Las redes inalámbricas se han vuelto el trasfondo de nuestra vida cotidiana: smartphones, portátiles, televisores y decenas de dispositivos “inteligentes” intercambian paquetes en silencio, y solo recordamos el Wi‑Fi cuando de repente “cae”. El canal radioeléctrico está abierto por naturaleza: cualquiera dentro del alcance puede observar el tráfico a nivel de tramas e intentar interferir. Los estándares modernos de cifrado han elevado considerablemente la barrera, pero la mayoría de ataques exitosos no dependen de una “magia”, sino de la combinación de configuraciones débiles, implementaciones imperfectas y trucos de ingeniería social.
En este artículo encontrará un análisis detallado y accesible de técnicas actuales, desde el clásico Evil Twin hasta métodos que reducen la protección de WPA3 mediante el modo de transición. Explicaremos con cuidado cómo funcionan los ataques, sin instrucciones paso a paso para atacantes, y daremos recomendaciones prácticas para proteger el hogar y la oficina.
El material está dirigido a un público amplio: administradores, especialistas en seguridad y usuarios observadores encontrarán aquí una visión general, matices técnicos y listas de verificación. En el camino explicaremos qué ocurre “bajo el capó” de 802.11, en qué se diferencian las redes abiertas de OWE, cómo funcionan los apretón de manos de WPA2 y WPA3, por qué las desautenticaciones ya no son tan sencillas, y qué hacer con la fauna IoT que insiste en mantenerse en 2,4 GHz y en protocolos obsoletos.
Qué sucede realmente en Wi‑Fi
Cualquier punto de acceso (AP) emite periódicamente beacons que anuncian el SSID, los estándares soportados y el conjunto de capacidades. Los dispositivos cliente escanean el aire, envían solicitudes y eligen un BSSID con nivel de señal y política de seguridad adecuados. Antes del intercambio de datos las partes atraviesan una cadena de estados: autenticación, asociación, negociación de capacidades y de claves.
En WPA2‑Personal se usa una contraseña compartida de la que se deriva la PMK; después, el apretón de manos de cuatro pasos forma las claves de sesión (PTK), y la clave de grupo (GTK) protege las tramas broadcast. En WPA3‑Personal se utiliza SAE (también conocido como Dragonfly): un intercambio de contraseña interactivo resistente a ataques pasivos offline cuando está correctamente implementado. Para redes abiertas se propuso OWE: cifrado sin contraseña donde las partes acuerdan claves al conectarse. La protección de las tramas de gestión recae en 802.11w (PMF), que en WPA3 es obligatorio: es precisamente lo que hace que las desautenticaciones y las rupturas de asociación sean mucho más difíciles.
En escenarios corporativos, 802.1X con EAP delega la verificación en un RADIUS: en lugar de una contraseña compartida hay autenticación por certificado (EAP‑TLS) o por contraseña con tunelización (por ejemplo, PEAP con MSCHAPv2). La configuración que valida el certificado del servidor es crítica.
Modelo de amenazas para hogar y oficina
El atacante por radio no es necesariamente “el vecino con un portátil”. Puede ser un agresor en un estacionamiento, un dron con antena dirigida, un visitante en un espacio de coworking, o incluso un “invitado” legítimo de la infraestructura que actúa como punto de atracción. El factor de riesgo principal es la proximidad. El segundo es la mala configuración y las contraseñas débiles. El tercero son los compromisos de compatibilidad: modos de transición, protocolos obsoletos y clientes sin parches.
Evil Twin: explicación de la técnica y riesgos reales
Evil Twin es el “gemelo” de su red: un atacante levanta un punto de acceso con el mismo nombre, parámetros similares y señal más fuerte. El objetivo es sencillo: forzar a los dispositivos a conectarse a la AP falsa para interceptar tráfico, manipular respuestas o robar credenciales. Hay muchas variantes, desde un Wi‑Fi “gratuito” con una página web señuelo hasta escenarios bien preparados contra 802.1X corporativo, donde si la verificación de certificados está desactivada, los clientes entregan con facilidad credenciales.
