WPA3, riesgos y buenas prácticas¶

Módulo: Seguridad Informática (SMR 2)
RA4: Asegura la privacidad de la información transmitida en redes informáticas, describiendo vulnerabilidades e instalando software específico.

1. Objetivos de aprendizaje¶

Al finalizar esta unidad, el alumnado será capaz de:

Explicar por qué WEP se considera inseguro y por qué WPA2/WPA3 son las opciones recomendadas en la actualidad.
Diferenciar WPA2-Personal, WPA2-Enterprise y WPA3-Personal (concepto y uso típico).
Identificar riesgos comunes en redes inalámbricas (acceso no autorizado, puntos de acceso fraudulentos, malas configuraciones y reutilización de contraseñas).
Proponer y justificar buenas prácticas de configuración y uso seguro de Wi-Fi (en casa, empresa y redes públicas).
Aplicar medidas de protección en Ubuntu 24.04 al conectarse a redes inalámbricas.

2. Contexto profesional¶

En entornos reales (hogares, pymes y centros educativos), la red Wi-Fi suele ser el punto más expuesto: la señal sale al exterior del edificio y cualquier dispositivo dentro del alcance puede intentar conectarse.

Un error frecuente es mantener una configuración antigua porque “funciona”: routers sin actualizar, WPS activado, contraseñas débiles o modos mixtos mal configurados. Esta unidad se centra en entender esos riesgos y en proteger la privacidad de la información transmitida.

3. Qué protege realmente WPA¶

Los protocolos Wi-Fi (WEP/WPA/WPA2/WPA3) protegen el enlace inalámbrico entre el dispositivo y el punto de acceso (AP).

Protegen frente a la escucha del tráfico en el aire (si están bien configurados).
No sustituyen HTTPS/TLS ni corrigen una aplicación insegura.
No eliminan todos los riesgos (por ejemplo, un punto de acceso malicioso o una contraseña compartida con demasiadas personas).

Importante

La seguridad Wi-Fi es una capa más. También se necesita cifrado de extremo a extremo (HTTPS, SSH, VPN) y una buena gestión de accesos.

4. Evolución de protocolos: WEP, WPA, WPA2 y WPA3¶

4.1 WEP (obsoleto)¶

Fue el primer estándar de seguridad Wi-Fi.
Actualmente es inseguro y no debe utilizarse.

4.2 WPA (transitorio)¶

Se diseñó como mejora rápida de WEP.
Hoy se considera no recomendado, salvo compatibilidad con equipos muy antiguos.

4.3 WPA2 (estándar durante años)¶

Sigue siendo válido si se configura correctamente con AES y contraseña robusta.
Se recomienda migrar a WPA3 cuando sea posible por mejoras de seguridad.

4.4 WPA3 (recomendado)¶

Mejora el proceso de autenticación.
Aumenta la resistencia frente a ataques de diccionario en escenarios típicos.
Mejora la privacidad en redes abiertas según perfil y compatibilidad.

5. Comparativa rápida¶

Protocolo	Estado actual	Recomendación	Comentario práctico
WEP	Obsoleto	Nunca	Si aparece en un router, indica equipo antiguo o mala configuración.
WPA	Obsoleto/transitorio	Evitar	Puede mantenerse por compatibilidad, pero no es una opción adecuada hoy.
WPA2	Válido si está bien configurado	Sí, si no hay WPA3	Usar WPA2-AES y contraseña larga. Evitar modos inseguros.
WPA3	Actual	Sí	Opción preferente si AP y clientes lo soportan.

6. Riesgos principales en redes inalámbricas¶

6.1 Contraseñas débiles o compartidas¶

Compartir la clave con muchas personas reduce el control.
Las claves cortas o predecibles facilitan accesos no autorizados.

6.2 WPS activado¶

WPS simplifica la conexión, pero ha sido una debilidad habitual.
Buena práctica: desactivar WPS si no es imprescindible.

6.3 Puntos de acceso fraudulentos (Evil Twin)¶

Un atacante puede crear un AP con el mismo SSID que una red legítima.
El usuario puede conectarse por costumbre y exponer su tráfico.

Medidas defensivas:

Verificar BSSID (MAC del AP) y tipo de seguridad.
Evitar la autoconexión a redes no verificadas.

6.4 Falta de segmentación¶

Riesgo típico:

IoT, móviles, PC e invitados en la misma red.

Buena práctica:

Separar red principal, invitados e IoT (si la infraestructura lo permite).

6.5 Falta de actualizaciones¶

Un router sin firmware actualizado puede mantener vulnerabilidades conocidas.
Lo mismo ocurre con controladores Wi-Fi y sistema operativo.

7. Buenas prácticas de configuración¶

7.1 En el router o punto de acceso¶

Activar WPA3 (o WPA2-AES si no hay compatibilidad).
Desactivar WPS.
Usar una contraseña larga y única para Wi-Fi.
Cambiar las credenciales de administración del router.
Actualizar firmware de forma periódica.
Separar red principal y red de invitados.
Revisar dispositivos conectados de forma periódica.

7.2 En Ubuntu 24.04¶

No autoconectar a redes abiertas si no es imprescindible.
Evitar guardar redes desconocidas.
Mantener el sistema actualizado.
Activar cortafuegos cuando proceda (especialmente en redes públicas).
Priorizar protocolos cifrados (HTTPS/SSH/VPN).

8. Comandos útiles en Ubuntu 24.04¶

8.1 Actualizar el sistema¶

sudo apt update && sudo apt full-upgrade -y

8.2 Ver redes Wi-Fi detectadas¶

nmcli dev wifi list

8.3 Ver conexiones guardadas¶

nmcli connection show

8.4 Eliminar una red guardada¶

nmcli connection delete "NOMBRE_DE_LA_RED"

8.5 Comprobar el estado del cortafuegos (UFW)¶

sudo ufw status verbose

8.6 Activar UFW¶

sudo ufw enable

9. Actividades rápidas para clase¶

Actividad 1: Escenario¶

Una pyme tiene:

Un router antiguo con WEP porque algunos dispositivos viejos lo necesitan.
WPS activado.
La misma contraseña Wi-Fi desde hace 6 años.

Tareas:

Identificar 4 riesgos.
Proponer 5 medidas priorizadas (de más urgente a menos).
Explicar el impacto de migrar a WPA2/WPA3.

Actividad 2: Diseño de red¶

Dibujar una red Wi-Fi corporativa mínima con:

SSID principal
SSID de invitados
Dispositivos IoT en red separada (si es posible)
Salida a Internet

Explicar qué mejora aporta la segmentación.

10. Ideas clave de cierre¶

WEP y WPA no son opciones aceptables en la actualidad.
WPA2 sigue siendo válido si está bien configurado.
WPA3 es preferible cuando la compatibilidad lo permite.
La seguridad Wi-Fi depende tanto del cifrado como de la gestión: WPS, firmware, segmentación, control de acceso y hábitos de uso.