Si han estado viendo noticias en los últimos días, de seguro han escuchado hablar de KRACK. KRACK es un problema de diseño en el software que usan las redes WiFi, y puede dejar que alguien espíe lo que estamos haciendo en nuestra computadora.

KRACK no es un virus, es una técnica de ataque informático. Pero sea lo que sea, todos en este momento estamos expuestos a ella, con solo usar redes WiFi. Podríamos estar en el sillón de la casa sentados, usando nuestro teléfono celular, y en el apartamento de al lado puede haber alguien usando el método KRACK para ver lo que estamos haciendo. Y nosotros no nos daremos cuenta.

Según los investigadores que descubrieron el método, todos los dispositivos y sistemas operativos son vulnerables en mayor o menor grado. Los más seguros en este momento (increíblemente) son los dispositivos Windows 7 y Windows 10. Los Android son los peores, y todos los Android pueden atacarse con este método.

Cómo funciona KRACK?

KRACK se aprovecha de un problema de diseño que tiene el software WPA2, que usan todos los router WiFi del planeta. WPA2, en términos extremadamente simples, lo usan los router para establecer una “clave secreta” con cada dispositivo que se conecta, y esa clave es lo que protege la información que viaja por inalámbrico.

Esa “clave secreta” no tiene que ver con la clave de acceso de la red WiFi. La “clave del WiFi” que configuramos en el router es irrelevante aquí. Para usar KRACK, alguien no tiene que saber la contraseña de nuestra red.

Resulta que todo lo que enviamos por WiFi viaja a través de señales de radio estándar, y cualquier persona con el software correcto en su computadora puede interceptar y ver esas señales de radio. Pero como están codificadas con la “clave secreta” WPA2, no las pueden entender. Lo que les aparecerá en pantalla es un montón de caracteres sin sentido.

Pero con el método KRACK, alguien puede hacer creer al router (o al teléfono/computadora/tablet) que perdió la conexión con la red. Y esto obliga al router a buscar y transmitir por WiFi la clave secreta de nuevo. Con un poco de mátemática, a los pocos segundos se puede tener la clave (supuestamente secreta!) que está usando el router y nuestro dispositivo.

Y a partir de ahí, todo lo que viaja entre nuestro dispositivo y el router, puede ser visto y entendido por alguien más que tenga esa clave. Si nos desconectamos de la red y cambia la clave WPA2 (algo que ocurre automáticamente cada cierto tiempo), el atacante nada más repite el proceso y a los pocos segundos tiene la nueva clave.

Con KRACK alguien puede usar el internet de mi casa?

En teoría, si. Conociendo una clave WPA2 de la red, alguien podría engañar a nuestra computadora/celular/tablet para que transmita de nuevo la contraseña WiFi. Y a partir de ahí tienen la contraseña y acceso a la red inalámbrica, en cualquier momento.

Pero esa debería ser la menor de nuestras preocupaciones. Que alguien esté usando nuestro internet es irrelevante en este caso, lo realmente crítico aquí es que usando KRACK, pueden ver lo que estamos enviando por la red, sin siquiera estar conectados. El daño que nos pueden hacer usando sin permiso nuestro internet es pequeñísimo, comparado con el que nos pueden hacer interceptando todo lo que hacemos en internet.

Cómo me protejo contra KRACK?

Lo primero que hay que hacer es instalar los parches de seguridad que saldrán en los próximos días. Los fabricantes de sistemas operativos están trabajando en versiones nuevas del WPA2, que pueden identificar un ataque KRACK, y no caer en la trampa.

Así que el primer paso es, apenas haya actualización, actualizar el software.

Segundo paso es actualizar el software de los router. Y es aquí donde se pone más complicado el asunto. Porque hay un montón de router viejos, y router marca patito, que están vulnerables y para los cuales ya no se están haciendo actualizaciones. Incluso hay muchos router en servicio, que fueron hechos por fabricantes que ya no existen!

Idealmente deberíamos actualizar el software de todos los router de la casa/oficina/negocio. Y si no se puede, deberíamos desecharlos y reemplazarlos. Más fácil decirlo que hacerlo, sin embargo, y es probable que en este punto quede un hueco de seguridad gigante en todo el planeta, que solo el tiempo y la obsolescencia solucionará.

Lo mismo pasará con un montón de celulares y tablets marca patito, que usan versiones de Android viejísimas, para las cuales ya no hay actualizaciones.

Y como tercer punto, y este es el más grave, tenemos que actualizar todos los dispositivos que no son computadoras, tablet, router o celulares, pero que se conectan a internet. Y prepárense, porque aquí se pone increíblemente complicado el asunto. Hay un montón de dispositivos, desde televisores inteligentes, cámaras WiFi, hasta parlantes inalámbricos, que funcionan con WPA2 y están vulnerables. Y de esos, probablemente el 80% no tendrán arreglo o actualización. Bótelo, y compre uno nuevo si quiere estar seguro.

