This post is also available in: Português English Español
[rev_slider alias=»ebook-ransonware-360-280″][/rev_slider] El día 16/10 se divulgó una grave vulnerabilidad en el protocolo de comunicación WPA2, y en su versión más antigua, la WPA1, utilizados para aumentar el nivel de seguridad de las redes inalámbricas. El WPA2se utiliza en la mayoría de los entornos domésticos y corporativos para la protección de redes Wi-Fi y hasta entonces considerado seguro, ya que no se conocían fallas importantes.
Esta vulnerabilidad posibilita que una persona malintencionada dentro del alcance de la red pueda interceptar información entre los dispositivos conectados y el enrutador o activo inalámbrico para obtener datos sensibles de conexiones descifradas como credenciales de acceso a los más diversos servicios, e-mails, mensajes instantáneos y números de tarjetas de crédito.
En casos específicos, dependiendo de la configuración de la red y de los dispositivos, también es posible que la información se inyecte en las conexiones, para la replicación de malware y su variante más temida recientemente: el ransomware. A pesar de una vulnerabilidad muy grave, es importante dar los debidos pesos al carácter exploratorio y de escala de destrucción, que es muy diferente de los visados en el año 2017 con ransomwares.
La vulnerabilidad fue descubierta por Mathy Vanhoef, investigador de la Universidad Leuven, en Bélgica, postdoctorado en seguridad de la información, y fue bautizado por KRACK (Key Reinstallation Attacks o Ataques de Reinstalación de Llaves).
Entendiendo la falla
La vulnerabilidad se puede explotar mediante un ataque a la negociación (protocolo de enlace) de 4 vías del protocolo WPA2. Se trata de un procedimiento que se ejecuta cuando un dispositivo desea unirse a una red Wi-Fi protegida, donde punto de acceso y cliente comprueban si las credenciales para establecer la conexión son correctas y negocian una clave para cifrar todo el tráfico a partir de ese momento.
Después de que el tercer mensaje del protocolo de enlace sea recibido por el cliente, se instala la clave criptográfica. Sin embargo, en medio de esta negociación, los mensajes se pueden perder o descartarse. Cuando el punto de acceso no recibe una respuesta de confirmación del mensaje enviado, retransmite el mensaje 3, de modo que el cliente pueda recibir este mensaje específico varias veces, reinstalando la misma clave criptográfica cada vez que el tercer mensaje se recibe. En ese punto se inicia el ataque.
Es importante destacar que los ataques se dirigen a los dispositivos (clientes) que se conectan a la red, no contra los puntos de acceso, y se realizan en el momento en que un dispositivo está ingresando a la red cuando se realiza el protocolo de enlace. Sin embargo, existen maneras de que un atacante pueda forzar una desconexión (y una reconexión automática) de un dispositivo para que pueda realizar el ataque. Por lo tanto, no es correcto afirmar que después de conectado el dispositivo está seguro.
Como la explotación de la vulnerabilidad, a pesar de herramientas ya divulgadas, todavía requiere un dominio técnico de lo que se está realizando, la capacidad de escalar el ataque y causar una catástrofe es muy remota. Esto no significa que usted no necesita seguir las buenas prácticas, pero es necesario precaución.
¿Quién está vulnerable?
El ataque tiene el potencial de afectar a todas las redes inalámbricas modernas, teniendo en cuenta que la falla encontrada está en el propio estándar Wi-Fi y no en dispositivos específicos ni en cómo fueron configurados. Por lo tanto, cualquier dispositivo que tenga la capacidad de conectarse a una red inalámbrica es vulnerable a KRACK.
Para sistemas Android (versión 6.0 en adelante) y Linux el ataque puede ser aún más grave. Ambos utilizan la misma herramienta (wpa_supplicant) para negociar las claves de encriptación en redes WPAy WPA2. Debido a su funcionamiento, es más simple interceptar y manipular el tráfico enviado por dispositivos que utilizan estos sistemas.
