KRACK: Realidades, Mitos y Contramedidas

Por: Diego Espitia.–(*)

El 16 de octubre se hizo pública la investigación realizada por Mathy Vanhoef y Frank Piessens, sobre las fallas de seguridad detectadas en el protocolo WPA2, el más usado en redes inalámbricas y que tras 14 años de su implementación había soportado investigaciones y pruebas sin encontrar fallas que pusieran en riesgo la confiabilidad o la integridad de la información de los usuarios de este protocolo.

La investigación conocida en el mundo como KRACK (Key Reinstallation AtaCK) evidencia que todo dispositivo que use conexión inalámbrica (WiFi) con el protocolo WPA2 es vulnerable, o sea prácticamente todo en la actualidad. Esto ha generado un revuelo lógico en la prensa, aumentando el pánico sobre una catástrofe mundial debido a esta falla detectada. Sin embargo, ¿qué tan crítico es el riesgo generado por KRACK?

Realidades

El riesgo es crítico para la información de los dispositivos que usan WPA2 en las redes inalámbricas, pues el proceso de cifrado de las comunicaciones ha sido vulnerado usando una de las fases del proceso para engañar a los dispositivos e interceptar la comunicación, generando que información como claves, información financiera, información de personal o cualquiera que se envié cifrada pueda ser leída o falsificada.

Esto sin duda es muy grave, pero existen pocas probabilidades de ser víctima como usuarios de este ataque, debido a las condiciones que se requieren para realizarlo, no sólo físicas sino del funcionamiento mismo del protocolo.

Empecemos que el atacante debe estar en la misma red inalámbrica de la víctima, lo que hace que físicamente deba estar cerca; una vez vencido dicho obstáculo, el atacante depende de cuál es el dispositivo de la víctima ya que Windows e iOS no cumplen algunos parámetros y el último obstáculo que debe superar el atacante, es poder interceptar la comunicación, pues debe suplantar la dirección MAC y el canal usado por el AP original.

Los desarrolladores de los sistemas operativos (Windows, Android, Linux, MacOS) ya han empezado a generar los parches que corrigen la falla por parte de los clientes, por lo que se debe actualizar ya mismo los equipos. Ahora en los dispositivos móviles Android son vulnerables los de versiones 6 o superiores y deben esperar a que Google publique el parche en noviembre.

El principal riesgo generado por esta falla detectada se presenta en el Internet de las cosas, debido a que estos dispositivos son también vulnerables y se requiere que sean actualizados, lo que causa dos problemas principalmente: el primero, se debe a la falta de conocimiento por parte del usuario de cómo actualizar el sistema operativo (firmware) de estos dispositivos y el segundo, se presenta porque los fabricantes generen las actualizaciones para todos los dispositivos.

Mitos

Debido a que se presentó un gran sensacionalismo en los medios acerca de la criticidad y el riesgo en las redes inalámbricas, se ha tergiversado los riesgos y se han generados posibles soluciones erradas que sólo generan una falsa sensación de seguridad a los usuarios. El principal mito es que cambiar la clave de acceso de las redes inalámbricas de hogares y empresas evita que los atacantes puedan afectar a los dispositivos. Esto es completamente falso, pues la falla se ocasiona en el proceso matemático del protocolo, no en la fase de autenticación que es la primera en la conexión.

Otro de los mitos que se ha divulgado es que si un dispositivo es víctima puede propagar la afectación en otras redes. Esto no es posible pues no es un virus o un gusano, es un ataque en las comunicaciones del protocolo de seguridad WPA2, lo cual no deja ningún malware en las víctimas. Sin embargo, el robo de credenciales a una víctima si puede permitir a los atacantes suplantar su identidad.

Debido a que Windows e iOS no permiten una reinscripción de llaves que es la base del ataque, se ha dicho que no son vulnerables a este ataque. El análisis realizado por los investigadores revela cuatro formas de ataque aprovechando la vulnerabilidad del protocolo, permitiendo en tres de estas formas afectar a dispositivos cuyo sistema operativo sea Windows o iOS.

Se ha dicho que los MODEM de casa pueden propagar el ataque, lo cual no es verdad y tampoco pueden ser afectados por el ataque. Los dispositivos sólo son vulnerables si están en modo repetidor, cliente o bridge WDS. Por lo tanto, en las empresas los puntos de acceso que repiten la red si son vulnerables, pero en las casas el MODEM que brindan los operadores no lo son.

Contramedidas

La única contramedida posible y eficaz es actualizar los dispositivos que se conectan usando WPA2 a las redes inalámbricas, es tan simple como eso. No obstante, para poder aplicarla depende de los fabricantes y de los desarrolladores del software; por lo que es necesario revisar cuáles son los fabricantes de nuestros dispositivos y buscar en sus sitios web el parche que corrige las vulnerabilidades publicadas en la investigación.

Si el fabricante no ha publicado el parche, la única contramedida que garantiza mitigar el riesgo, es no conectar el dispositivo usando una red inalámbrica, lo cual en muchos casos es la única forma de usarlos. Por lo tanto, para mitigar el riesgo de un ataque se recomienda usar mecanismos de detección de anomalías en la red, los cuales no garantizan que se detecte al atacante.

Los dispositivos móviles aún no han sido actualizados por los desarrolladores (Android y iOS), por lo que en este momento es vital que los usuarios sean conscientes que el riesgo que corren al conectarse en redes inalámbricas desconocidas ha aumentado, ya no sólo en las redes desconocidas sino en las conocidas, por lo que la contramedida es usar las redes celulares.

En ElevenPaths, unidad de ciberseguridad de Telefónica, hemos creado un hilo en nuestra comunidad para mantener los avances de las publicaciones y nuevos hallazgos de la investigación de KRACK.

(*) CSA de ElevenPaths, unidad de ciberseguridad de Telefónica

  Share: