Google y Apple todavía no solucionan la vulnerabilidad del Wi-Fi
El protocolo de seguridad WPA2 ha sido un requisito obligatorio para todos los dispositivos que utilizan el protocolo Wi-Fi desde 2006, lo que se traduce en miles de millones de computadoras portátiles, móviles y enrutadores. La debilidad identificada por Mathy Vanhoef, investigadora de seguridad digital en la Universidad Católica de Leuven (KUL) en Bélgica, se encuentra en la manera en que los dispositivos que ejecutan WPA2 encriptan información.
Cada vez que un dispositivo se une a una red, intercambia mensajes con el enrutador en lo que se conoce como un “enlace de cuatro vías”. Vanhoef, que presentará sus hallazgos el mes próximo en la Conferencia de la Asociación para la Computación de Maquinaria sobre Seguridad de Computadoras y Comunicaciones en Dallas, Texas, descubrió que es posible interferir con este apretón de manos.
Eso permite que un hacker obtenga acceso a cualquier información confidencial enviada a través de una red: números de tarjetas de crédito, contraseñas, mensajes de chat, correos electrónicos y fotos, independientemente de las contraseñas o del cifrado.
“Cualquier dispositivo que use Wi-Fi es probablemente vulnerable”, dice Vanhoef. Alertó a las empresas tecnológicas sobre la vulnerabilidad en julio.
Solucionar el problema es una cuestión de una sencilla actualización de software, pero mientras Microsoft ya ha lanzado un parche para solucionar el problema en los dispositivos que ejecutan su software, Google y Apple aún deben lanzar actualizaciones que harán lo mismo.
Sin embargo, entre los dispositivos más vulnerables se encuentran los que ejecutan el Android 6.0 o posterior de Google: Vanhoef estima que el 41% de los 2.000 millones de dispositivos Android del mundo son susceptibles.
El problema no está en los dispositivos: está en el estándar Wi-Fi en sí. Eso significa qué la vulnerabilidad de un dispositivo depende completamente de cuán estrechamente se adhiera al estándar. Android se adhiere estrictamente. Los productos de Apple y Microsoft, por otro lado, no lo hacen tanto, por lo que solo son propensos a variaciones inusuales del ataque.
La buena noticia es que existen algunas barreras para explotar esta vulnerabilidad. “La computadora del atacante debe estar cerca de la víctima, probablemente dentro de los 100 metros”, dice Steven Murdoch en el University College de Londres. “Además, el código que implementa el ataque no se ha publicado, por lo que va a llevar mucho trabajo volver a implementarlo en función de la descripción en el documento”.
Eso aún significa que alguien sentado en un café o fuera de una casa, por ejemplo, podría acceder a la información que se envía a través de su red Wi-Fi. Alan Woodward, experto en seguridad informática de la Universidad de Surrey, Reino Unido, cree que con las antenas apropiadas, el alcance desde el cual es posible un ataque “puede ser más profundo de lo que podría pensar”.
Después de alertar a las compañías de tecnología, en agosto Vanhoef notificó al Equipo de Respuesta de Emergencias Informáticas de los EE. UU. (CERT). Pero acordó no divulgar públicamente los detalles durante varios meses para permitir que las empresas corrijan su software. “Lamentablemente, no todos los proveedores han sido tan rápidos [como Microsoft] al producir los parches”, dice Woodward. “Todavía hay muchos fabricantes de dispositivos que todavía tienen que decir si son vulnerables y si han sido parcheados”.
Apple ha solucionado el problema en versiones beta de sus sistemas operativos actuales que se lanzarán en unas pocas semanas. Google dice que también espera lanzar una actualización pronto.
Sin embargo, incluso después de que todo haya sido reparado, esta vulnerabilidad tendrá un gran impacto en otros dispositivos inalámbricos conectados como parte de Internet de las Cosas, dice Andrew Martin en la Universidad de Oxford. Eso incluye todo, desde bombillas y termostatos inteligentes hasta asistentes domésticos. “Podemos estar seguros de que muchos de estos dispositivos no serán reparados”, dice. “Ya sea que eso sea importante para este ataque o solo para algún ataque futuro”
