El protocolo Wi-Fi Protected Access 2 (WPA2), que fue desarrollado por la WiFi Alliance, se lanzó en junio de 2004. Es una mejora de la versión anterior WPA y actualmente es vulnerable. Hace tiempo que se conocía el problema pero hace pocos días se publicó una forma de explotarlo de manera razonablemente simple. Los ataques previos se basaron en obtener las claves de red. El ataque actual es diferente pues su objetivo es interceptar la comunicación para poder leer mensajes. Esto lo puede realizar un atacante de manera manual o a través de malwares específicos.
La vulnerabilidad afecta al protocolo WiFi no a un conjunto de sistemas o dispositivos en particular, por lo que la solución pasa por el hecho de que los fabricantes generen parches específicos. Al momento del cierre de este informe algunos vendors ya habían anunciado sus parches o que no eran vulnerables.
El potencial ataque comienza cuando un usuario intenta unirse a una red WiFi en particular. Cuatro mensajes conforman el proceso de configuración, incluida la clave de cifrado para la comunicación. La técnica utilizada para secuestrar el protocolo se llama KRACK Key Reinstallation Attack. Esto se hace mediante la reproducción de mensajes de saludo replicando los paquetes criptográficos esperados en una conexión normal. La clave de encripción se instala cuando el cliente recibe el tercer mensaje, luego de que el cliente envía un paquete ACK al punto de acceso. Durante este paso, el número de transmisión del paquete se establece y comienza la comunicación.
¿CÓMO FUNCIONA LA VULNERABILIDAD?
Si la computadora no responde correctamente al mensaje ACK, recibirá la clave de cifrado nuevamente y la reutilizará. Si un atacante obliga a que la clave se reutilice al interceptar el tercer mensaje, la comunicación será monitoreada por el intruso.
La información confidencial (tarjetas de crédito, nombres de usuario, contraseñas, correos electrónicos, conversaciones, etc.) podría ser interceptada. A medida que se modifican los paquetes TCP, los atacantes también pueden cambiar la comunicación para distribuir malware u otros tipos de fraude.
RECOMENDACIONES
- La prioridad es actualizar a los clientes, como los propietarios de teléfonos inteligentes, computadoras portátiles, servidores, etc. Es necesario instalar actualizaciones para productos y hosts afectados tan pronto como estén disponibles. Es importante verificar la fecha en que la actualización se publicará con el proveedor.
- Cada dispositivo debe actualizarse, ya que el ataque funciona en contra de WPA1 y WPA2, redes personales y corporativas, y cualquier conjunto de cifrado que se esté utilizando.
- Evitar el uso de WPA2 no es recomendable, ya que la alternativa (WPE) es mucho más vulnerable.
- Evitar conectarse a Wi-Fi externo, especialmente hasta que el dispositivo se actualice.
IMPACTOS POSIBLES
Se debe partir de la base de que cualquier tipo de ataque requiere estar conectado a la red WiFi objetivo.
Para los usuarios: Es difícil que un atacante esté interesado en atacar una red doméstica. De todas formas si alguien accede a su Home Banking conviene que verifique que al momento de ingresar sus credenciales se establezca la sesión HTTPS.
Para las empresas: Por lo general las compañías tienen seguridad en sus redes corporativas. El riesgo es si tienen redes WiFi adosadas (como la de invitados) y no está correctamente segmentada del sistema corporativo.