Pero es importante resaltar que todos los demás sistemas también pueden ser vulnerables, como Windows, iOS y macOS. Algunos fabricantes han sido notificados acerca de la vulnerabilidad antes de su publicación y ya han puesto a disposición actualizaciones que corrigen la falla explotada, sin embargo, muchos todavía no se pronunciaron al respecto del descubrimiento.
En este linkse puede verificar una lista de fabricantes que poseen dispositivos o sistemas que pueden ser explotados.
¿Que hacer?
Como se mencionó, algunos proveedores de sistemas y distribuciones de Linux ya ofrecían actualizaciones para la corrección de la falla. Microsoft, por ejemplo, ha lanzado una actualización el último día 16/10, que trata de corregir el problema en Windows 7 y versiones más nuevas. Google debe disponer una corrección para Android en las próximas semanas.
Por lo tanto, consultar al proveedor de sus dispositivos y mantener su sistema actualizado es esencial.
A pesar de que el problema en cuestión no está directamente relacionado con los puntos de acceso y los routers Wi-Fi, algunos fabricantes de dichos equipos están ofreciendo actualizaciones que dificultan explorar los dispositivos a pesar de sus vulnerabilidades.
Debido al método del ataque, el cambio de contraseñas de redes inalámbricas (a pesar de siempre recomendable) no ayuda para evitar el KRACK, ya que el ataque no se dirige ni depende del acceso a la contraseña. De la misma forma, utilizar un protocolo más antiguo, como el WEP, es aún menos recomendable, por ser mucho más frágil que el WPA2, más bajo esa vulnerabilidad.
En este escenario, hemos compilado algunas orientaciones que pueden ayudar a «convivir» con la falla hasta que una corrección para sus dispositivos estén disponibles:
- No se desespere con las lecturas y materiales de Internet, muchas de las fuentes no especializadas tienden a dar un énfasis innecesario. Sin embargo, algunos fabricantes de seguridad, intentan de manera inadecuada obtener ventaja y posicionamiento comercial. Y sí, la falla es grave, pero la posibilidad de caos es remota;
- Siempre que utilice una red inalámbrica, busque servicios que ofrezcan conexiones seguras, protocolos que usen SSL/TLS integrados. Aunque esto también puede ser fragilizado con la vulnerabilidad, hay formas fáciles de validar si está en una conexión segura o no;
- Evite utilizar hotspots (redes públicas), y nunca los utilice para accesos sensibles como operaciones bancarias o acceso a sistemas que contengan información crítica (ahora más que nunca);
- Dentro de las empresas, oriente los usuarios clave, directores y otros que tengan mucho privilegio de acceso, a no utilizar la red inalámbrica para estos fines hasta que sus sistemas estén debidamente actualizados y corregidos;
- Mapee todos los dispositivos inalámbricos que usted posee y acompañe el lanzamiento de nuevos firmwares. Aunque el ataque se dirige a los clientes de una conexión, la actualización de los dispositivos también es una buena práctica para minimizar los impactos;
- Cree un plan de actualización de equipos. Si está hablando en una empresa con un entorno controlado, hay programas específicos para hacerlo de forma masiva. De lo contrario, distribuya los equipos y empiece a actualizarlos por orden de prioridad;
- Cree un material de divulgación interno para concientizar a los usuarios y dar recomendaciones sobre el uso de las redes inalámbricas y también la actualización de sus dispositivos. Este es un servicio de utilidad para todos.
Para mayor información y profundización técnica:
- https://www.krackattacks.com
- https://www.theverge.com/2017/10/16/16481818/wi-fi-attack-response-security-patches
[rev_slider alias=»hor-post-ransomware»][/rev_slider]
Continúe leyendo
[latest_post type=’boxes’ number_of_posts=’3′ number_of_colums=’3′ order_by=’date’ order=’ASC’ category=’reconocimiento-problema’ text_length=’100′ title_tag=’h4′ display_category=’0′ display_time=’0′ display_comments=’0′ display_like=’0′ display_share=’0′]