¿Cuán segura es tu wi-fi?

Publicat a La Vanguardia el 25/01/2011

Dice que no publicita su descubrimiento para fomentar las acciones ilegales sino para cambiar la creencia de que no es posible romper una clave wi-fi WPA si no se dispone de tiempo y una considerable cantidad de dinero. De hecho, a Thomas Roth le cuesta poco más de cinco minutos y un dólar conseguir una clave de cifrado Wi-Fi WPA-PSK, que es la que proporcionan la mayoría de las operadoras.

“Es fácil y barato hacerlo con ataques de fuerza bruta”, confesaba hace unos días a la agencia Reuters el analista de seguridad de la empresa Landworks AG, que reside en Colonia (Alemania). No es un método nuevo, explica Carles Mateu, profesor de Redes y Comunicaciones de la Universitat de Lleida (UdL). Se trata simplemente de probar todas las combinaciones posibles hasta dar con la correcta.

“Los ataques suelen ser “de diccionario”, aclara el experto de la UdL. “Si la contraseña es una palabra común, un ataque de este tipo la encuentra. Si la clave es del tipo WX92kt5ui90887, la cosa se complica porque necesitas hacer miles y miles de pruebas”, continua. Y apunta: “Aunque parezcan así de complicadas, las claves que proporcionan las operadoras no son muy difíciles de adivinar ya que no son aleatorias y se construyen a partir de datos como el número de WLAN”.

La principal novedad del sistema de Roth es que, para conseguirlo, utiliza .Cloud Computing o computación en la nube. Más concretamente, los servidores que alquila Amazon a muy bajo precio a desarrolladores y empresas. “Tener un supercomputador de estas características en casa saldría realmente caro”, subraya Mateu. “Gasta mucha electricidad, hace mucho ruido y produce mucho calor”, añade el experto en Redes y Seguridad de Comunicaciones.

En el primer intento que realizó con el sistema EC2 de Amazon, Roth probó 400.000 contraseñas por segundo y tardó 49 minutos en romper 14 claves WPA. Según cuenta en su blog, ‘la hazaña’ le costó sólo 2,10 dólares (1,56 euros). “Y podría haber rebajado aún más el tiempo necesario para adivinarlas comprando más clusters GPU [unidad de procesamiento gráfico] en Amazon”, añade en varias publicaciones especializadas.

Un portavoz de la compañía, con sede en Seattle (Washington, DC), ha salido al paso del anuncio de hacking subrayando que la aplicación de Roth no se basa exclusivamente en el uso de los servidores AWS-EC2 de Amazon, sino que utiliza estos servidores como “herramienta” para demostrar que “algunas configuraciones de red se pueden mejorar”. “El testeo es un excelente uso de los servidores de Amazon. Sin embargo, comprometer la seguridad de una red sin autorización constituye una violación de nuestra política de uso”, insistía hace unos días.

Roth liberó su software y enseñó a la gente a usarlo durante la conferencia sobre seguridad Blackhat que tuvo lugar en Washington DC el 18 y 19 de enero pasados. Mateu no lo considera ninguna revolución. “Tenemos capacidades brutales de cómputo a mano con las tarjetas de vídeo de los ordenadores”, concluye.

Share

Leave a Reply

Your email address will not be published. Required fields are marked *