El día 26 de junio de 2018 se hacía oficial el nuevo protocolo de seguridad para las conexiones WiFi, WPA3. Sucesor de WPA2, y nacido para solventar los errores de seguridad anteriormente vistos en el mismo, este protocolo tampoco parece librarse de las vulnerabilidades de seguridad.

En abril del pasado año, un equipo de investigadores aseguró haber descubierto vulnerabilidades críticas en WPA3 y, ahora, poco más de un año después, el mismo equipo asegura haber descubierto otros dos errores adicionales.

Dos nuevos problemas a la vista

Mathy Vanhoef y Eyal Ronen han sido los encargados (al igual que en la anterior ocasión), de descubrir dos nuevos errores en WPA3. El primer error, CVE-2019-13377, afecta al mecanismo (conocido como Dragonfly) de intercambio de claves a la hora de que un usuario se autentique en un punto de acceso WPA3.

"Descubrimos que el uso de las curvas de Brainpool introduce una segunda clase de fugas de canal lateral en el apretón de manos Dragonfly de WPA3. Confirmamos la nueva fuga de Brainpool en la práctica contra la última versión de Hostapd, y pudimos forzar la contraseña mediante la información filtrada".

En cuanto al segundo error, CVE-2019-13456, afecta a la implementación de EAP-pwd (un protocolo de autenticación bastante usado en los estándares WPA) en el marco FreeRadius. En otras palabras, hay una fuga de información a la hora de realizar el proceso de autenticación, lo que permite a los atacantes recuperar las contraseñas de los usuarios.

…