Contraseña débileditar
La clave pre-compartida WPA y WPA2 siguen siendo vulnerables a los ataques de descifrado de contraseñas si los usuarios confían en una contraseña o frase de contraseña débiles. Los hashes de contraseña WPA se siembran del nombre del SSID y su longitud; existen tablas rainbow para los 1000 SSIDs de red más importantes y una multitud de contraseñas comunes, que requieren solo una búsqueda rápida para acelerar el descifrado de WPA-PSK.
Se puede intentar forzar brutalmente contraseñas simples utilizando la Suite Aircrack a partir del apretón de manos de autenticación de cuatro vías intercambiado durante la asociación o la re-autenticación periódica.
WPA3 reemplaza los protocolos criptográficos susceptibles de análisis fuera de línea con protocolos que requieren interacción con la infraestructura para cada contraseña adivinada, supuestamente colocando límites temporales en el número de conjeturas. Sin embargo, los defectos de diseño en WPA3 permiten a los atacantes lanzar ataques de fuerza bruta de forma plausible (ver ataque Sangre de dragón).
Falta de secrecyEdit
WPA y WPA2 no proporcionan confidencialidad hacia adelante, lo que significa que una vez que una persona adversa descubre la clave pre-compartida, puede potencialmente descifrar todos los paquetes cifrados utilizando esa PSK transmitida en el futuro e incluso en el pasado, que podría ser recopilada pasiva y silenciosamente por el atacante. Esto también significa que un atacante puede capturar y descifrar silenciosamente los paquetes de otros si se proporciona un punto de acceso protegido por WPA de forma gratuita en un lugar público, porque su contraseña generalmente se comparte con cualquier persona en ese lugar. En otras palabras, WPA solo protege de atacantes que no tienen acceso a la contraseña. Debido a eso, es más seguro usar Transport Layer Security (TLS) o similar además de eso para la transferencia de cualquier dato confidencial. Sin embargo, a partir del WPA3, se ha abordado este problema.
Spoofing y descifrado de paquetes WPAEDITAR
Mathy Vanhoef y Frank Piessens mejoraron significativamente los ataques WPA-TKIP de Erik Tews y Martin Beck. Demostraron cómo inyectar un número arbitrario de paquetes, con cada paquete conteniendo como máximo 112 bytes de carga útil. Esto se demostró mediante la implementación de un escáner de puertos, que se puede ejecutar contra cualquier cliente utilizando WPA-TKIP. Además, mostraron cómo descifrar paquetes arbitrarios enviados a un cliente. Mencionaron que esto se puede usar para secuestrar una conexión TCP, lo que permite a un atacante inyectar JavaScript malicioso cuando la víctima visita un website.In por el contrario, el ataque Beck-Tews solo podía descifrar paquetes cortos con contenido mayormente conocido, como mensajes ARP, y solo permitía la inyección de 3 a 7 paquetes de un máximo de 28 bytes. El ataque Beck-Tews también requiere Calidad de servicio (como se define en 802.11e) para ser activado, mientras que el ataque Vanhoef-Piessens no lo hace. Ninguno de los ataques conduce a la recuperación de la clave de sesión compartida entre el cliente y el punto de acceso. Los autores dicen que el uso de un intervalo corto de reincorporación puede prevenir algunos ataques, pero no todos, y recomiendan encarecidamente cambiar de TKIP a CCMP basado en AES.
Halvorsen y otros muestran cómo modificar el ataque Beck-Tews para permitir la inyección de 3 a 7 paquetes con un tamaño máximo de 596 bytes. La desventaja es que su ataque requiere mucho más tiempo de ejecución: aproximadamente 18 minutos y 25 segundos. En otro trabajo, Vanhoef y Piessens mostraron que, cuando se usa WPA para cifrar paquetes de difusión, su ataque original también se puede ejecutar. Esta es una extensión importante, ya que muchas más redes usan WPA para proteger paquetes de difusión que para proteger paquetes de unidifusión. El tiempo de ejecución de este ataque es en promedio de alrededor de 7 minutos, en comparación con los 14 minutos del ataque original de Vanhoef-Piessens y Beck-Tews.
Las vulnerabilidades de TKIP son significativas, ya que WPA-TKIP se consideraba una combinación extremadamente segura; de hecho, WPA-TKIP sigue siendo una opción de configuración en una amplia variedad de dispositivos de enrutamiento inalámbrico proporcionados por muchos proveedores de hardware. Una encuesta realizada en 2013 mostró que el 71% todavía permite el uso de TKIP, y el 19% lo admite exclusivamente.
Recuperación de PIN WPSEDITAR
Stefan Viehböck reveló en diciembre de 2011 un defecto de seguridad más grave que afecta a los routers inalámbricos con la función Wi-Fi Protected Setup (WPS), independientemente del método de cifrado que utilicen. Los modelos más recientes tienen esta función y la habilitan de forma predeterminada. Muchos fabricantes de dispositivos Wi-Fi de consumo habían tomado medidas para eliminar la posibilidad de elegir frases de contraseña débiles promoviendo métodos alternativos para generar y distribuir automáticamente claves seguras cuando los usuarios agregan un nuevo adaptador o dispositivo inalámbrico a una red. Estos métodos incluyen pulsar botones en los dispositivos o introducir un PIN de 8 dígitos.
