Configura seguridad WPA3 y OWE para invitados en routers AVM FRITZ!Box

El fabricante alemán AVM ha hecho un gran trabajo con la última actualización para sus routers FRITZ!Box. Una de las novedades más importantes del sistema operativo FRITZ!OS 7.20, es la incorporación de la seguridad WPA3 para la red inalámbrica doméstica, con la finalidad de tener la mejor protección inalámbrica posible. Además, también han incorporado OWE (Opportunistic Wireless Encryption) para la red Wi-Fi de invitados. Os vamos a enseñar cómo configurar la seguridad WPA3 y OWE para la red de invitados en routers FRITZ!Box.

¿Por qué configurar WPA3 en mi router FRITZ!Box?

WPA3 es el nuevo protocolo de seguridad de las redes inalámbricas, todos los nuevos dispositivos, tanto routers, APs, PLC con Wi-Fi, tarjetas Wi-Fi y sistemas operativos, son o serán compatibles con el nuevo estándar. Este nuevo protocolo ofrece una mejor protección frente a ataques de fuerza bruta offline, es decir, un atacante no podrá hacer como en WPA2 que capture el handshake y realice un ataque de fuerza bruta con Hashcat. Tampoco sería posible utilizar ataques de diccionario, donde un atacante tiene una lista de millones de contraseñas, y va probando una tras otra hasta dar con la correcta.

Actualmente estamos en un periodo de transición, los primeros dispositivos Wi-Fi con WPA3 ya están en el mercado, pero aún tendremos que esperar muchos meses e incluso un año, hasta que esté ampliamente aceptado y todos los dispositivos que conectemos tengan esta función. Un detalle importante, es que no todos los dispositivos Wi-Fi antiguos recibirán una actualización a WPA3.

FRITZ!OS en su última versión, permite configurar el modo WPA «WPA2 + WPA3» (Modo de transición) en el FRITZ!Box, que soporta conexiones WPA3 y WPA2 al mismo tiempo, para que los dispositivos que no soporten el nuevo estándar, se conecten con el WPA2 de siempre.

Comprobar la versión del firmware FRITZ!OS de nuestro FRITZ!Box

Lo primero que tenemos que hacer para configurar WPA3 y OWE en nuestro router FRITZ!Box, es comprobar si tenemos la versión de firmware FRITZ!OS 7.20 o superior, si no tenemos esta versión de firmware 7.20, no tendremos la opción de WPA3, es requisito imprescindible tenerlo. Si tu router actualmente no dispone de esta versión de firmware, tendrás que esperar hasta que AVM lance la nueva versión para tu modelo.

Para acceder al router, ponemos en la barra del navegador fritz.box, o también podemos poner la puerta de enlace predeterminada del router, que, por defecto, es 192.168.178.1. Una vez que hayamos entrado, veremos en el menú principal todo el estado general del router, incluyendo la versión del firmware en la parte superior derecha.

Para tener acceso a todas las opciones de configuración del router, es recomendable activar la «Vista avanzada». Para ello, pulsamos en la parte superior derecha en el icono de tres puntos verticales, y activamos la vista avanzada, tal y como podéis ver aquí:

Una vez hecho esto, ya podremos configurar la seguridad WPA3 en nuestro router.

Configurar la seguridad WPA3 para la red principal

Para configurar la red inalámbrica Wi-Fi con WPA3, lo primero que nos tenemos que asegurar es que tengamos activados los SSID en sus correspondientes bandas de frecuencia Wi-Fi, para ello, debes irte a «Wi-Fi / Red Inalámbrica» y asegurarnos de tener las dos radios del router y los SSID configurados correctamente, tal y como hemos tenido siempre.

En la sección de «Wi-Fi / Seguridad» es donde podremos configurar el nuevo cifrado WPA3. Hasta el momento, la máxima seguridad era siempre hacer uso de WPA2 (CCMP), y con su correspondiente contraseña de acceso de entre 8 y 63 caracteres.

Ahora si desplegamos el menú de «Modo WPA«, podremos ver que existe una nueva opción denominada «WPA2 / WPA3«. Esto significa que los dispositivos compatibles con WPA3, se conectarán con este tipo de seguridad, mientras que los dispositivos que no sean compatibles con WPA3, se podrán seguir conectando sin problemas con WPA2. Actualmente estamos en una época de transición entre el WPA2 y el WPA3, y es posible que muchos dispositivos no soporten el nuevo estándar, aunque lo más normal es que los nuevos dispositivos y los últimos sistemas operativos sí lo soporten.

