Las redes Wi-Fi son el principal punto de acceso a internet para la mayoría de las organizaciones y hogares. También son uno de los vectores de ataque más explotados. En 2026, el panorama de seguridad Wi-Fi ha evolucionado: WPA3 es cada vez más común, pero no es invulnerable. Investigaciones presentadas en EUROCRYPT 2026 y NDSS 2026 han revelado nuevas vulnerabilidades en los protocolos SAE y en el aislamiento cliente Wi-Fi.
Este artículo cubre los fundamentos de seguridad inalámbrica, las vulnerabilidades conocidas de WPA2 y WPA3, ataques prácticos con herramientas reales, y las defensas que realmente funcionan.
1. Evolución de los Estándares Wi-Fi
| Estándar | Protocolo de seguridad | Cifrado | Estado en 2026 |
|---|---|---|---|
| WEP | RC4 | Estático (64/128-bit) | Obsoleto, roto en minutos |
| WPA | TKIP | RC4 | Obsoleto, vulnerable |
| WPA2 | 4-Way Handshake (PSK) | AES-CCMP | Aún ampliamente usado, vulnerable a offline cracking |
| WPA3 | SAE (Dragonfly) | AES-GCMP | Recomendado, pero con vulnerabilidades documentadas |
| WPA3 SAE-PK | SAE + clave pública | AES-GCMP | Protege contra Evil Twin, con vulnerabilidad teórica a ataques offline de diccionario |
2. WPA2 — El Estándar que Sigue Dominando
A pesar de que WPA3 se introdujo en 2018, WPA2 sigue siendo el protocolo más utilizado en 2026. Su vulnerabilidad principal es que el 4-Way Handshake se puede capturar y crackear offline.
Ataque offline a WPA2
# 1. Poner la interfaz en modo monitor
airmon-ng start wlan0
# 2. Escanear redes y capturar handshake
airodump-ng -c 6 --bssid AA:BB:CC:DD:EE:FF -w captura wlan0mon
# 3. Desautenticar a un cliente forzando el handshake
aireplay-ng -0 2 -a AA:BB:CC:DD:EE:FF -c CLIENTE:MAC wlan0mon
# 4. Convertir el handshake a formato hashcat
hcxpcapngtool -o hash.hc22000 captura.cap
# 5. Crackear offline con hashcat (modo 22000)
hashcat -m 22000 hash.hc22000 wordlist.txt --potfile-disable
Herramientas de defensa contra WPA2:
- Usar contraseñas Wi-Fi de al menos 14 caracteres con alta entropía
- Deshabilitar WPS (Wi-Fi Protected Setup), que permite bruteforce del PIN en horas mediante Pixie Dust Attack
- Cambiar la contraseña periódicamente
- Usar 802.11w (Management Frame Protection) si está disponible
3. WPA3 — Lo que Realmente Aporta
WPA3 introduce SAE (Simultaneous Authentication of Equals), basado en Dragonfly handshake, que reemplaza el 4-Way Handshake de WPA2. La principal mejora es que el handshake SAE no genera un hash crackeable offline: la interacción con el punto de acceso es necesaria para cada intento de autenticación.
Ventajas reales de WPA3:
- Forward secrecy: cada sesión genera una clave única; comprometer la contraseña no permite descifrar tráfico pasado
- Protección contra offline dictionary attacks: SAE requiere interacción con el AP para cada intento
- SAE-PK: protección contra Evil Twin mediante clave pública del AP incorporada
4. Vulnerabilidades de WPA3 en 2026
Ataque 1: Brute Force Online con Wacker
Aunque WPA3 bloquea el cracking offline, sigue siendo vulnerable a ataques online de fuerza bruta contra el SAE handshake. La herramienta Wacker automatiza este proceso:
# Wacker realiza intentos de autenticación SAE contra el AP real
# Cada intento requiere un intercambio SAE completo (~100ms-1s)
# La velocidad depende del rate limiting del AP y de la latencia de red
wacker --ap-mac AA:BB:CC:DD:EE:FF --ssid "MiRed" --wordlist passwords.txt
Mitigación: usar contraseñas largas y complejas que no estén en wordlists, y activar rate limiting en el AP.
Ataque 2: Downgrade a WPA2 (Transition Mode)
Muchos puntos de acceso WPA3 operan en modo transición (SAE+PSK) para compatibilidad con dispositivos antiguos. Un atacante puede:
- Montar un punto de acceso falso (rogue AP) con el mismo SSID pero solo WPA2
- Enviar tramas de desautenticación al cliente (necesita que 802.11w esté deshabilitado)
- El cliente se reconecta al AP falso usando WPA2
- Capturar el handshake WPA2 y crackearlo offline con hashcat
# Configurar un rogue AP en modo WPA2 con hostapd-mana
interface=wlan0
ssid=MiRed
hw_mode=g
channel=6
wpa=2
wpa_passphrase=whatever # placeholder
wpa_key_mgmt=WPA-PSK
rsn_pairwise=CCMP
mana_wpaout=handshakes.hccapx
Mitigación: deshabilitar WPA3 transition mode si todos los dispositivos lo soportan. Si no es posible, activar 802.11w (MFP Required) que bloquea las tramas de desautenticación.
