Investigadores de la Universidad de Lovaina (Bélgica) han publicado una serie de fallos de seguridad en el protocolo de conexión wifi WPA2, que al considerarse hasta ahora completamente seguro es casi universalmente empleado en todos los router y dispositivos que se conectan a ellos, como ordenadores, móviles o tabletas. Estos errores permiten a un tercero interceptar todos los datos que se transmiten a través de la conexión wifi como números de tarjetas, contraseñas o fotos.
El Instituto Nacional de Ciberseguridad (INCIBE) comunicó el lunes este aviso a través de un comunicado en el que apuntan que la única solución al problema es que los fabricantes de routers y puntos de acceso ofrezcan una actualización del firmware que utilizan. También los fabricantes y desarrolladores deberán hacer lo mismo para actualizar el software de los dispositivos. Como el fallo está en el mismo protocolo, absolutamente todos los dispositivos están afectados por él, sea cual sea su naturaleza y sistema operativo, aunque algunos son más sensible que otros. Los expertos, por ejemplo, han indicado que Android 6.0 resulta especialmente vulnerable.
Hasta que los fabricantes y desarrolladores publiquen una actualización de seguridad que corrija los fallos de seguridad que afecta al protocolo WPA2, se recomienda a los usuarios evitar conectarse a redes wifi si no se considera estrictamente necesario, especialmente si se va hacer uso de ella para transacciones que requieran de intercambio de información personal y bancaria. Como alternativa se aconseja utilizar datos móviles (3G/4G) a todos aquellos usuarios que dispongan de ellos, especialmente para la realización de operaciones importantes a través de internet como compras online, transferencias bancarias o gestionar cuestiones laborales. Si nos conectamos con ordenador, lo mejor será emplear un cable de red siempre que sea posible.
No obstante, hay que indicar que aunque este fallo permite interceptar todo lo que se transmite a través de una red wifi protegida mediante WPA2, si esos datos están a su vez cifrados a nivel de aplicación seguirían siendo seguros. Por ejemplo, la conexión a sitios web protegidos mediante https o las conversaciones cifradas de servicios de mensajería como WhatsApp seguirían siendo seguras. Si se valora mucho la seguridad, otra opción disponible sería pagar por un servicio de red privada virtual (VPN) que cifre las conexiones para todos nuestros accesos a internet.
La única buena noticia es que se pueden parchear las implementaciones del protocolo WPA2 de forma que sea compatible con dispositivos y routers que aún no hayan sido corregidos, asegurando que todo funcione correctamente durante esa transición. También habrá que permanecer atentos a las actualizaciones de seguridad que se publiquen para los sistemas operativos, puesto que debido a la gravedad del problema es posible que no tarden mucho en publicar una solución que será necesario aplicar. Microsoft ya ha preparado un parche para Windows 10, aunque aún no está disponible en España. Algo que sin duda será un problema añadido para los poseedores de móviles Android, que siempre tienen especial dificultad en las actualizaciones, así como los dispositivos de la llamada "internet de las cosas".
Otro serio problema es que el fallo podría emplearse para inyectar malware en los dispositivos, siempre y cuando, claro está, el atacante esté lo suficientemente cerca como para poder conectarse a la red. Pero podría dibujarse un escenario en el que un virus bien diseñado aprovechara la vulnerabilidad para instalarse en un ordenador conectado a una wifi y de ahí saltar a redes de pisos o edificios contiguos; algo similar a lo que hiciera WannaCry con las redes locales de las empresas.