Conoce Atico34 - Solicita presupuesto
CiberseguridadInternet

Qué es el WPS de los routers, cómo funciona y por qué deberías desactivarlo

Si tienes un router con Wi-Fi en casa al que conectas todos tus aparatos electrónicos con conexión, no te pierdas esta entrada en la que vamos a explicar qué es el WPS, cómo funciona y por qué puede suponer un riesgo para tu conexión.

¿Qué es el WPS (Wi-Fi Protect Setup)?

Actualmente, la mayoría de dispositivos electrónicos de nuestro hogar tienen la capacidad de conectar de manera inalámbrica al router que tenemos en casa para poder acceder a Internet (desde los móviles, pasando por consolas, altavoces inteligentes o televisiones). La forma más habitual de conectar estos dispositivos es introduciendo la contraseña WPA/WPA2 que podemos encontrar en el propio router, pero existe una forma alternativa para hacerlo mediante WPS.

¿Pero cuál es el significado de WPS? Igual has visto escrito WPS en el router, pero no te has parado a mirar el libro de instrucciones para saber a qué hacen referencia. No te preocupes, te lo contamos aquí.

WPS son las siglas de Wi-Fi Protected Seput, o lo que es lo mismo, se trata de un protocolo de seguridad diseñado específicamente para las redes Wi-Fi domésticas. Un método de autentificación creado para facilitar el acceso a redes seguras de forma más sencilla.

Se introdujo en 2007, con la aparición del estándar Wi-Fi 4 o Wi-Fi N, aunque actualmente la Wi-Fi Alliance ya lo ha dado de baja por considerarlo inseguro. Sin embargo, esto no quiere decir que no siga en uso, porque mientras estemos en la transacción hacia el WPA3, los routers seguirán incorporándolo para dar compatibilidad con equipos más antiguos.

De manera que tened en cuenta que todos los equipos con estándar Wi-Fi 4 en adelante lo incorporan y seguramente vuestro router cuenta con él.

wps

¿Cómo funciona el WPS?

El WPS lo que hace es facilitar la conexión a la red inalámbrica, ya que hace innecesario conocer la larga contraseña para acceder a dicha red. Es lo hace de dos formas de conexión posibles: bien a través de botón WPS del router (WPS button) o bien introduciendo un código PIN de 8 dígitos.

A través de un botón en el router

Si optamos por esta opción, basta con pulsar el botón WPS en el router durante unos segundos y buscar la red con el dispositivo que se quiera conectar. El dispositivo encontrará la red y quedará conectado de forma automática sin necesidad de introducir ninguna contraseña o código PIN.

Para evitar accesos indeseados, el tiempo en que está abierta la conexión para buscarla es breve, entre uno o dos minutos, cerrándose después para volver a quedar segura la red.

En general, muchos fabricantes se han decantado por esta opción para conectar otros dispositivos al router Wi-Fi, ya que es más segura que el método con el PIN.

Introduciendo un código PIN

La opción de introducir un código PIN nos permite conectarnos a la red inalámbrica sin necesidad de pulsar el botón WPS físicamente, simplemente escribiendo el código de 8 cifras que tengamos configurado en nuestro router.

Sin embargo, y como veremos un poco más adelante, este método es el más inseguro y el que puede tener más problemas.

¿Cómo activarlo/desactivarlo?

El WPS puede activarse y desactivarse con relativa facilidad. Evidentemente, si solo usamos el botón WPS, mientras que no lo pulsemos no estará activado. Pero si se conecta a través de código PIN, habrá que desactivar el WPS desde el firmare del router.

Para proceder a esa desactivación introduciremos en nuestro navegador la IP 192.168.1.1 para acceder a la interfaz de nuestro router. Y dependiendo de nuestro proveedor de Internet y el tipo de router, será cuestión de encontrar la opción de WPS.

En el router HGU de MoviStar el WPS está en las opciones de configuración del Wi-Fi, en el apartado de seguridad, donde simplemente deberemos desactivarlo y guardar los ajustes. Además, medinate el botón “configurar AP” podremos crear un nuevo código PIN de manera automática.

En el Livebox Fibra y LiveBoz Plus de Orange y Jazztel debemos entrar en la pestaña de Wi-Fi y un poco más abajo veremos la opción de “emparejado por WPS” para poder desactivarlo, guardamos los ajustes y listo.

En el Compal CG7486E de Vodafone tenemos esta opción en la pestaña de Wi-Fi, entramos en el apartado WPS y lo desactivamos y guardamos los cambios. Aquí también podremos generar un nuevo código PIN con “generar PIN AP”.

Finalmente, el ZTE F680 de MásMóvil (y en algunos casos Jazztel) no incluye esta opción de código PIN para el WPS, por lo que en estos routers solo se puede activar mediante el botón físico o desde la pestaña WPS PBC de la interfaz.

Han sido descubiertas varias vulnerabilidad en el WPS de los routers

La principal vulnerabilidad del WPS está en el código PIN; este código no es una cifra de 8 números en sí, si no que está dividido en dos subpines de 4 dígitos cada uno, con el último dígito del segundo PIN siendo un checksum. Esto facilita bastante el crackeo de un PIN, porque las combinaciones a probar se reducen a 11.000. Si a esto le sumamos que en algunas ocasiones el PIN viene configurado de fábrica y no se cambia o está basado en los números del propio router, las posibilidades de crackeo aumentan.

Además, existen herramientas para hackear redes Wi-Fi que facilitan mucho más estos ataques como Dumper, Bully o Reaver. O incluso un WPS PIN generator o una aplicación WPS connect, que aunque puede presentarse para un uso legal, puede permitir ver el PIN de las conexiones WPS activas de los routers.

¿Qué están haciendo los fabricantes para evitarlas?

Al descubrir estas vulnerabilidades los fabricantes empezaron a incorporar a su firmwares métodos para evitar ataques por fuerza bruta; por ejemplo, actualmente, si introducimos de forma errónea el código PIN una serie de veces, entre 3 o 5, este acceso se bloquea automáticamente hasta que se reinicia el router.

Hay fabricantes que directamente han deshabilitado la opción de usar el código PIN para acceder a la red mediante WPS y solo se puede usar el botón físico. Este método es más seguro, aunque no infalible, porque a través de WPS no se deja de generar un código de 8 dígitos, si bien la conexión está abierta solo un pequeño período de tiempo.

Cabe señalar que el WPS dejará de usarse en la próxima generación de equipos inalámbricos sustituido por Wi-Fi Easy Connect, que entre otros, utiliza un protocolo basado en el escaneo de códigos QR para conectar los dispositivos móviles.

¿Qué deberías hacer tu para protegerte?

Lo más recomendable para proteger nuestra red inalámbrica de posibles ataques es desactivar el WPS directamente, de esa forma nos aseguramos que nadie podrá acceder a nuestro Wi-Fi sin nuestro consentimiento (o un mayor esfuerzo por su parte, puesto seguro no hay nada al 100%). Así que repasa nuestra pequeña guía de unas líneas más arriba y desconecta el WPS. Sí, es más pesado tener que introducir la clave WPA/WPA2, pero sin duda es más seguridad para tu conexión y tus equipos.