La Alianza Wireless Broadband (WBA) ha publicado un nuevo informe de directrices de seguridad wifi con el objetivo de reforzar la confianza, la privacidad y el roaming fluido a escala global en redes públicas, empresariales, IoT y entornos de itinerancia. El documento plantea un marco sectorial para reducir riesgos operativos y homogeneizar prácticas de seguridad en distintos tipos de despliegues.
Según la organización, la expansión de los servicios digitales apoyados en wifi ha incrementado la exposición a amenazas como puntos de acceso fraudulentos, robo de credenciales, brechas de privacidad y ataques de señalización. La guía busca limitar esos riesgos mediante un enfoque estandarizado que, además, facilite la interoperabilidad entre redes y socios y aporte mayor previsibilidad a operadores y empresas al desplegar o ampliar servicios wifi.
Marco de seguridad wifi para roaming, empresa e IoT
El informe se apoya en tecnologías ya implantadas, entre ellas OpenRoaming y Passpoint, y propone un esquema de protección de extremo a extremo que abarca desde la autenticación de dispositivos hasta la seguridad física y del backhaul, la protección de capa 2, la adopción de RadSec, la gobernanza de federaciones y la preparación ante criptografía poscuántica.
La WBA sostiene que la aplicación conjunta de medidas interoperables en autenticación, cifrado, privacidad de identidad, gestión de credenciales, infraestructura, señalización del plano de control y gobierno federado puede acercar la conectividad Wi-Fi a niveles de seguridad e interoperabilidad comparables a los de las redes celulares.
Autenticación, cifrado y protección de credenciales
Entre las medidas recogidas en las directrices figura la autenticación mutua mediante 802.1X y métodos EAP robustos, con validación de certificados de red por parte de los dispositivos antes de compartir credenciales, para evitar la conexión a redes falsas o puntos de acceso maliciosos. El documento también establece el uso de WPA2/WPA3-Enterprise con cifrado AES y Protected Management Frames (PMF), con el fin de preservar la confidencialidad e integridad del tráfico y reducir ataques de sniffing pasivo, desautenticación e intermediario.
En materia de privacidad, el marco plantea el uso de identidades anónimas, identidades internas cifradas, seudónimos y Chargeable-User-Identity (CUI) para proteger la información personal durante la autenticación sin impedir funciones de interceptación legal, facturación o gestión de incidentes. Asimismo, contempla la protección de credenciales durante todo su ciclo de vida, con almacenes seguros en los sistemas operativos, endurecimiento del almacenamiento en proveedores de identidad y uso de SIM y USIM resistentes a manipulaciones.
Control y cifrado
Las directrices extienden la seguridad más allá del enlace radio e incluyen recomendaciones sobre protección física de puntos de acceso y controladores, cifrado de enlaces entre AP y controlador, diseño seguro del backhaul y arquitecturas de salida local. También promueven inspección de tráfico en capa 2, aislamiento de clientes, proxy ARP y controles de multidifusión y difusión para limitar ataques laterales entre dispositivos conectados.
En el plano de control, la WBA recomienda de forma expresa el uso de Radius sobre TLS o DTLS en todos los intercambios AAA y de roaming, en línea con OpenRoaming y los requisitos WRIX, para evitar la interceptación o manipulación del tráfico de autenticación y contabilidad. La organización ha publicado además un documento de preguntas frecuentes sobre seguridad wifi dirigido a usuarios, empresas y operadores, mientras que el informe completo wifi Security Guidelines puede descargarse desde su web.