Cifrado WPA y WPA2: Definición, características y diferencias

Rodrigo Ricardo Publicado el 19 diciembre, 2023 8 minutos y 30 segundos de lectura
¿Quieres explorar más? 📂 Explorar Categorías 🔥 Tendencias 🎓 Cursos

En el mundo actual, donde el 90% de los ciberataques aprovechan vulnerabilidades en redes inalámbricas, entender el cifrado Wi-Fi ya no es solo cosa de expertos en TI. WPA y WPA2 son los dos protocolos de seguridad que protegen la información que envías desde tu portátil, móvil o tablet hasta el router. Si tu red usa un cifrado débil, cualquiera con un software básico podría interceptar tus contraseñas, correos o datos bancarios. En esta guía, aprenderás de forma clara y definitiva qué son, cómo funcionan y por qué WPA2 sigue siendo el estándar de oro (con matices).

¿Por qué empezar con esta introducción?

La primera pregunta que un estudiante debe hacerse es: ¿realmente necesito saber esto? La respuesta es sí, especialmente si estás cursando grados en informática, ciberseguridad, telecomunicaciones o incluso administración de sistemas. Los empleadores valoran enormemente a quienes entienden los cimientos de la seguridad inalámbrica, porque una pequeña mala configuración puede tumbar toda una empresa.

En los siguientes párrafos no solo repasaremos teoría. Profundizaremos en el funcionamiento interno, las debilidades históricas, los ataques más famosos (como el KRACK contra WPA2) y las diferencias técnicas que marcan la verdadera seguridad. Al final del artículo, encontrarás un listado de resultados de aprendizaje verificables, para que compruebes que has asimilado los conceptos clave.

Contexto: El origen de los problemas de seguridad Wi-Fi

Para entender WPA y WPA2, primero debemos viajar a finales de los años 90. El estándar original de seguridad Wi-Fi se llamaba WEP (Wired Equivalent Privacy). Lanzado en 1997, WEP pretendía dar a las redes inalámbricas la misma privacidad que a las cableadas. Sin embargo, WEP era un desastre: usaba el algoritmo RC4 con claves estáticas y un vector de inicialización (IV) demasiado corto. En 2001, los investigadores demostraron que se podía crackear WEP en menos de 5 minutos con herramientas disponibles en Internet.

La Wi-Fi Alliance necesitaba una solución urgente. Así nació WPA (Wi-Fi Protected Access) en 2003 como un parche temporal. Y luego, en 2004, llegó WPA2, ya diseñado desde cero con estándares robustos.

Tema relacionado:
¿Cómo funciona Starlink y en que países esta disponible?

Definición formal de WPA y WPA2

¿Qué es WPA?

WPA (Wi-Fi Protected Access) es un protocolo de seguridad para redes inalámbricas desarrollado por la Wi-Fi Alliance como reemplazo inmediato de WEP. Su principal innovación fue el Protocolo de Integridad de Clave Temporal (TKIP) , que cambiaba dinámicamente la clave de cifrado para cada paquete, evitando los ataques de reutilización de IV que hundieron a WEP.

Características definitorias de WPA:

  • Basado en el algoritmo RC4, pero con mejoras (TKIP).
  • Autenticación mediante EAP (Extensible Authentication Protocol) en empresas, o PSK (Pre-Shared Key) en hogares.
  • Tamaño de clave de 128 bits.
  • Incluye un código de integridad de mensaje (MIC) llamado «Michael» para evitar modificaciones de paquetes.

¿Qué es WPA2?

WPA2 es la versión certificada del estándar IEEE 802.11i. A diferencia de WPA, no es un parche: fue concebido desde el inicio con un cifrado moderno y robusto: AES (Advanced Encryption Standard) en modo CCMP. AES es el mismo algoritmo que usa el gobierno de EE. UU. para datos clasificados.

Características definitorias de WPA2:

  • Cifrado obligatorio mediante AES-CCMP (128 bits o 256 bits).
  • Autenticación robusta con 802.1X (modo empresarial) o PSK (personal).
  • Gestión de claves mediante el protocolo 4-Way Handshake.
  • Protección contra ataques de replay y falsificación de paquetes.

Expansión técnica: ¿Cómo funcionan realmente?