- Contra redes públicas. Copia clásica del SSID y redirección a una página web con un formulario. Si no hay cifrado, cualquier tráfico no protegido por TLS se analiza fácilmente. Con OWE la situación mejora: el tráfico se cifra, pero los trucos de phishing a nivel de aplicación siguen posibles.
- Contra WPA2‑Personal. La contraseña no se filtra directamente, pero los ataques al comportamiento del cliente (reasociaciones, clones de red) pueden imponer una conexión con parámetros “convenientes” para el atacante, y a partir de ahí realizar phishing mediante portales falsos o intentos de downgrade.
- Contra 802.1X. Si el dispositivo no valida el certificado del servidor RADIUS, el atacante obtiene material para un ataque offline o incluso una autenticación “exitosa” en su extremo seguida de un canal MitM. Es uno de los errores más costosos en entornos corporativos.
Cómo reconocerlo y cómo protegerse
- Active 802.11w con la política PMF obligatorio en todos los SSID protegidos. Esto dificulta notablemente las desconexiones y los cambios forzados.
- Desactive el modo de transición WPA2/WPA3 en redes donde la seguridad sea crítica. Separe los SSID: uno solo para WPA3‑SAE y otro para clientes legacy.
- Para 802.1X utilice EAP‑TLS con validación obligatoria del certificado del servidor. En los clientes fije las autoridades raíz confiables y los nombres aceptables del servidor.
- En las políticas de cliente prohíba la conexión automática a redes con el mismo nombre si el BSSID es desconocido.
- Active el aislamiento entre clientes (client isolation) donde sea posible y segmente las redes por propósito: empleados, invitados, IoT en VLAN separadas.
Las desautenticaciones y las rupturas de conexión son más difíciles
En el pasado los ataques de desautenticación parecían aterradores: un solo “empujón” y los clientes se desconectaban masivamente, reinstalaban claves y la red se convertía en una lotería. Hoy, con PMF la situación es distinta: las tramas de gestión protegidas impiden la falsificación simple. No obstante, los intentos de “remover” la radio persisten porque las fallas temporales aceleran el salto a un gemelo “conveniente” donde ya hay phishing o downgrade. La conclusión es clara: PMF es obligatorio y el monitoreo de eventos no es un lujo.
WPA2: qué se ha roto y por qué sigue siendo importante
Para WPA2‑PSK el clásico es la captura del apretón de manos de cuatro pasos o del PMKID y el ataque offline contra contraseñas débiles. Es más difícil con una cadena aleatoria larga, pero mucha gente usa por costumbre frases “convenientes”. Un problema aparte es WPS: el modo PIN ha sido fuente repetida de compromisos, por lo que es más sensato desactivarlo completamente.
Medidas prácticas:
- Use contraseñas de alta entropía: no frases basadas en palabras, sino cadenas realmente aleatorias y de suficiente longitud.
- Desactive WPS en todos los puntos de acceso.
- Para escenarios de invitados considere SSID separados con límites de velocidad y aislamiento, y en lo ideal claves únicas por dispositivo o por usuario.
WPA3: idea, implementación y los contornos reales de los “workarounds”
WPA3‑Personal sustituye el secreto compartido por un intercambio interactivo SAE, en el que la grabación pasiva del tráfico no permite al atacante realizar ataques offline efectivos. Además, el estándar obliga a activar PMF. En el papel resulta esperanzador, pero la práctica ha demostrado que la calidad de las implementaciones y los compromisos de compatibilidad pueden estropear el panorama.
El modo de transición WPA2/WPA3 como puerta para downgrade
Para que clientes antiguos puedan conectarse a redes nuevas, los fabricantes introdujeron un modo de transición: la AP anuncia soporte tanto para WPA2‑PSK como para WPA3‑SAE. Si el atacante crea un gemelo con el mismo SSID pero solo WPA2, algunos dispositivos cambiarán gustosamente al modo menos protegido. Como resultado, la protección de WPA3 se elude y se abre el camino a técnicas conocidas contra WPA2.