Si el hueco de seguridad en los router va a ser inmenso, el hueco de seguridad en estos dispositivos “varios”, va a ser astronómico.

No me sorprendendería, de hecho, que este fuera el fin del WPA2. Y que dentro de poco tiempo veamos un WPA3 u otro protocolo convertirse en el nuevo estándar para las redes WiFi.

Debería cambiar mis contraseñas?

Hasta el momento ningún proveedor de servicios de los grandes (Google, Apple, Microsoft, Yahoo, Facebook, etc) ha advertido que alguien haya robado contraseñas de sus usuarios con KRACK. De hecho en estos sitios la contraseña se envía con una capa adicional de protección (TLS/SSL), por lo que es difícil que aún atacando una red con KRACK, alguien pueda robar contraseñas.

Si quiere cambiar contraseñas, sin embargo, nunca es malo hacerlo. Aproveche y coloque contraseñas más seguras que las que tiene actualmente (mínimo 16 caracteres, mayúsculas y minúsculas, con números y símbolos de puntuación). Y si quiere verdaderamente asegurar sus contraseñas, invierta en un manejador de contraseñas como Lastpass.

No todo está perdido, sin embargo

Hay una protección adicional, por lo menos en internet, que va a ser una gran salvada en este caso. Esa protección se llama TLS/SSL.

Recuerdan el candadito verde que aparece en el browser, alapar de la dirección del sitio que estamos visitando? Ese candadito al que nadie le pone atención nunca? Esa es otra “clave secreta” parecida a la WPA2. Cuando nos conectamos a un sitio web “seguro”, el sitio y nuestra computadora intercambian una “clave secreta” diferente a la del WiFi. Y la usan para codificar todo lo que se envía.

Si estamos en un sitio seguro, nuestra información viaja con dos protecciones: primero está codificada con el sistema TLS/SSL (=candadito verde), y segundo está codificada con WPA2 (=WiFi). Si alguien con KRACK rompe la protección del WiFi, lo que obtiene es un montón de caracteres basura, protegidos con TLS/SSL.

Y romper TLS/SSL, es otra historia completamente y es muy poco probable que alguien lo pueda hacer. Hay sus formas, pero es muy probable que sea tan complicado, que simplemente no lo intenten.

Así que: si usan sitios seguros en internet (=candadito verde), están protegidos. Aunque los ataquen con KRACK, no podrán ver lo que están haciendo en internet. Gmail, Facebook, la banca en línea, Amazon, Ebay, Paypal… todos esos sitios usan TLS/SSL.

El problema son todo el montón de sitios que no tienen TLS/SSL en internet. Hay un montón de sitios web (y literalmente son un montón) en donde no está instalada esta protección. Instalar esta protección requiere un poco de conocimiento y cuesta dinero, y muchos sitios simplemente no la instalan.

Además está el problema de todo lo que pasa por la red inalámbrica que no tiene que ver con internet. Imprimieron un documento? Accesaron un archivo en la red de su oficina? Tomaron la orden de un cliente con una tablet, usando el software de su empresa? Probablemente esas aplicaciones no usen encripción.

Ahí es donde probablemente vamos a ver muchos ataques KRACK serios. Alguien llega, se estaciona en un centro comercial, y empieza a ver transacciones de clientes. O alguien se pone a capturar documentos que se envían a impresoras inalámbricas. Y esos documentos muchas veces contienen información sensible, como por ejemplo contraseñas, números de identificación, números de tarjeta de crédito, etc. Imaginen el caos que podría generar un ataque de este tipo, en un hospital donde los médicos estén trabajando con tablet y una aplicación no segura!

Actualice sus dispositivos y sus redes

En este momento el verdadero impacto de KRACK no se ha sentido porque no se ha desarrollado software que permita ataques fáciles y automatizados, más allá de lo que hicieron los investigadores que descubrieron el problema. Pero esa situación durará poco tiempo. Es cuestión de semanas antes de que alguien salga con un software que realice el ataque automáticamente. Y en ese momento, prepárense porque vamos a ver desastres en las redes WiFi del planeta.

Peor aún, para ese momento la mayoría de nosotros tendrá otras preocupaciones y ni recordará a KRACK. Y ni cuenta nos daremos, si nos están atacando.

Así que aproveche ya, actualice sus dispositivos, y asegure sus redes. Identifique los dispositivos inalámbricos que no tengan actualización (especialmente los que no son celulares, tablet o computadoras!) y póngalos en lista para cambiarlos lo antes posible.

Y en internet, prefiera siempre sitios seguros (=candadito verde), especialmente si está manejando información sensible o intercambiando datos personales. Si usa Chrome, Google le está incorporando en este momento medidas de seguridad, que le advierten si un sitio no está usando encripción, y verá que la barra de dirección dice “No es seguro” en muchos de estos sitios.

Con este tema de KRACK, quedó invalidada la seguridad inalámbrica del planeta entero. Y lo único que nos queda para protegernos hasta que se parchen todos los sistema, es precisamente el usar sitios seguros en internet, que encripten la información automáticamente.