El corazón de WPA: TKIP paso a paso

TKIP fue un logro ingenieril considerando las limitaciones de hardware de la época. Muchos routers viejos solo tenían potencia para ejecutar RC4, no AES. TKIP añadió tres mecanismos clave:

Tema relacionado:
¿Qué es la Tarjeta de MercadoPago y para que sirve?

  1. Per-packet key mixing: Mezcla la clave maestra con el MAC de la estación y el IV para generar una clave única por paquete. Esto elimina los ataques de colisión de claves que afectaban a WEP.
  2. Secuencia de contador de paquetes (TSC) : Evita la reinyección de paquetes antiguos.
  3. MIC Michael: Un hash de 64 bits que verifica que el paquete no fue alterado. Si se detectan dos fallos de MIC en 60 segundos, la red se apaga 60 segundos (contramedida contra fuerza bruta).

Limitación crítica: Aunque TKIP fue un avance, hoy se considera inseguro. En 2008, ataques como Beck-Tews demostraron que se podía recuperar el texto plano de paquetes cortos en solo 12 minutos. En 2009, otro ataque redujo el tiempo a 1 minuto.

El corazón de WPA2: AES-CCMP

AES-CCMP (Counter Mode with CBC-MAC Protocol) opera de forma muy distinta a RC4. Usa dos modos de operación:

  • Modo contador (CTR) para cifrar los datos.
  • CBC-MAC para autenticarlos e integrarlos.

Esto significa que AES-CCMP proporciona cifrado y autenticación simultáneamente, algo que TKIP no hacía de forma tan sólida. Además, el tamaño de bloque de AES es de 128 bits, y la clave puede ser de 128, 192 o 256 bits (aunque en Wi-Fi hogareño lo habitual es 128).

El famoso 4-Way Handshake: Cuando te conectas a un WPA2-PSK, el router y tu dispositivo realizan este intercambio de 4 mensajes:

  1. El AP (router) envía un nonce (número aleatorio) llamado ANonce.
  2. El cliente genera su propio SNonce y lo envía, junto con su MAC.
  3. El AP envía el Grupo Temporal de Claves (GTK) cifrado.
  4. El cliente confirma la instalación de claves.

Este handshake es tan crítico que muchos ataques (como el posterior KRACK) se centran en manipularlo.

Tema relacionado:
Fraudes en apps bancarias: Qué es y cómo detectarlas

Diferencias clave entre WPA y WPA2 (Tabla comparativa)

CaracterísticaWPAWPA2
Algoritmo de cifradoRC4 con TKIPAES con CCMP
Tamaño de clave128 bits128 bits (mínimo), hasta 256 bits
Integridad de datosMIC Michael (64 bits, débil)CBC-MAC (128 bits, robusto)
Protección contra ataques de replaySí, mediante TSCSí, mediante contador de paquetes
Aprobación por gobiernosNoSí (FIPS 197 para AES)
Velocidad en hardware antiguoAlta (diseñado para CPUs lentas)Baja sin aceleración AES-NI
Seguridad actualRoto (no recomendado)Robusto si se usa correctamente (con WPA3 como sucesor)
Año de lanzamiento20032004

Resumen para estudiantes: WPA fue una solución de transición que resolvió los problemas más flagrantes de WEP, pero mantuvo el algoritmo RC4. WPA2 es el estándar maduro con AES, el mismo cifrado que protege transacciones bancarias. Si ves una red Wi-Fi que solo ofrece WPA, asume que es insegura.

Vulnerabilidades reales (Lo que no te cuentan en los cursos básicos)

Debilidades de WPA

  • Ataque Beck-Tews (2008) : Revela el texto plano de paquetes pequeños (como paquetes ARP) en 12-15 minutos.
  • Ataque Ohigashi-Morii (2009) : Extiende el anterior y permite descifrar cualquier paquete.
  • Ataque de fragmentación (2010): Permite inyectar paquetes falsos en la red.

Conclusión: Desde 2010, ningún experto recomienda usar WPA. La Wi-Fi Alliance retiró la certificación WPA en 2016.

Debilidades de WPA2 (Sí, también las tiene)

A pesar de su robustez, WPA2 no es invencible. La vulnerabilidad más famosa es KRACK (Key Reinstallation Attack) , descubierta por Mathy Vanhoef en 2017. KRACK explota una falla en el 4-Way Handshake: el atacante fuerza la reinstalación de una clave ya usada, lo que permite descifrar, reinyectar y secuestrar paquetes.