Qué hacer: separar los mundos. Reserve un SSID exclusivo para WPA3‑SAE con PMF obligatorio. Para dispositivos sin soporte, cree otro SSID con la compatibilidad mínima necesaria y restricciones más estrictas. No deje modos mixtos donde sea importante la resistencia.
Dragonblood y otros matices de WPA3
Investigaciones mostraron que implementaciones imperfectas de SAE son susceptibles a canales laterales (tiempo, caché), lo que devuelve la posibilidad de ataques por diccionario al observar los apretones de manos. Los parches han ido apareciendo por oleadas, pero el ecosistema de clientes y controladores es muy diverso y hay versiones “olvidadas” aun en circulación. La consecuencia es evidente: las actualizaciones son críticas y las contraseñas deben seguir siendo largas y aleatorias incluso con WPA3. Confiar ciegamente en el “nuevo estándar” es un error.
KRACK: reinstalación de claves y por qué los parches siguen siendo vitales
Los ataques de la familia KRACK explotaron la re‑instalación de claves ya acordadas en WPA2, lo que permitía en ciertas condiciones descifrar tráfico o suplantar paquetes. El problema se solucionó con parches en clientes y puntos de acceso. Han pasado varios años, pero los parques legacy siguen arrastrando vulnerabilidades hasta hoy. La conclusión sigue siendo la misma: soporte de firmware y actualización oportuna forman la base de la seguridad.
Más detalles sobre KRACK están en la página de los autores de la investigación: enlace.
FragAttacks: fragmentación de tramas e inyecciones
El estudio FragAttacks mostró que combinaciones de peculiaridades en el tratamiento de tramas fragmentadas y agregación permiten inyectar datos incluso en redes protegidas si las implementaciones no cumplen estrictamente los requisitos. El problema también se solucionó con actualizaciones de firmware y controladores. Preste especial atención a la clase IoT: se actualiza con poca frecuencia y con retrasos.
Detalles del estudio están disponibles en la página oficial: enlace.
Redes abiertas y OWE: qué cambia con el cifrado sin contraseña
Tradicionalmente las redes “abiertas” no cifran el tráfico: cualquiera en el radio escucha todo lo que no esté protegido por TLS. OWE ofrece un compromiso: cifrado transparente sin contraseña al conectarse. No resuelve el phishing ni elimina la necesidad de verificar certificados de sitios, pero hace que la escucha pasiva sea mucho menos útil para un atacante. El estándar se describe en el documento IETF: RFC 8110.
802.1X en la red corporativa: errores típicos y protección
En el papel, 802.1X resuelve el problema de la contraseña compartida, pero en la práctica es común una simplificación peligrosa: la validación del certificado del servidor se desactiva “por comodidad” y no se configura la lista de autoridades confiables. Con esa configuración, un Evil Twin obtiene credenciales o impone un MitM. La mejor solución es EAP‑TLS con verificación obligatoria del nombre del servidor y de la cadena de confianza. Para invitados, use un segmento separado con restricciones, y el acceso de empleados convenga en políticas que impidan al cliente “migrar” a un BSSID desconocido con el mismo SSID.
IoT como eslabón débil
Bombillas inteligentes, cámaras y sensores con frecuencia solo soportan 2,4 GHz y modos de cifrado antiguos. Algunos traen WPS activado por defecto y las actualizaciones llegan cada seis meses o más. Su lugar es en una VLAN separada, con aislamiento entre clientes y listas blancas de conexiones salientes. El acceso a paneles de gestión es preferible restringirlo desde la red interna mediante proxy o firewall, en lugar de exponerlo directamente a Internet.
Lista de verificación breve para protección
- Separe los SSID por tarea y nivel de protección. Para WPA3‑SAE, use una red independiente con PMF obligatorio y sin modo de transición.
- Desactive WPS, prohíba cifrados obsoletos y TKIP, y use solo CCMP‑AES.
- En entornos corporativos use 802.1X con EAP‑TLS y validación estricta del certificado del servidor.
- Active el aislamiento entre clientes, segmente el tráfico por VLAN y limite el acceso entre segmentos siguiendo el principio del mínimo privilegio.
- Controle las versiones de firmware de los puntos de acceso, los controladores de los clientes y las actualizaciones del sistema operativo.
