Ciberseguridad · Capítulo 10
Seguridad en Redes Wi-Fi: Protegiendo tu Conexión Inalámbrica
El Wi-Fi transmite tus datos por el aire — entender quién más puede captarlos y cómo impedirlo es seguridad básica en la era inalámbrica.
Cómo Funciona el Wi-Fi
El Wi-Fi transmite datos mediante ondas de radio en frecuencias de 2.4 GHz y 5 GHz. Cualquier dispositivo dentro del alcance de la señal puede técnicamente "escuchar" las transmisiones — la criptografía es lo que impide que esas transmisiones sean inteligibles para quien las intercepte sin autorización.
| Frecuencia | Alcance | Velocidad | Penetración de paredes |
|---|
| 2.4 GHz | Mayor (~50m interior) | Menor | Mejor — atraviesa paredes más fácilmente |
| 5 GHz | Menor (~25m interior) | Mayor | Peor — más susceptible a obstáculos |
| 6 GHz (Wi-Fi 6E) | El menor | El mayor | Muy limitada |
Protocolos de Seguridad Wi-Fi: Una Evolución de Fracasos y Mejoras
WEP (Wired Equivalent Privacy) — Completamente Roto
WEP fue el primer protocolo de seguridad Wi-Fi, introducido en 1997. Tenía fallas criptográficas fundamentales en su diseño: reutilizaba vectores de inicialización (IV) predecibles, haciendo que su cifrado fuera recuperable con herramientas disponibles públicamente en menos de un minuto. WEP debe considerarse equivalente a no tener contraseña. Si tu router muestra WEP como opción, actualiza el firmware o el router inmediatamente.
WPA y WPA2 — El Estándar Actual
WPA2 con AES (también llamado WPA2-CCMP) es el mínimo aceptable hoy. Fue obligatorio en dispositivos certificados por la Wi-Fi Alliance desde 2006. Sin embargo, en 2017 el ataque KRACK (Key Reinstallation Attack) demostró vulnerabilidades en el proceso de handshake de WPA2 — aunque las actualizaciones de firmware lo corrigieron en la mayoría de dispositivos.
WPA3 — El Futuro
Introducido en 2018, WPA3 mejora significativamente la seguridad:
- SAE (Simultaneous Authentication of Equals): Reemplaza el handshake de 4 vías de WPA2 con un protocolo resistente a ataques de diccionario offline — incluso si alguien capturó el handshake, no puede usarlo para probar contraseñas sin límite.
- Forward Secrecy: Cada sesión usa claves únicas — si una sesión pasada es comprometida, las anteriores permanecen seguras.
- WPA3-Enterprise: Para redes corporativas, usa cifrado de 192 bits.
Recomendación inmediata para tu router: Accede al panel de administración (típicamente 192.168.1.1 o 192.168.0.1), ve a la configuración de Wi-Fi y selecciona WPA3 si está disponible, o WPA2-AES como mínimo. Nunca "WEP", nunca "WPA-TKIP", nunca "Modo mixto" si puedes evitarlo.
El Ataque Evil Twin: Tu Wi-Fi Tiene un Gemelo Malvado
Un atacante crea un punto de acceso Wi-Fi falso con el mismo nombre (SSID) que una red legítima — la Wi-Fi de un aeropuerto, un hotel, un café. Los dispositivos configurados para conectarse automáticamente a redes conocidas pueden conectarse al gemelo malvado sin que el usuario lo note.
Escenario de ataque Evil Twin en un café:
1. La red legítima del café se llama "CafeGrind_WiFi".
2. El atacante (sentado en el café con una laptop) crea una red llamada "CafeGrind_WiFi" con señal más potente.
3. Tu teléfono, configurado para conectar automáticamente, elige la señal más fuerte — la del atacante.
4. El atacante actúa como proxy entre tú e internet — puedes navegar normalmente mientras él inspecciona tu tráfico no cifrado y roba credenciales de sitios sin HTTPS.
5. Con herramientas como SSLstrip, puede intentar forzar a tu navegador a usar HTTP en lugar de HTTPS para sitios que lo permiten.
Ataques Man-in-the-Middle en Wi-Fi Público
En un ataque MITM, el atacante se posiciona entre tu dispositivo y el servidor con el que te comunicas. En redes Wi-Fi públicas no cifradas (o con el Evil Twin), esto es técnicamente sencillo. El atacante puede:
- Leer todo el tráfico no cifrado (HTTP, emails sin TLS)
- Inyectar contenido malicioso en páginas web
- Capturar cookies de sesión (incluso si la contraseña fue ingresada en HTTPS)
- Redirigir a sitios de phishing
Packet Sniffing: Escuchando la Red
En redes no cifradas, las herramientas de packet sniffing (Wireshark es la más usada) capturan todo el tráfico que pasa por la red. En modo "promiscuo", una tarjeta de red Wi-Fi puede capturar paquetes no dirigidos a ella. Wireshark es una herramienta legítima de diagnóstico de redes — y también la favorita de los atacantes en redes públicas abiertas.