Mitigación: Los fabricantes lanzaron parches en 2017-2018. Un WPA2 actualizado (con cliente y AP parcheados) es seguro contra KRACK.

Otras debilidades:

  • Ataques de diccionario contra PSK débiles: Si usas «contraseña123», cualquier atacante con un PC y un diccionario la crackeará.
  • PMKID attack (2018): Permite obtener el hash de la contraseña sin necesidad de un cliente legítimo conectado, facilitando ataques offline.

¿Y WPA3? Breve mención para contexto

A partir de 2018, la Wi-Fi Alliance introdujo WPA3, que soluciona las limitaciones de WPA2:

  • SAE (Simultaneous Authentication of Equals) reemplaza el vulnerable 4-Way Handshake.
  • Cifrado individualizado incluso en redes abiertas (OWE).
  • Claves de 192 bits en modo empresarial.

Sin embargo, WPA3 aún no está masivamente implantado. En 2024, la mayoría de redes domésticas y educativas siguen usando WPA2. Por eso es vital dominar WPA2: es lo que encontrarás en el mundo real.

Mejores prácticas para estudiantes y profesionales

Si administras una red o simplemente quieres proteger tu Wi-Fi casero:

  1. Nunca uses WEP ni WPA. Si tu router solo soporta eso, cómprate uno nuevo (cuestan menos de 30 €).
  2. Usa siempre WPA2-AES (no WPA2-TKIP). Algunos routers permiten «modo mixto» WPA/WPA2, pero es mala idea porque obliga a soportar TKIP.
  3. Elige una contraseña larga y aleatoria (mínimo 12 caracteres, con mayúsculas, números y símbolos).
  4. Actualiza el firmware del router periódicamente (para parches como KRACK).
  5. Desactiva WPS (Wi-Fi Protected Setup), ya que tiene vulnerabilidades graves.

Ejemplo práctico para clase o laboratorio

Actividad propuesta: Usa Wireshark en tu red doméstica (solo con tus dispositivos autorizados) para capturar el 4-Way Handshake de WPA2. Filtra por eapol y observa los 4 mensajes. Luego, intenta comprender cómo un atacante podría capturar ese handshake y aplicar fuerza bruta offline con herramientas como aircrack-ng (siempre en entornos controlados y legales). Esta práctica te dará una comprensión visceral de por qué la longitud de la contraseña es crítica.

Resultados de aprendizaje

Después de leer este artículo, el estudiante será capaz de:

  1. Definir con precisión qué son WPA y WPA2, y explicar el contexto histórico que llevó a su creación (incluyendo el fracaso de WEP).
  2. Diferenciar técnicamente entre los algoritmos TKIP (RC4) y AES-CCMP, mencionando al menos tres ventajas de AES sobre RC4.
  3. Identificar las principales vulnerabilidades de cada protocolo, incluyendo ataques Beck-Tews (para WPA) y KRACK (para WPA2).
  4. Explicar el funcionamiento del 4-Way Handshake de WPA2 y por qué su manipulación permite ataques de reinstalación de claves.
  5. Recomendar configuraciones seguras para un router doméstico o empresarial, justificando por qué se debe evitar el modo mixto WPA/WPA2.
  6. Evaluar la seguridad de una red Wi-Fi dada (mediante análisis de su cifrado y políticas de contraseña) y proponer mejoras concretas.
  7. Describir la transición hacia WPA3, identificando las limitaciones de WPA2 que WPA3 resuelve (SAE, OWE, etc.).
Twittear
Compartir
Pin
Compartir

Explora más sobre este tema

Selecciona un tema y sigue aprendiendo...

cifradosinternetredesredes informáticaswpa
Rodrigo Ricardo
Rodrigo Ricardo Editor y fundador

Artículos relacionados

¿Cómo funciona Starlink y en que países esta disponible?
¿Qué es el Comercio electrónico (e-commerce)? Definición e importancia
¿Quién creó WiFi y la conexión inalámbrica a Internet?
La Historia de MercadoLibre.com
¿Qué es la Tarjeta de MercadoPago y para que sirve?
Fraudes en apps bancarias: Qué es y cómo detectarlas