Con la finalidad de resolver las brechas de seguridad detectadas en WEP (Wired Equivalent Privacy), la Wi-Fi Alliance desarrolló dos nuevas especificaciones para las redes inalámbricas de área local. Con ellas, las redes Wi-Fi han alcanzado mejores niveles de resguardo de la privacidad de los datos, incorporando autenticación de usuario y optimizando la encriptación, aspectos que antes debían resolverse con el apoyo de múltiples tecnologías propietarias.

El avance de las redes inalámbricas de área local (Wireless Local Area Networks–WLAN), popularmente conocidas como Wi-Fi, parece hoy demasiado evidente, lo cual contrasta con las expectativas moderadas de quienes afirmaban, en los inicios de comercialización masiva, que no encontrarían aplicaciones relevantes en el mundo de los negocios y que tenían en su seguridad un escollo prácticamente insuperable.

Actualmente, sin embargo, se estima que más de dos tercios de las grandes empresas ya tienen implementadas aplicaciones basadas en Wi-Fi en algún punto de sus redes, aunque para ellas, al igual que para las organizaciones de menor tamaño o para los usuarios de hogar que las usan, la preocupación por la seguridad sigue concentrando, como es lógico, buena parte de los esfuerzos al desplegarlas.

De hecho, como sostiene Gartner, para el próximo año, la seguridad de las redes inalámbricas podría consumir un importante porcentaje de los presupuestos de seguridad, aunque la consultora ha advertido también que muchos de los ataques exitosos registrados en redes Wi-Fi empresariales se debían más que nada a configuraciones deficientes.

WEP Queda en el Pasado

Hasta hace algunos años, la tecnología conocida como WEP (Wired Equivalent Privacy) era considerada como el fundamento que debía dar confianza al mercado y los usuarios respecto de las redes inalámbricas. Sin embargo, en el 2001 diversos estudios pusieron de manifiesto que WEP tenía más debilidades de las que se creyó originalmente.

WEP era el mecanismo de seguridad nativo de las redes WLAN en la especificación 802.11 de la IEEE (Institute of Electrical and Electronics Engineers). Los estudios mencionados afirmaban que, aun con WEP habilitado, un intruso equipado con las herramientas apropiadas y con un conocimiento técnico no muy avanzado podía acceder sin autorización a la red inalámbrica de una organización a través de la WLAN.

Lo anterior provocó aprensiones en torno a las redes WLAN, haciendo que rápidamente las empresas al implementar soluciones wireless fueran reemplazando WEP por soluciones de seguridad que combinaban varios elementos, como VPN (Virtual Private Networks), servidores con servicios de autenticación IEEE 802.1X u otras tecnologías propietarias. 

Ante esta situación, la Wi-Fi Alliance introdujo dos nuevas especificaciones de seguridad Wi-Fi interoperables para redes empresariales y domésticas.

La primera de ellas fue en el 2003, cuando introdujo WPA (Wi-Fi Protected Access), una especificación de seguridad para redes Wi-Fi más robusta, basada en estándares interoperables y que poseía la cualidad de resguardar apropiadamente los datos de empresas o usuarios domésticos, garantizando que sólo quien estuviera autorizado podría acceder a la red. Además, WPA anunciaba el uso del protocolo TKIP (Temporal Key Integrity Protocol) para la encriptación de datos.

En el 2004, por otro lado, la Wi-Fi Alliance introdujo WPA2, una segunda generación de tecnología de seguridad WPA, la cual como su predecesora, proveía tanto a las empresas como a las redes domésticas un alto nivel de resguardo para sus datos e impedía que nadie que no estuviera autorizado pudiera acceder a una red inalámbrica ajena. A diferencia de WPA, usaría Advanced Encryption Standard (AES) para encriptación de datos y sería compatible con FIPS (Federal Information Processing Standards) 140-2.

Beneficios WPA

WPA asumió desde su desarrollo inicial todas las vulnerabilidades conocidas y detectadas en WEP, la cual era menos segura por contar con un nivel de encriptación menos avanzado. WPA, asimismo, aportaba un elemento del que WEP carecía: autenticación de usuario. Diseñado para asegurar la actual y las futuras versiones de los dispositivos 802.11, WPA puede entenderse como una parte de la especificación 802.11i.

Así, WPA reemplaza WEP con una nueva y más robusta tecnología de encriptación llamada TKIP con Message Integrity Check (MIC), sistema que garantiza que un paquete no ha sido modificado en tránsito. Esto provee un esquema de autenticación mutua usando cualquier autenticación IEEE802.1X EAP (Extensible Authentication Protocol) o tecnología PSK (Pre Shared Key).

Según la Wi-Fi Alliance, WPA fue diseñado y evaluado por conocidos criptógrafos y puede ser implementado rápida y económicamente como software o actualización de firmware de los actuales access points certificados Wi-Fi o dispositivos cliente con una mínima degradación en el nivel de desempeño de la red. Asimismo, ofrece seguridad Wi-Fi certificada y basada en estándares, lo cual asegura a los usuarios que los dispositivos podrán ser compatibles con múltiples marcas y proveedores.

Cuando es apropiadamente implementada, WPA brinda un alto nivel de resguardo a las empresas o usuarios hogareños. Para las empresas que ya tienen autenticación IEEE 802.1X desplegada, WPA ofrece la ventaja de mejorar la autenticación a sus bases de datos e infraestructura.

WPA 2: Un Peldaño Más

Lanzada en septiembre del 2004 por la Wi-Fi Alliance, WPA2 es la versión certificada e interoperable de la especificación IEEE 802.11i completa, la cual fue ratificada en junio de ese año. Como WPA, WAP2 soporta autenticación IEEE 802.1X o tecnología PSK Esto incluye el avanzado mecanismo de encriptación denominado AES, el cual satisface los requerimiento de seguridad establecido por el propio gobierno de Estados Unidos. De hecho, ha sido adoptado como estándar por el NIST (Department of Commerce and the National Institute of Standards) de ese país.

WPA y WPA2 protegen a las redes inalámbricas de una amplia variedad de amenazas, incluyendo la pérdida o el robo de dispositivos y enfrenta conocidas formas de ataque de los hackers, desde los denominados “hombre en el medio” hasta los clásicos de “fuerza bruta”.

En resumen, a diferencia de WEP, WPA utiliza claves de sesión dinámicas de 128 bits, para cada usuario, cada sesión y cada paquete. Los usuarios deben acceder a través de un servidor de autentificación (típicamente Radius). De esta forma, con WPA la seguridad se hace más robusta y resuelve tres elementos fundamentales: la autenticación (Radius), la privacidad (TKIP) y la integridad (MIC).