Los investigadores de la seguridad dicen que han desarrollado una manera de forzar parcialmente la norma de cifrado Acceso Protegido de Wi-Fi (WPA) que se utiliza para asegurar los datos en muchas redes inalámbricas.
El investigador Erik Tews iba a realizar una demostración del posible ataque en la conferencia PacSec celebrada en Tokio a mediados de noviembre. Descifrar la WPA significa que los intrusos podrían leer los datos enviados desde un enrutador a una portátil, o enviar información falsa a un cliente conectado al enrutador.
Tews y su colega de investigaciones, Martin Beck, encontraron en un tiempo relativamente breve de 12 a 15 minutos una manera de descifrar la clave del Protocolo de Integridad de Clave Temporal (TKIP), que la WPA utiliza, dice Dragos Ruiu, el organizador de la conferencia PacSec.
[<img border="0" src="/pcwla2.nsf/0/DA591619594928B785257532001476E7/$File/pag10wapene09.gif">]
Sin embargo, en este ataque particular, ellos no pudieron forzar las claves de cifrado utilizadas para asegurar los datos enviados desde la PC al enrutador.
La WPA, utilizada ampliamente en las redes Wi-Fi actuales, es considerada superior a la norma WEP original (Privacidad Equivalente al Alambrado), que la mayoría de los profesionales de la seguridad ahora consideran insegura. La cadena de tiendas detallistas T.J. Maxx estaba en el proceso de cambiar del cifrado WEP al WPA cuando experimentó uno de los robos de datos más famosos en la historia de Estados Unidos, en el cual cientos de millones de números de tarjetas de crédito fueron hurtados en un período de dos años. La nueva norma WPA2 se considera a salvo del ataque que fue desarrollado recientemente.
“Todo el mundo ha estado diciendo, ‘cámbiese a WPA porque WEP no sirve’”, dice Ruiu. “Pero esto es una grieta en WPA”.
Si WPA queda significativamente debilitada, sería un fuerte golpe para las empresas que la han adoptado, dice Sri Sundaralingam, vicepresidente de administración de productos del vendedor de seguridad de redes inalámbricas AirTight Networks. Aunque los clientes pueden usar otra tecnología de Wi-Fi como la WPA2 o software de red privada virtual que los proteja de este ataque, muchos dispositivos todavía se conectarán a la red por medio de WPA, o incluso por medio de la norma WEP, que es totalmente vulnerable, dice él.
-Robert McMillan