Para obtener la máxima seguridad, debe usar WPA2 (AES) si tiene dispositivos más antiguos en su red y WPA3 si tiene un enrutador más nuevo y dispositivos más nuevos que lo admitan.
Su enrutador Wi-Fi ofrece opciones de cifrado como WPA2-PSK (TKIP), WPA2-PSK (AES) y WPA2-PSK (TKIP/AES) e incluso, si es lo suficientemente moderno, WPA3 (AES). Puede ser un poco confuso y, si elige la incorrecta, tendrá una red más lenta y menos segura. Esto es lo que necesita saber.
WPA2 frente a WEP, WPA y WPA3
Cuando lee sobre la seguridad de Wi-Fi, el enfoque principal suele ser el tipo de cifrado utilizado para proteger la conexión inalámbrica. Eso tiene sentido, después de todo, porque, por la naturaleza misma de un enrutador Wi-Fi, todas las comunicaciones entre su dispositivo cliente (como su teléfono inteligente o computadora portátil) y el enrutador se transmiten al aire libre. Cualquier persona dentro del alcance de su enrutador puede espiar esa comunicación o incluso obtener acceso a su enrutador si la conexión inalámbrica no es segura.
Esta conexión inalámbrica está protegida mediante algoritmos de seguridad diseñados específicamente para Wi-Fi. Estos algoritmos no son estrictamente solo cifrado (aunque ese es un componente crucial), sino que incluyen funciones adicionales que rigen cómo se intercambian y verifican las claves, y más.
La privacidad equivalente por cable (WEP), el acceso protegido Wi-Fi (WPA) y el acceso protegido Wi-Fi II (WPA2) son los principales algoritmos de seguridad que verá al configurar una red inalámbrica. Si tiene un enrutador más nuevo, también puede ver Wi-Fi Protected Access III (WPA3).
WEP es el más antiguo y ha demostrado ser vulnerable a medida que se descubren más y más fallas de seguridad. WPA mejoró la seguridad, pero ahora también se considera vulnerable a la intrusión.
WPA2, aunque imperfecto, es más seguro que WEP o WPA y es uno de los algoritmos de seguridad Wi-Fi más utilizados. Las redes WPA y WPA2 pueden utilizar uno de los dos protocolos de cifrado, el Protocolo de integridad de clave temporal (TKIP) y el Estándar de cifrado avanzado (AES). Veremos la diferencia entre esos dos protocolos de cifrado en un momento.
Finalmente, las redes WPA3 solo usan el protocolo de encriptación AES. Aunque se introdujo en 2018, WPA3 aún no tiene una adopción generalizada.
AES frente a TKIP
TKIP y AES son dos tipos diferentes de encriptación que puede usar una red Wi-Fi. TKIP es en realidad un protocolo de cifrado más antiguo introducido con WPA para reemplazar el cifrado WEP muy inseguro en ese momento. TKIP es bastante similar al cifrado WEP. TKIP ya no se considera seguro y ahora está obsoleto. En otras palabras, no deberías usarlo.
AES es un protocolo de cifrado más seguro introducido con WPA2. AES tampoco es un estándar chirriante desarrollado específicamente para redes Wi-Fi. Es un estándar de cifrado mundial serio que incluso ha sido adoptado por el gobierno de EE. UU.
Por ejemplo, cuando cifra un disco duro con TrueCrypt, puede usar el cifrado AES para eso. La herramienta de cifrado integrada de Windows, BitLocker, también usa AES, al igual que la herramienta FileVault de macOS. AES generalmente se considera bastante seguro, y las principales debilidades serían los ataques de fuerza bruta (evitados mediante el uso de una frase de contraseña fuerte) y las debilidades de seguridad en otros aspectos de WPA2.
La versión corta es que TKIP es un estándar de cifrado más antiguo utilizado por el estándar WPA. AES es una solución de encriptación Wi-Fi más nueva utilizada por el estándar WPA2 nuevo y seguro. En teoría, ese es el final. Pero, dependiendo de su enrutador, elegir WPA2 puede no ser suficiente.
Si bien se supone que WPA2 usa AES para una seguridad óptima, también puede usar TKIP, donde se necesita compatibilidad con versiones anteriores de dispositivos heredados. En tal estado, los dispositivos compatibles con WPA2 se conectarán con WPA2 y los dispositivos compatibles con WPA se conectarán con WPA. Entonces, «WPA2» no siempre significa WPA2-AES. Sin embargo, en dispositivos sin una opción visible «TKIP» o «AES», WPA2 generalmente es sinónimo de WPA2-AES.
Explicación de los modos de seguridad Wi-Fi: ¿Cuál debería usar?
