Tema 12

12. Seguridad en redes Wi-Fi: WPA2, WPA3, rogue AP y endurecimiento

Las redes inalámbricas extienden la conectividad más allá del cableado y aportan flexibilidad, pero también amplían la superficie de ataque. Proteger Wi-Fi implica mucho más que elegir una contraseña: requiere controlar autenticación, cifrado, cobertura, dispositivos asociados y puntos de acceso no autorizados.

Objetivo Entender cómo endurecer redes inalámbricas
Enfoque Técnico y operativo
Resultado Reducir exposición en el entorno Wi-Fi

12.1 Introducción

La red Wi-Fi tiene una característica que la vuelve especialmente sensible desde el punto de vista de seguridad: el medio es compartido y no se limita físicamente al interior de un gabinete o de un cable. La señal puede ser detectada desde áreas adyacentes, y eso convierte a la red inalámbrica en un frente de exposición muy particular.

Además, las decisiones de seguridad en Wi-Fi impactan directamente en usuarios, dispositivos móviles, invitados, BYOD y entornos corporativos donde la conectividad inalámbrica es crítica. Por eso no alcanza con "poner una clave". Hace falta elegir un estándar de protección adecuado, segmentar, autenticar correctamente y vigilar el entorno radioeléctrico.

12.2 Riesgos propios de una red inalámbrica

  • Intentos de asociación desde fuera del área controlada.
  • Captura de tráfico o metadatos si la protección es débil.
  • Uso de credenciales compartidas entre muchos usuarios.
  • Puntos de acceso no autorizados o falsos.
  • Dispositivos desconocidos conectándose a la red corporativa.
  • Configuraciones heredadas por compatibilidad que reducen seguridad.
En Wi-Fi, el atacante no necesita siempre acceso físico al edificio. A veces le alcanza con estar dentro del alcance radioeléctrico de la red.

12.3 Qué protege la seguridad Wi-Fi

La seguridad inalámbrica busca proteger varios aspectos en simultáneo:

  • Quién puede asociarse al punto de acceso.
  • Cómo se autentican usuarios y dispositivos.
  • Cómo se cifra el tráfico por el aire.
  • Qué red o segmento recibe el cliente una vez conectado.
  • Cómo se detectan comportamientos o infraestructuras no autorizadas.

12.4 WPA2 y su importancia

WPA2 fue durante muchos años el estándar dominante para proteger redes Wi-Fi. Introdujo mecanismos mucho más sólidos que opciones anteriores y permitió un cifrado adecuado para numerosos entornos.

En términos prácticos, WPA2 puede aparecer en dos enfoques principales:

  • WPA2-Personal: basado en clave compartida.
  • WPA2-Enterprise: basado en autenticación individual, normalmente integrada con 802.1X y RADIUS.

La diferencia entre ambos no es menor: uno confía en una clave común; el otro permite identidad individual, trazabilidad y políticas por usuario o dispositivo.

12.5 WPA2-Personal y sus límites

WPA2-Personal es útil en entornos pequeños o domésticos, pero presenta limitaciones importantes para organizaciones:

  • Todos comparten la misma clave.
  • Cuando alguien deja de estar autorizado, suele ser necesario cambiar la clave global.
  • La trazabilidad individual es mucho más débil.
  • La exposición aumenta si la clave se comparte demasiado.

Por eso, en entornos corporativos, suele preferirse WPA2-Enterprise o su evolución moderna.

12.6 WPA2-Enterprise

WPA2-Enterprise combina la seguridad inalámbrica con autenticación centralizada, normalmente mediante 802.1X y RADIUS. Cada usuario o dispositivo puede autenticarse individualmente, lo que mejora control, revocación, trazabilidad y segmentación dinámica.

Sus ventajas son claras:

  • No depende de una clave compartida por todos.
  • Permite revocar acceso individual sin afectar a toda la organización.
  • Facilita integrar políticas según rol, grupo o dispositivo.
  • Se alinea mejor con entornos empresariales y NAC.

12.7 Qué aporta WPA3

WPA3 fue diseñado para mejorar aspectos de seguridad respecto de WPA2, especialmente en escenarios modernos. Entre sus objetivos están robustecer el proceso de autenticación, mejorar protección frente a ciertos intentos de adivinación de contraseñas y elevar el nivel general de seguridad en redes inalámbricas.

Desde una mirada práctica, WPA3 representa una evolución recomendable cuando el hardware y el ecosistema lo soportan adecuadamente. Aun así, muchas organizaciones siguen conviviendo con WPA2 por compatibilidad, por lo que la transición debe evaluarse con criterio.

12.8 WPA2 frente a WPA3

Aspecto WPA2 WPA3
Madurez de despliegue Muy extendido Más moderno, depende de compatibilidad
Modelo básico de protección Robusto si está bien configurado Mejoras adicionales sobre el modelo anterior
Contexto recomendado Ambientes compatibles o heredados Entornos nuevos o actualizados

Más allá del estándar elegido, la seguridad real depende también de cómo se integran autenticación, segmentación y operación.

12.9 Redes de invitados y redes corporativas

Un principio básico del diseño inalámbrico seguro es no tratar del mismo modo a todos los usuarios. La red corporativa y la red de invitados no deberían compartir el mismo nivel de acceso ni de confianza.

