Un grupo de investigadores ha encontrado fallos graves en WPA3, la nueva generación de la tecnología Wi-Fi Protected Access destinada a añadir mayor seguridad en el acceso y transferencia de datos en redes personales y profesionales, que usen la principal norma mundial para conectividad inalámbrica.
Ha pasado casi un año desde el anuncio de WPA3 y aún con un despliegue mínimo llegan malas noticias para toda la industria y los usuarios, ya que una investigación conocida como DragonBlood ha descubierto que se pueden hackear las contraseñas Wi-Fi establecidas bajo esta norma e incluso, acceder a redes inalámbricas de terceros sin conocer las contraseñas.
Nada es invulnerable y aunque WPA3 es una mejora enorme frente a anteriores versiones del estándar, la investigación plantea serias preocupaciones del futuro de la seguridad inalámbrica, particularmente entre dispositivos de Internet de las Cosas de bajo coste que van a llegar por miles de millones en los próximos años y que será más costoso parchear.
Las vulnerabilidades descubiertas podrían permitir a los atacantes hackear contraseñas de la red Wi-Fi de una manera similar a como se hacía con WPA2, aprovechando el periodo de transición entre las normas.
Dos de ellos son ataques de canal lateral basados en vulnerabilidades CVE-2019-9494 y CVE-2019-9494 contra el método de codificación de contraseñas. También se ha documentado un ataque de denegación de servicio que puede iniciarse sobrecargando un punto de acceso inalámbrico, omitiendo el mecanismo anti-obstrucción de SAE que se suponía evitaría los ataques DoS.
Como prueba de concepto, los investigadores han publicado cuatro herramientas separadas en GitHub que pueden usarse para probar las vulnerabilidades:
Los investigadores entregaron la documentación a la Wi-Fi Alliance, la organización sin fines de lucro que certifica los estándares y productos de Wi-Fi. La misma ha reconocido los fallos y dice estar trabajando con los proveedores para parchear los dispositivos con certificación WPA3 existentes a base de actualizaciones del firmware.
Lo peor del asunto es que los investigadores han criticado la especificación WPA3 en su totalidad y el proceso que llevó a su formalización por parte del grupo responsable. “A la luz de nuestra investigación y los ataques exitosos, creemos que WPA3 no cumple con los estándares de un protocolo de seguridad moderno“, describen los autores, investigadores de varias universitarias.
Nos las prometíamos muy felices con WPA3 y las mejoras que de seguridad que incorpora, pero esta investigación muestra fallos en el mismo diseño de la norma. Un grave problema teniendo en cuenta los 9.000 millones de dispositivos que se calculan se conectan bajo redes inalámbricas Wi-Fi. Lo único positivo es que la nueva norma apenas está extendida y aunque no puedan solucionarse completamente por residir en su mismo diseño, al menos podrá mitigarse. Siendo realistas y según la investigación, WPA4 no tardará en desarrollarse.
Más información | DragonBlood
Fuente:https://www.muyseguridad.net