Ataque 3: Vulnerabilidades en el protocolo SAE (EUROCRYPT 2026)
Una investigación publicada en EUROCRYPT 2026 por Shan Chen, Kaige Pan y Olga Sanina demostró formalmente que:
- SAE no cumple con sus garantías de autenticación previstas en el modelo formal estándar
- Los investigadores propusieron SAEv2 y SAEv3 que sí cumplen con las garantías deseadas
- SAE-PK protege contra Evil Twin pero introduce una vulnerabilidad teórica a ataques offline de diccionario
- Las correcciones propuestas requieren cambios mínimos en el protocolo
Estado: vulnerabilidades teóricas identificadas en laboratorio; se esperan parches de firmware de los fabricantes.
Ataque 4: AirSnitch — Ruptura del Aislamiento Cliente (NDSS 2026)
Investigadores de UC Riverside presentaron AirSnitch, una familia de ataques que rompen el aislamiento cliente Wi-Fi en hogares, oficinas y entornos empresariales. El ataque permite:
- Enviar tráfico a otros dispositivos en la misma red como si fuera el router legítimo
- Bypass de autenticación RADIUS en redes empresariales
- Interceptar y modificar tráfico entre dispositivos en la misma red
Mitigación: mantener el firmware de puntos de acceso actualizado, usar WPA3 con SAE-PK, y monitorizar tráfico anómalo en la red.
5. Herramientas de Pentesting Wi-Fi (Kali Linux)
| Herramienta | Propósito | Enlace |
|---|---|---|
| aircrack-ng | Suite completa: captura, cracking, inyección | aircrack-ng.org |
| hcxtools | Captura y conversión de handshakes (WPA2 y WPA3) | GitHub |
| hashcat | Cracking offline con GPU (modo 22000 para PMKID, 22100 para WPA3) | hashcat.net |
| hostapd-mana | Rogue AP con capture de handshakes | GitHub |
| Wacker | Brute force online contra WPA3 SAE | GitHub |
| Bettercap | MITM, sniffing, y ataques a redes Wi-Fi | bettercap.org |
| Kismet | Detector de redes, sniffing de paquetes | kismetwireless.net |
6. Defensa por Capas para Redes Wi-Fi
Para el hogar
- Usar WPA3 si todos los dispositivos lo soportan; si no, WPA2 con AES (nunca TKIP)
- Contraseña de 14+ caracteres: combinación de mayúsculas, minúsculas, números y símbolos, sin palabras del diccionario
- Deshabilitar WPS: el PIN de 8 dígitos se puede bruteforcear en horas
- Deshabilitar UPnP en el router
- Configurar red de invitados separada para dispositivos IoT
- Actualizar el firmware del router regularmente
- Deshabilitar administración remota del router
Para empresa
- WPA3-Enterprise con 802.1X y EAP-TLS (certificados) es la configuración más segura disponible
- RADIUS con certificados: autenticación mediante certificados de máquina o usuario, no contraseñas compartidas
- 802.11w (MFP Required): protege contra tramas de desautenticación y ataques de downgrade
- Segmentación por VLAN: red Wi-Fi separada por tipo de dispositivo y nivel de acceso
- WIPS (Wireless Intrusion Prevention System): detectar puntos de acceso no autorizados (rogue APs)
- Deshabilitar WPA3 transition mode si todos los clientes lo soportan
- Monitorización de tráfico inalámbrico: analizar logs de controladores y puntos de acceso en el SIEM
Checklist de Seguridad Wi-Fi
- WPA3 activado (o WPA2-AES como mínimo, nunca WEP o WPA-TKIP)
- Contraseña Wi-Fi de 14+ caracteres con alta entropía
- WPS deshabilitado
- 802.11w (MFP) activado en modo Required si es posible
- WPA3 transition mode deshabilitado si todos los clientes son compatibles
- Red de invitados separada con contraseña diferente
- Firmware del router actualizado
- Administración remota del router deshabilitada
- UPnP deshabilitado
- SSID oculto no es seguridad real, pero reduce ruido
- Registro de eventos del router enviado a SIEM (entornos empresariales)
- Escaneo periódico de redes con Kismet o similar para detectar rogue APs
Conclusión
WPA3 es un avance significativo sobre WPA2, pero no es perfecto. Los ataques de downgrade, el brute force online, y las vulnerabilidades teóricas en SAE documentadas en EUROCRYPT 2026 demuestran que la seguridad Wi-Fi sigue siendo un blanco móvil. La defensa más efectiva es una estrategia en capas: contraseñas largas, segmentación de red, protocolos actualizados, firmware parcheado, y monitorización continua. En entornos empresariales, WPA3-Enterprise con 802.1X y EAP-TLS sigue siendo la configuración más segura disponible, pero solo si se implementa correctamente.
Artículos Relacionados
- Seguridad en Redes: Defensa Perimetral — Firewalls, IDS/IPS y segmentación de red con VLANs
- Seguridad IoT: Dispositivos Conectados — Protege dispositivos IoT conectados vía Wi-Fi
- Kali Linux: Herramientas Esenciales — Suite completa de herramientas para pentesting inalámbrico