Desde 2007 algunos fabricantes de ruteadores inalámbricos han incluido una herramienta denominada WPS (WiFi Protected Setup) que sirve para que dispositivos usen nuestra red inalámbrica sin las complicaciones de la configuración WPA (hay que decirlo: es difícil memorizar la contraseña del WiFi). Una de las opciones de WPS requiere el uso de un PIN, y precisamente ahí estaría el origen de la vulnerabilidad, que abriría las puertas para que un ataque de fuerza bruta sea exitoso en un par de horas. Sucede que cada vez que se intenta enviar el PIN, el ruteador respondería con un mensaje indicando si los cuatro primeros números son correctos, ya que el quinto es un "checksum". Esto bajaría las posibilidades de PINs disponibles de 100 millones a solamente 11.000.

El riesgo de penetración a una red ajena es tan elevado que la agencia federal de Estados Unidos US-CERT ha recomendado desactivar esta opción en ruteadores hasta que los fabricantes ofrezcan una solución. Mientras tanto, Stefan Viehbock, el investigador que descubrió el problema, explica que intentó comunicarse con Buffalo, D-Link, Linksys y Netgear, y simplemente fue ignorado; razón por la que decidió hacer público su descubrimiento. Viehbock además dijo que pronto publicará una herramienta que permita que cualquier persona use esta vulnerabilidad, como manera de presión para que ofrezcan una pronta solución.

Al menos nos agrada saber que todos los ordenadores en tu red casera tienen un firewall instalado, que tienes al ruteador configurado con criptografía TKIP y que transfieres información personal importante únicamente usando sitios con SSL... ¿o nos equivocamos?

[Vía The Verge]

Leer - Stefan Viehbock
Leer - US-CERT

Recomiendan desactivar WPS en ruteadores por un grave fallo de seguridad

Añadir un comentario

*0 / 3000 Número máximo de caracteres

7 Comentarios

Filtrar por:
victorvs

Pues yo sí que me sé la contraseña de mi router :D de tanto usarla...

02/01/2012 11:41 AM Reportar abuso rate up rate down Responder
Turok

Yo tengo desactivado ese tipo de seguridad en todos los routers que e tenido hasta hoy.Nunca me fié de esa "facilidad" de configuración.

29/12/2011 6:30 AM Reportar abuso rate up rate down Responder
karlosmad

Señores usuarios de orange, con el router livebox solo teneis que acceder a la configuracion del mismo y entrar en configuracion wifi y ahi sale para desactivarlo le dais a guardar y listo.

29/12/2011 5:17 AM Reportar abuso rate up rate down Responder
Droide15

Pero para vincular dos dispositivos por WiFi mediante WPS, no hay que pulsar un botón en el router para activar el sistema?

29/12/2011 4:42 AM Reportar abuso rate up rate down Responder
Nasher_87

Tengo configurado el router D-Link DIR-600 solo para una notebook y mi pc conectado por cable, la seguridad de la red es WPA2+PBC con una contraseña de 12 caracteres alfanuméricos. Esto me afecta?

29/12/2011 2:52 AM Reportar abuso rate up rate down Responder
sebastian

se les agradece si tambien publican la herramienta para descargarla no se sabe cuando se necesite jijiji

28/12/2011 9:31 PM Reportar abuso rate up rate down Responder
Jesé Rodríguez

Esto es bastante serio. Podría asegurar que muchos usuarios promedio están usando WPS, ya que por experiencia he notado que prefieren un fácil acceso al la red inalámbrica casera (en este caso utilizado sólo este PIN como llave de acceso), arriesgando así la seguridad. De hecho en muchos casos esta herramienta podría estar viniendo pre-configurada y utilizada de dicha forma por los usuarios.

Estaré al pendiente para la herramienta para explotar la vulnerabilidad y la respectiva actualización para resolver el problema, esto me interesa.

28/12/2011 8:31 PM Reportar abuso rate up rate down Responder