¿Confundido todavía? No te sientas mal si lo eres. El mundo de la seguridad Wi-Fi es bastante arcano si no eres un fanático de las redes. Afortunadamente, no necesita comprender las complejidades de cómo cambiaron los protocolos de seguridad y los apretones de manos entre todas las generaciones de Wi-Fi.
Solo necesita revisar nuestra lista a continuación y seleccionar la opción más segura que funcione con todo su hardware y dispositivos. Para ayudarlo a evitar opciones antiguas e inseguras, las hemos marcado con [Deprecated] después de su nombre.
Y, para ser claros, no estamos controlando arbitrariamente estos protocolos y declarándolos obsoletos según nuestras opiniones. Tanto Microsoft como Apple también los han designado como tales, razón por la cual su computadora portátil con Windows le advierte cuando una red Wi-Fi no es segura y su iPhone le advierte cuando las redes Wi-Fi tienen poca seguridad.
Además, no hemos enumerado las opciones «Empresariales» en la lista a continuación porque la seguridad Wi-Fi empresarial o basada en servidor RADIUS es poco común en entornos residenciales y requiere infraestructura adicional.
Además, tenga en cuenta que, según su enrutador, las opciones que no son empresariales pueden designarse como «Personal» o «PSK». PSK significa «Clave precompartida» e indica que, a diferencia de una configuración empresarial, la seguridad no No confíe en un servidor de autenticación, sino en que el usuario tenga la clave precompartida (la contraseña de Wi-Fi) para ingresar como su método de autenticación. Comenzando con WPA2, y especialmente con WPA3, es más común ver «Personal» en lugar de «PSK».
Con esas notas en mente, estas son las opciones que probablemente verá en su enrutador.
- Abierto [Deprecated]: Las redes Wi-Fi abiertas no tienen contraseña. No debe configurar una red Wi-Fi abierta; en serio, la policía podría derribar su puerta.
- WEP 64 [Deprecated]: El antiguo estándar de protocolo WEP es vulnerable y no debería usarlo.
- WEP 128 [Deprecated]: Esto es WEP, pero con un tamaño de clave de cifrado más grande. Realmente no es menos vulnerable que WEP 64.
- WPA-PSK (TKIP) [Deprecated]: Utiliza la versión original del protocolo WPA (esencialmente WPA1). Ha sido reemplazado por WPA2 y no es seguro.
- WPA-PSK (AES) [Deprecated]: Esto usa el protocolo WPA original pero reemplaza TKIP con el cifrado AES más moderno. Se ofrece como un recurso provisional, pero los dispositivos que admiten AES casi siempre admitirán WPA2, mientras que los dispositivos que requieren WPA casi nunca admitirán el cifrado AES. Entonces, esta opción tiene poco sentido.
- WPA2-PSK (TKIP) [Deprecated]: utiliza el estándar WPA2 moderno con el cifrado TKIP más antiguo. Esto no es seguro y solo es una buena idea si tiene dispositivos más antiguos que no pueden conectarse a una red WPA2-PSK (AES).
- WPA2-PSK (AES): esta es la opción más segura (fuera del WPA3 más nuevo). Utiliza WPA2, el último estándar de encriptación Wi-Fi y el último protocolo de encriptación AES. Debe usar esta opción a menos que su enrutador sea compatible con WPA3; entonces utilícela en su lugar. En algunos dispositivos, solo verá la opción «WPA2» o «WPA2-PSK». Si lo hace, probablemente solo use AES, ya que es una opción de sentido común.
- WPA/WPA2-PSK (TKIP/AES): Algunos dispositivos ofrecen, e incluso recomiendan, esta opción de modo mixto. Esta opción habilita WPA y WPA2, con TKIP y AES. Esto proporciona la máxima compatibilidad con cualquier dispositivo antiguo que pueda tener, pero también permite que un atacante invada su red al descifrar los protocolos WPA y TKIP más vulnerables.
- WPA2/WPA3 personales (AES): Al igual que el híbrido WPA/WPA2, este modo está diseñado para compatibilidad con versiones anteriores. Sus dispositivos solo WPA2 se conectarán usando WPA2 (AES) y sus dispositivos WPA3 usarán el protocolo más avanzado. También puede estar etiquetado como «WPA3 Transitional» o una variación del mismo.
- WPA3 personales (AES): los enrutadores más antiguos no tienen WPA3 y los dispositivos más antiguos no pueden usar WPA3. Pero si tiene un enrutador nuevo que admite WPA3 y todos los dispositivos más nuevos, no hay razón para no cambiar completamente a WPA3.