Una red de invitados bien diseñada debería:

  • Estar separada de la red corporativa.
  • Permitir acceso limitado, normalmente hacia internet.
  • No compartir recursos internos salvo excepciones muy controladas.
  • Tener políticas, autenticación y monitoreo acordes a su naturaleza.

12.10 Rogue access points

Un rogue access point es un punto de acceso no autorizado dentro o cerca del entorno corporativo. Puede tratarse de un dispositivo conectado por un usuario sin aprobación, de un AP malicioso o de una infraestructura improvisada que crea una puerta no controlada hacia la red.

Su peligrosidad es alta porque rompe el modelo oficial de acceso y puede eludir controles de autenticación, segmentación o monitoreo.

12.11 Evil twin y puntos de acceso falsos

Una variante especialmente peligrosa es el punto de acceso falso que imita a una red legítima. A veces se lo asocia con la idea de evil twin: una red que aparenta ser la original para atraer a los clientes y capturar credenciales, sesiones o tráfico.

Estos escenarios pueden facilitar:

  • Phishing de credenciales Wi-Fi o portales cautivos falsos.
  • Intercepción del tráfico.
  • Redirección de usuarios hacia servicios fraudulentos.
  • Obtención de metadatos sobre dispositivos y comportamientos.

12.12 Cómo reducir el riesgo de rogue AP

  • Mantener inventario claro de puntos de acceso autorizados.
  • Monitorear el espectro o el entorno inalámbrico cuando sea posible.
  • Desalentar la instalación informal de AP por parte de usuarios.
  • Segmentar rigurosamente cualquier conexión no corporativa.
  • Educar a los usuarios para que identifiquen redes legítimas.

12.13 Endurecimiento básico de un entorno Wi-Fi

Endurecer una red inalámbrica significa tomar decisiones técnicas y operativas que reduzcan exposición y mejoren control.

  1. Preferir autenticación empresarial cuando el contexto lo justifique.
  2. Usar estándares de cifrado actuales y configuraciones robustas.
  3. Separar redes por nivel de confianza y función.
  4. Evitar credenciales compartidas innecesarias.
  5. Actualizar firmware y revisar configuración de AP y controladores.
  6. Monitorear asociaciones, eventos anómalos y dispositivos conectados.

12.14 Ubicación, potencia y cobertura

La seguridad inalámbrica también tiene una dimensión física. La ubicación de los access points, la potencia de emisión y el diseño de cobertura influyen sobre la exposición fuera del área esperada.

Un despliegue sin criterio puede generar:

  • Señal innecesariamente fuerte fuera del perímetro físico.
  • Zonas ciegas internas que inducen a configuraciones inseguras.
  • Dependencia de AP improvisados por mala cobertura oficial.

12.15 BYOD, IoT y diversidad de dispositivos

Las redes Wi-Fi suelen ser el punto de entrada de gran variedad de equipos: laptops corporativas, teléfonos personales, impresoras inalámbricas, tablets, sensores y dispositivos IoT. No todos esos activos merecen el mismo nivel de confianza.

Por eso conviene diferenciar:

  • Dispositivos corporativos gestionados.
  • Dispositivos personales de usuarios autorizados.
  • Equipos de invitados o terceros.
  • Dispositivos especiales con capacidades limitadas de seguridad.

Esa diferenciación puede traducirse en SSID distintos, políticas distintas o asignación dinámica de segmentos.

12.16 Errores frecuentes en Wi-Fi corporativa

  • Usar una clave compartida durante años sin rotación ni control.
  • Mezclar invitados y usuarios corporativos en la misma red lógica.
  • Exponer recursos internos a dispositivos de baja confianza.
  • No revisar firmware o configuración de access points.
  • Subestimar el riesgo de puntos de acceso no autorizados.
  • No monitorear qué dispositivos se asocian realmente a la red.

12.17 Seguridad Wi-Fi y autenticación de acceso

La seguridad inalámbrica se conecta directamente con el tema anterior. WPA2-Enterprise o WPA3-Enterprise suelen apoyarse en 802.1X y RADIUS, lo que permite usar identidad individual y políticas centralizadas también en Wi-Fi.

Eso hace que la red inalámbrica deje de ser un entorno separado o "más liviano" y pase a formar parte del mismo modelo de acceso gobernado que el resto de la infraestructura.

12.18 Qué debes recordar de este tema

  • Las redes Wi-Fi amplían la superficie de ataque porque el medio es abierto y compartido.
  • WPA2 y WPA3 protegen la red, pero su valor depende de cómo se implementan y gestionan.
  • Las redes corporativas y de invitados deben estar claramente separadas.
  • Los rogue AP y los puntos de acceso falsos representan riesgos relevantes en entornos inalámbricos.
  • El endurecimiento Wi-Fi combina cifrado, autenticación, segmentación, monitoreo y diseño físico de cobertura.

12.19 Conclusión

La seguridad Wi-Fi requiere una mirada más amplia que la simple protección de la señal. Involucra identidad, control de acceso, segmentación, gobernanza del entorno inalámbrico y capacidad de detectar infraestructuras no autorizadas. Cuando estas piezas se combinan bien, la red inalámbrica puede integrarse de forma segura al resto de la arquitectura.

En el próximo tema estudiaremos VPN, acceso remoto seguro y conexiones entre sedes para ampliar el análisis sobre conectividad más allá de la red local.

Volver al índice