- Active el registro de eventos Wi‑Fi y configure alertas sobre BSSID sospechosos, caídas repentinas de nivel de señal y reasociaciones masivas.
- Use contraseñas de alta entropía incluso con WPA3; no confíe en la “magia” de SAE.
Monitoreo e investigación de incidentes
El conjunto mínimo de telemetría incluye: registros del sistema de los puntos de acceso, eventos del controlador, informes de clientes sobre errores de autenticación y asociación, y registros DHCP y DNS. Reglas umbral para “picos” de desautenticaciones, avalanchas de reasociaciones a un mismo SSID y BSSID “clonados” repentinos ayudan a detectar intentos de imponer un gemelo. En casos dudosos son útiles grabaciones selectivas de radio (pcap con radiotap) en las zonas problemáticas.
Preguntas frecuentes sin mitos
- ¿Un SSID oculto protege contra ataques? No. El SSID aparece en tramas de gestión y se descubre fácilmente cuando hay actividad de los clientes. No añade seguridad real.
- ¿La filtración por MAC salva? No. Suplantar una dirección MAC es trivial. Puede servir para inventario, pero no como medida de seguridad.
- ¿WPA3 es imposible de romper? La pregunta está mal planteada. WPA3 elevó mucho el listón, pero existen vulnerabilidades en implementaciones y downgrades por el modo de transición. Ningún estándar ofrece garantías absolutas.
- ¿OWE resuelve por completo los problemas de redes abiertas? OWE protege contra la escucha pasiva, pero el phishing y la manipulación de contenido a nivel de aplicación siguen presentes. Verificar certificados y usar el sentido común sigue siendo obligatorio.
Tabla de síntomas y acciones
| Síntoma | Causa probable | Qué hacer |
|---|---|---|
| Reasociaciones frecuentes en un grupo de usuarios | Intentos de imponer un gemelo o problemas de cobertura radioeléctrica | Activar PMF obligatorio, revisar potencia y solapamiento de canales, habilitar alertas por nuevos BSSID con el mismo SSID |
| Picos de desautenticaciones | Ataques a tramas de gestión o fallos de firmware | Actualizar firmware, verificar 802.11w, activar políticas de protección en el controlador |
| Quejas por Wi‑Fi “lento” cerca de una red abierta | Cambio de clientes al SSID “gratuito” del atacante | Desactivar la conexión automática a redes abiertas, habilitar OWE en la red legítima de invitados, notificar a los usuarios |
| Fallas periódicas en 802.1X | Cadenas de certificados incorrectas, intentos de Evil Twin | Forzar a los clientes a validar el nombre del servidor y los certificados raíz, migrar a EAP‑TLS |
Fuentes útiles
- Wi‑Fi Alliance sobre mecanismos modernos de protección: enlace
- KRACK — descripción detallada y materiales: enlace
- FragAttacks — análisis y FAQ: enlace
- OWE — documento IETF RFC 8110: enlace
Conclusión
El Wi‑Fi no se volverá “cerrado” por arte de magia gracias a un nuevo estándar. Tratamos con un medio radioeléctrico donde la observación y la interferencia son posibles por principio, y la resistencia final depende de una suma de factores: criptografía, implementación, configuración y disciplina operativa. Evil Twin sigue vigente por hábitos humanos y compromisos de compatibilidad. WPA3 complica la vida del atacante, pero el modo de transición y los errores de implementación dejan huecos. KRACK y FragAttacks recordaron que incluso tecnologías maduras requieren mantenimiento constante y actualizaciones.
La protección del entorno inalámbrico empieza por la arquitectura: SSID separados para distintas necesidades, PMF obligatorio, evitar modos de transición donde sea aceptable, validación estricta de certificados en 802.1X, segmentación, aislamiento de clientes y monitoreo. Añada a eso actualizaciones regulares y secretos de alta entropía —y la mayoría de ataques reales fallarán, incluso si hay un vecino muy persistente. La red inalámbrica dejará de ser una lotería y será una herramienta predecible que funcione en silencio, como el tic‑tac de un reloj en la pared.