La certificación WPA2 estuvo disponible en 2004. En 2006, la certificación WPA2 se hizo obligatoria. Cualquier dispositivo fabricado después de 2006 con un logotipo de «Wi-Fi» debe ser compatible con el cifrado WPA2. La certificación WPA3 estuvo disponible en 2018 y cualquier dispositivo certificado después del 1 de julio de 2020 debe ser compatible con WPA3. (Tenga en cuenta el uso de certificado y no fabricado, una empresa aún puede fabricar y vender un diseño anterior que fue certificado antes de la adopción de un nuevo estándar).
Dado que es muy probable que todos los dispositivos Wi-Fi de su red (incluido el propio enrutador) hayan sido certificados y fabricados después de 2006, no hay ninguna razón por la que no deba utilizar ningún protocolo de seguridad inferior a WPA2-PSK (AES). Debería poder seleccionar esa opción en su enrutador y no experimentar ningún problema.
Si tiene un enrutador más nuevo que admite WPA3, le recomendamos que pruebe WPA3 (AES) para pasar al nivel más alto de seguridad. Si tiene algún problema, cambie a WPA2/WPA3 híbrido (AES). De esta manera, los dispositivos más nuevos utilizarán la mejor seguridad y los dispositivos más antiguos recurrirán a WPA2; de cualquier manera, utilizarán AES, lo cual es ideal.
Si no tiene un enrutador más nuevo, probablemente sea hora de reciclarlo y actualizarlo a un enrutador Wi-Fi actual con estándares actualizados y todas las mejoras de Wi-Fi que vienen con él. No es necesario que compre un modelo Wi-Fi 7 de última generación, pero es un buen momento para cambiar a Wi-Fi 6 o Wi-Fi 6E si aún no lo ha hecho.
WPA y TKIP ralentizarán su Wi-Fi
Tal vez has estado leyendo hasta ahora y pensando: «Realmente no me importa mucho la seguridad». Si bien lo alentamos a que se preocupe más por la seguridad de la red Wi-Fi, entendemos que no es una prioridad apremiante para todos.
Así que aquí hay una razón convincente para usar mejores algoritmos de seguridad Wi-Fi que todos puedan respaldar. Las opciones de compatibilidad WPA y TKIP no solo son malas desde el punto de vista de la seguridad. También pueden ralentizar su red Wi-Fi.
Cuando ejecuta WPA/TKIP en un enrutador compatible con 802.11n y estándares más nuevos y más rápidos, se ralentizará a velocidades de 802.11g (54 Mbps) para garantizar la compatibilidad con versiones anteriores de clientes más antiguos. Eso es terriblemente lento.
En comparación, incluso 802.11n (Wi-Fi 4) admite hasta 300 Mbps si usa WPA2 con AES. Sin embargo, la mayoría de la gente tiene enrutadores más nuevos ahora. Si tiene un enrutador 802.11ac (Wi-Fi 5) o 802.11ax (Wi-Fi 6) y está usando WPA/TKIP, está dejando una gran cantidad de rendimiento sobre la mesa.
En las generaciones de Wi-Fi, 802.11g es esencialmente «Wi-Fi 2» y salió en 2003. Simplemente no hay una buena razón para usar un estándar de seguridad de Wi-Fi que sea inseguro, desactualizado y lento.
En caso de duda, elija siempre WPA 2 (AES) o WPA3
Lo hemos dicho varias veces hasta ahora, pero una última vez para enfatizar. Si no está seguro de qué configuración elegir en su enrutador, elija siempre la más segura, y para cualquier ruta realizada después de 2010 más o menos, esa es WPA 2 (AES) o WPA 3.
En la mayoría de los enrutadores que hemos visto certificados antes de 2018, las opciones son generalmente WEP, WPA (TKIP) y WPA2 (AES), con quizás un modo de compatibilidad WPA (TKIP) + WPA2 (AES) en buena medida. Si esto es lo que le ofrece su enrutador, configure su enrutador en WPA2 (AES).
En los enrutadores certificados después de 2018 (especialmente después de la fecha límite del 1 de julio de 2020), encontrará modos de compatibilidad WPA3 y WPA2/WPA3. Recomendamos enfáticamente probar el modo WPA3 puro. Si todo funciona, ¡genial! Tienes la mejor configuración de seguridad Wi-Fi que puedes. Si encuentra que hay algunos elementos más antiguos de misión crítica en su hogar (como un termostato Wi-Fi) que no funcionan bien con WPS, vuelva al modo de compatibilidad WPA2/WPA3.
Pero hagas lo que hagas, es hora de dejar de lado todos los protocolos de seguridad Wi-Fi menores como WEP, WPA y WPA2 (TKIP) para siempre.