No uses WEP, por tu bien.
Hace tiempo que está comprobada la debilidad del protocolo WEP para la encriptación de datos en comunicaciones inalámbricas. El FBI lo demostró y el resto lo usa(mos) para acceder gratis a Internet a través de la conexión del vecino. Es tan fácil conseguir la clave WEP que lo más complicado resulta obtener la puerta de acceso y demás (DHCP, MACs,…). Lo que no resulta es, sin embargo, un proceso rápido. Para obtener la clave WEP, hace falta obtener alrededor de 300,000 paquetes IV (Vectores de Inicialización), que viajan como parte del flujo de encriptación. Con una cifra parecida de paquetes, es cuestión de segundos obtener la clave mediante cualquiera de los muchos programas disponibles. Lo malo es que para capturar semejante número de tramas hace falta que la red transfiera datos de forma masiva (unos 4 millones de paquetes), y aun así son necesarias horas o días para llegar a buen puerto (al menos en la experiencia de un servidor, que tiene al vecino casi de continuo jugando al Quake online).
Sin embargo, tres investigadores de la Darmstadt University of Technology en la ciudad alemana de Darmstadt han desarrollado un método que requeriría menos de tres segundos para obtener una clave WEP de 104 bits, usando un Pentium M a 1.7GHz, a partir del flujo de datos. Además, este flujo sería capturado en cuestión de minutos, no de horas como hasta ahora. El próximo fin de semana (7 de abril 2007), está previsto que hagan una demostración pública en una conferencia de seguridad a celebrar en Hamburgo.
Más específicamente, en el artículo que publicaron para hacer público su descubrimiento, afirman que para un 50% de porcentaje de éxito son necesarios tan sólo 40,000 paquetes, y la cifra asciende a 85,000 para una probabilidad del 95%. Si se compara con los 4,000,000 de paquetes requeridos por los algoritmos actuales, parece claro que los que desarrollaron el algoritmo WEP no deben estar muy contentos.
La gente no parece preocuparse mucho por los temas de seguridad, y la prueba es que muchas redes privadas no usan ningún tipo de seguridad, y las que lo hacen, la mayoría emplean aún WEP. Al menos muchos de los routers que envían las operadoras tienen WEP implementado por defecto. Si pensamos que, con algunas excepciones, el acceso al correo electrónico se hace sin emplear encriptación (POP3 por ejemplo), deberíamos pensarlo dos veces antes de poner una contraseña en ningún formulario cuando navegamos usando una WIFI no segura. Y si añadimos que en muchos casos se usa una contraseña para todo. Moraleja: cuidado, porque nunca sabes quien está escuchando.
