En algunas ocasiones, el peor enemigo, desde el punto de vista de la ciberseguridad, no es un virus informático, sino las herramientas que están pensadas precisamente para hacernos la vida más fácil. Eso es lo que sucede con los routers que instalan operadores como Movistar, Vodafone u Orange, ya que tienen un botón que te conviene no tocar si no quieres que accedan a tu red. En ADSLZone ya hemos mencionado varias veces que la clave a la hora de configurar una red inalámbrica es hacerlo encontrando un punto medio entre la facilidad de uso y un buen cifrado. Si rompemos con ese equilibrio solo para ahorrarnos unos segundos a la hora de conectarlos a la red, estamos dejando totalmente de lado la seguridad, y eso es precisamente lo que pasa con el protocolo WPS.
Protocolo WPS Para entender hasta qué punto es peligroso, hay que comprender cómo funciona este sistema. Las siglas WPS responden al término Wi-Fi Protected Setup, o lo que es lo mismo, Configuración Protegida Wi-Fi. Su idea original era permitir que un usuario conectara un nuevo dispositivo, como una impresora o una televisión inteligente, a la red local sin necesidad de introducir la clave del Wi-Fi. Bastaba con pulsar este botón físico en el router y el aparato se vinculaba automáticamente.
El problema de esto, aunque puede ser útil, está en el funcionamiento de este estándar. En lugar de utilizar los algoritmos de intercambio de claves que gestionan los protocolos WPA2 o WPA3, el sistema WPS basa su validación en un código PIN de tan solo 8 dígitos. Este pin numérico es asignado por el fabricante y está grabado en el firmware del dispositivo, lo que tira por la borda el sentido de su uso. Y si alguien quiere acceder a tu red y tiene ciertos conocimientos, lo hará muy fácilmente por varios motivos: - División del código: El protocolo no verifica los 8 dígitos del PIN de golpe, sino que divide el proceso en dos bloques independientes de 4 dígitos cada uno. - Menos posibilidades: Al validar los bloques por separado, las combinaciones posibles caen desde los 100 millones iniciales hasta apenas 11.000 posibilidades diferentes. - Ataque en cuestión de minutos: Cualquier software de auditoría de redes ejecutado desde un ordenador portátil cercano puede lanzar un ataque que descifre ese PIN en menos de un cuarto de hora, obteniendo como recompensa la contraseña de tu Wi-Fi.
Cómo proteger tu red Una vez que un intruso vulnera el PIN del WPS y se hace con tu clave, el daño puede llegar a ser muy grande. Y no nos referimos a que consuman tu internet o hagan uso de él sin pagar ni un euro, es que eso, además de que saturará la red, le dará la capacidad de interceptar tu tráfico de datos, de redirigirte a webs falsas o incluso de acceder a ciertas carpetas de tus ordenadores. Para neutralizar esta vulnerabilidad, la única solución realmente efectiva es desactivar la función desde el panel de control del router. El proceso requiere seguir estos pasos: - Entrar al router: Abre cualquier navegador web e introduce en la barra de direcciones la IP de tu puerta de enlace, que por norma general en España es 192.168.1.1 o 192.168.0.1. - Credenciales de administrador: Introduce el usuario y la contraseña de gestión que suelen venir impresos en una pegatina en la parte inferior del propio router. - Desactivación del Wi-Fi Protected Setup: Dirígete al menú de configuración avanzada, busca la pestaña dedicada al Wi-Fi o la seguridad inalámbrica, localiza la sección denominada WPS y marca la opción de Desactivar (Disable si está en inglés).
Al guardar los cambios, el botón WPS de tu router quedará completamente inhabilitado a nivel de software. A partir de ese momento, cualquiera que intente pulsar el botón o lanzar un ataque contra el PIN será rechazado y tendrá que introducir la contraseña larga y compleja.