AVM nos recomienda una serie de indicaciones sobre el uso del modo WPA2 + WPA3. Si un dispositivo ya se ha conectado con WPA2, tendremos que olvidar la red Wi-Fi y volvernos a conectar desde cero, para que el dispositivo negocie el nuevo cifrado, y se conecte vía WPA3 ya que siempre va a tener prioridad sobre WPA2.

También nos indica que cualquier sistema operativo Windows 10 a partir de la versión 1903, y con los drivers de la tarjeta Wi-Fi correctamente instalados y actualizados a su última versión, puede conectarse con el estándar WPA3 sin problemas. Además, nos indica que los dispositivos Apple pueden usar WPA3 a partir de iOS 13 o iPadOS 13. Por último, si vas a conectar un dispositivo vía WPS, solamente podrá utilizar WPA2 ya que no es compatible con WPA3.

Pinchamos en «Aceptar» para quitar este mensaje.

Cuando lo hayamos hecho, podemos dejar la misma contraseña PSK (Pre-Shared Key) que tenemos configurada de antes, aunque sería recomendable cambiarla periódicamente. Pinchamos en «Aplicar» y ya habremos configurado WPA3 en nuestro router FRITZ!Box.

Tal y como habéis visto, este proceso es muy rápido y sencillo, ahora solo faltaría conectar todos los dispositivos Wi-Fi nuevamente, para que de manera interna usen WPA3 (los que lo soporten), en lugar de WPA2. Algunos dispositivos deben eliminarse la conexión recordada anteriormente, para establecer una nueva conexión desde cero.

Debemos tener en cuenta que no todas las tarjetas Wi-Fi son compatibles con WPA3, debemos mirarlo en sus especificaciones técnicas, y bajar el último driver disponible.

Configurar seguridad OWE para la red de invitados

La seguridad WPA3 también trajo consigo el protocolo OWE. En las redes Wi-Fi de invitados tenemos dos opciones principalmente para conectarnos:

• Introducir una clave WPA2 + WPA3 PSK para los clientes inalámbricos
• Dejar la red Wi-Fi abierta sin contraseña.

En este último caso, los datos viajarían por la red inalámbrica sin ningún tipo de cifrado, cualquier usuario podría poner a funcionar un sniffer y obtener datos privados, e incluso realizar ataques activos como los de Man in the Middle.

El protocolo OWE nació para que en una red Wi-Fi pública o de invitados, no tengamos que meter ninguna contraseña de acceso (autenticación), pero que los datos entre el cliente Wi-Fi y el AP o router Wi-Fi sí estén cifrados. Gracias a OWE, las comunicaciones entre los dispositivos tendrán una capa de cifrado.

Si quieres habilitar tu red Wi-Fi de invitados del FRITZ!Box con seguridad WPA2 + WPA3, podrás hacerlo fácilmente ya que es la opción predeterminada, seleccionamos el tipo de cifrado y la contraseña, y aplicamos los cambios. No tendremos que realizar ningún paso adicional.

Si elegimos la opción de «Zona de acceso Wi-Fi pública«, entonces los clientes inalámbricos no tendrán que introducir la contraseña Wi-Fi, por defecto, AVM ha configurado OWE si seleccionamos esta opción.

En la parte inferior de la configuración del Wi-Fi de invitados, podremos ver otras opciones avanzadas, donde nos permitirá habilitar o deshabilitar OWE. Un aspecto muy importante es que los clientes inalámbricos deben soportar OWE para poder usarlo, es decir, las tarjetas Wi-Fi y los sistemas operativos compatibles con WPA3, también lo serán con OWE, pero el resto no, por lo que debemos tener mucha precaución si nos conectamos a redes Wi-Fi públicas.

Tal y como habéis visto, AVM ha hecho un gran trabajo con el nuevo FRITZ!OS 7.20, dotándole de seguridad WPA3 para la red principal y también la red de invitados, además, podremos configurar la red Wi-Fi de manera abierta con seguridad OWE de tal forma que los datos de los clientes inalámbricos viajen cifrados.

El artículo Configura seguridad WPA3 y OWE para invitados en routers AVM FRITZ!Box se publicó en RedesZone.