La Alianza Wi-Fi estandarizó estos métodos como Configuración protegida por Wi-Fi; sin embargo, la función de PIN implementada ampliamente introdujo un nuevo defecto de seguridad importante. La falla permite a un atacante remoto recuperar el PIN WPS y, con él, la contraseña WPA/WPA2 del enrutador en unas pocas horas. Se ha instado a los usuarios a desactivar la función WPS, aunque esto puede no ser posible en algunos modelos de enrutador. Además, el PIN está escrito en una etiqueta en la mayoría de los enrutadores Wi-Fi con WPS, y no se puede cambiar si se ve comprometido.
WPA3 presenta una nueva alternativa para la configuración de dispositivos que carecen de capacidades de interfaz de usuario suficientes al permitir que los dispositivos cercanos sirvan como una interfaz de usuario adecuada para fines de aprovisionamiento de red, mitigando así la necesidad de WPS.
MS-CHAPv2 y la falta de validación CN del servidor AAAEDITAR
Se han encontrado varias debilidades en MS-CHAPv2, algunas de las cuales reducen severamente la complejidad de los ataques de fuerza bruta, haciéndolos viables con hardware moderno. En 2012, la complejidad de romper MS-CHAPv2 se redujo a la de romper una sola tecla DES, trabajo de Moxie Marlinspike y Marsh Ray. Moxie aconsejó: «Las empresas que dependen de las propiedades de autenticación mutua de MS-CHAPv2 para la conexión a sus servidores WPA2 Radius deben comenzar inmediatamente a migrar a otra cosa.»
Los métodos EAP tunelizados que usan TTLS o PEAP que cifran el intercambio MSCHAPv2 se implementan ampliamente para proteger contra la explotación de esta vulnerabilidad. Sin embargo, las implementaciones de cliente WPA2 prevalentes durante la década de 2000 eran propensas a una configuración incorrecta por parte de los usuarios finales, o en algunos casos (por ejemplo, Android), carecían de cualquier forma accesible para el usuario de configurar correctamente la validación del certificado de servidor AAA CNs. Esto amplió la relevancia de la debilidad original en MSCHAPv2 dentro de los escenarios de ataque MiTM. Bajo las pruebas de cumplimiento de WPA2 más estrictas anunciadas junto con WPA3, se requerirá que el software cliente certificado cumpla con ciertos comportamientos relacionados con la validación del certificado AAA.
Hole196Edit
Hole196 es una vulnerabilidad en el protocolo WPA2 que abusa de la Clave Temporal de Grupo compartido (GTK). Se puede utilizar para llevar a cabo ataques de hombre en el medio y de denegación de servicio. Sin embargo, asume que el atacante ya está autenticado en el Punto de Acceso y, por lo tanto, en posesión del GTK.
Edición de Clave Temporal de Grupo Predecible (GTK)
En 2016 se demostró que los estándares WPA y WPA2 contienen un generador de números aleatorios expositivo inseguro (RNG). Los investigadores mostraron que, si los proveedores implementan el RNG propuesto, un atacante es capaz de predecir la clave de grupo (GTK) que se supone que es generada aleatoriamente por el punto de acceso (AP). Además, mostraron que la posesión del GTK permite al atacante inyectar cualquier tráfico en la red y le permite descifrar el tráfico de Internet de unidifusión transmitido a través de la red inalámbrica. Demostraron su ataque contra un enrutador Asus RT-AC51U que utiliza los controladores fuera del árbol de MediaTek, que generan el GTK por sí mismos, y mostraron que el GTK se puede recuperar en dos minutos o menos. De manera similar, demostraron que las claves generadas por los demonios de acceso Broadcom que se ejecutan en VxWorks 5 y posteriores se pueden recuperar en cuatro minutos o menos, lo que afecta, por ejemplo, a ciertas versiones de Linksys WRT54G y ciertos modelos de Apple AirPort Extreme. Los proveedores pueden defenderse de este ataque utilizando un RNG seguro. Al hacerlo, Hostapd que se ejecuta en núcleos Linux no es vulnerable a este ataque y, por lo tanto, los enrutadores que ejecutan instalaciones típicas de OpenWrt o LEDE no presentan este problema.
Ataque KRACKEDITAR
En octubre de 2017, se publicaron detalles del ataque KRACK (Ataque de Reinstalación de claves) en WPA2. Se cree que el ataque KRACK afecta a todas las variantes de WPA y WPA2; sin embargo, las implicaciones de seguridad varían entre las implementaciones, dependiendo de cómo los desarrolladores individuales interpreten una parte mal especificada del estándar. Los parches de software pueden resolver la vulnerabilidad, pero no están disponibles para todos los dispositivos.
Dragonblood attackEdit
En abril de 2019, se encontraron graves defectos de diseño en WPA3 que permiten a los atacantes realizar ataques de degradación y ataques de canal lateral, lo que permite forzar la contraseña de forma bruta, así como lanzar ataques de denegación de servicio en estaciones base Wi-Fi.