificación u otra en función del dispositivo que quiera conectarse a la red Wi-Fi. Aquí hay que tener en cuenta algunas consideraciones:

  • En WPA2/WPA3 Personal, aunque el dispositivo soporte WPA3, es posible que no utilice PMF (Marcos de gestión protegidos).
  • Wi-Fi Alliance recomienda tener redes Wi-Fi separadas para WPA2 y WPA3 antes que utilizar la opción híbrida.
  • Es posible que en firmwares muy antiguos, un dispositivo que funciona bajo WPA2 no lo haga bajo WPA2/WPA3.
  • Hay casos documentados (módulo Wi-Fi Broadcom BCM4339) donde el modo híbrido puede llegar a reducir la velocidad del dispositivo hasta 2,5 veces. Según la empresa Keenetic esto es debido a que aún estando establecido el PMF, algunos dispositivos cliente puede cambiar al cifrado de paquetes mediante software.

A modo de resumen, podemos afirmar que es mucho más seguro utilizar WPA3 siempre y cuando tanto nuestro Router/AP como dispositivos lo soporten. Y caso de tener tanto dispositivos soportados como otros que no, también es más seguro el modo WPA2/WPA3 que el anterior WPA2.

También recordar que cada vez más modelos de Routers de gama alta y media/alta van incorporando la opción de segmentación de redes (Vlan en la parte LAN), lo que nos permite crear una red Wi-Fi exclusiva para dispositivos WAP2 y otra para dispositivos WAP3.