Lo que un atacante ve en Wireshark en una red no cifrada:
— URLs completas de todos los sitios HTTP que visitas
— Formularios enviados por HTTP (incluyendo usuarios y contraseñas)
— Cookies de sesión (que permiten suplantar tu identidad sin necesitar la contraseña)
— Contenido de emails enviados sin TLS
En redes HTTPS modernas, solo ve el destino (el dominio), no el contenido. Esto refuerza por qué HTTPS en todos lados es crítico.
Asegurando tu Router Doméstico
El router de tu hogar es la puerta de entrada a toda tu red. Una configuración descuidada expone todos tus dispositivos:
- Cambia las credenciales por defecto: El usuario/contraseña admin/admin o admin/password son los primeros que los atacantes prueban. Cámbialo inmediatamente.
- Actualiza el firmware: Los fabricantes lanzan actualizaciones de seguridad — activa las actualizaciones automáticas si el router lo soporta.
- Deshabilita WPS: Wi-Fi Protected Setup tiene vulnerabilidades conocidas (el PIN de 8 dígitos se puede crackear por fuerza bruta en horas). Desactívalo en el panel de administración.
- Deshabilita la administración remota: No necesitas acceder a tu router desde internet. Si está activa, un atacante también puede.
- Red de invitados para dispositivos IoT: Tus cámaras, smart TVs y electrodomésticos inteligentes son frecuentemente inseguros. Ponlos en una red de invitados separada, aislada de tus computadoras y teléfonos.
- Revisa los dispositivos conectados: Periódicamente, revisa la lista de dispositivos en tu red. Un dispositivo desconocido puede indicar acceso no autorizado.
VPN en Wi-Fi Público: Tu Escudo
Cuando uses Wi-Fi público, activa tu VPN antes de hacer cualquier cosa sensible. La VPN cifra todo tu tráfico desde tu dispositivo hasta el servidor VPN, haciendo inútil cualquier intercepción en la red local. Un atacante en la misma red Wi-Fi solo verá tráfico cifrado dirigido al servidor VPN — nada de contenido.
HTTPS como Protección Parcial
Incluso sin VPN, HTTPS protege el contenido de tus comunicaciones con sitios que lo implementan. Sin embargo, no oculta a qué sitios te conectas (el dominio es visible incluso en HTTPS), no te protege de un Evil Twin que podría servir un certificado SSL falso de un dominio similar, y no te protege si el sitio tiene una versión HTTP no segura a la que fuiste redirigido.
Wi-Fi Corporativo: 802.1X
Las redes empresariales usan el estándar 802.1X para autenticación de red: cada usuario se autentica individualmente con sus credenciales corporativas antes de obtener acceso, usando un servidor RADIUS como backend. Esto elimina la contraseña compartida (PSK) típica de redes domésticas — si un empleado deja la empresa, simplemente se deshabilita su cuenta, sin necesitar cambiar la contraseña de toda la red.
Hotspot Móvil vs. Wi-Fi Público
Si necesitas conectividad fuera de casa y no tienes VPN, el hotspot de tu teléfono móvil es significativamente más seguro que el Wi-Fi público de un aeropuerto o café. El tráfico viaja por la red celular (cifrada) en lugar de una red local potencialmente comprometida. El costo en datos móviles suele valer la mejora de seguridad para tareas sensibles.
Resumen del Capítulo
- WEP está completamente roto — si tu router lo usa, actualiza inmediatamente a WPA2-AES o WPA3.
- Los ataques Evil Twin crean redes Wi-Fi falsas con el mismo nombre que redes legítimas — los dispositivos con conexión automática son especialmente vulnerables.
- En redes Wi-Fi públicas no cifradas, un atacante con Wireshark puede capturar todo el tráfico HTTP, cookies de sesión y formularios enviados.
- Para tu router doméstico: cambia las credenciales por defecto, actualiza el firmware, deshabilita WPS, y crea una red de invitados para dispositivos IoT.
- Una VPN activa en Wi-Fi público cifra todo el tráfico desde tu dispositivo — el atacante en la red local solo ve tráfico cifrado inútil.
- HTTPS protege el contenido pero no el destino de las conexiones — no es sustituto completo de una VPN en redes no confiables.
- En entornos corporativos, 802.1X con autenticación individual elimina el riesgo de la contraseña compartida de red.