Seguridad WPA4 y evolución de WEP, WPA, WPA2 y WPA3

Inicio » Internet » Seguridad WPA4 y evolución de WEP, WPA, WPA2 y WPA3

La seguridad de las redes WiFi se ha convertido en un tema clave en nuestro día a día: teletrabajo, ocio digital, domótica, videollamadas… todo pasa por el router. Con tanta sigla (WEP, WPA, WPA2, WPA3, WPA4, TKIP, AES, SAE, etc.) es normal que uno se haga un lío y no tenga claro qué protocolo es seguro y cuál deberías desactivar cuanto antes.

Además, los nuevos estándares Wi‑Fi como Wi‑Fi 6E y Wi‑Fi 7 llegan acompañados de mejoras de seguridad importantes, entre ellas la evolución lógica de WPA3 hacia un esquema que muchos fabricantes y documentos técnicos ya empiezan a llamar, de forma informal, “WPA4”. Entender qué aporta cada generación y qué riesgos hay si sigues usando cifrados antiguos es básico si no quieres dejar tu red vendida a ataques de fuerza bruta, espionaje de tráfico o suplantación de puntos de acceso.

Evolución de la seguridad WiFi: de WEP a WPA4 pasando por WPA2 y WPA3

Las primeras redes inalámbricas se protegían con WEP (Wired Equivalent Privacy), un protocolo de finales de los 90 que pretendía ofrecer una seguridad “equivalente al cable”. Utilizaba el cifrado RC4 con claves de 64 o 128 bits y una clave estática compartida por todos los dispositivos de la red. Esa clave se introducía en el router y en cada equipo, y todo el tráfico se cifraba igual, lo que facilitaba que, con el tiempo, los atacantes pudieran deducirla analizando suficientes paquetes.

Con el aumento de la potencia de cálculo y la aparición de herramientas específicas, las debilidades de WEP quedaron en evidencia: ataques de intermediario, recuperación rápida de la clave, modificación de paquetes… Wi‑Fi Alliance lo declaró oficialmente obsoleto en 2004, pero todavía hoy hay redes que lo siguen usando por desconocimiento o porque el hardware es demasiado antiguo para soportar otra cosa. Si te preocupa, puedes revisar tu red inalámbrica.

Para tapar el agujero lo antes posible, la industria introdujo WPA (Wi‑Fi Protected Access) hacia 2003. Fue un estándar de transición que reutilizaba gran parte de la infraestructura de WEP pero incorporando el protocolo TKIP (Temporal Key Integrity Protocol), que permitía cambiar las claves de cifrado dinámicamente durante la sesión. Aunque seguía basado en RC4, TKIP añadía un vector de inicialización más largo, mezcla de claves por paquete y un código de integridad de mensaje (MIC, conocido como “Michael”) para detectar modificaciones no autorizadas.

WPA, pese a estas mejoras, no era la panacea. El protocolo TKIP heredaba muchas limitaciones y se descubrió que era vulnerable a ataques de recuperación de keystream y reinyección de tráfico, especialmente cuando se explotaban las funciones de calidad de servicio (QoS) del estándar 802.11e. Esto permitió a los investigadores adaptar técnicas como el ataque CHOP CHOP de WEP a redes WPA‑TKIP, pudiendo inyectar tráfico en determinadas condiciones. Si sospechas intrusos, puedes saber qué dispositivos están conectados a tu WiFi.

En paralelo, el IEEE trabajaba en el estándar 802.11i, que dio lugar al nacimiento de WPA2. WPA se consideró un mecanismo de migración, mientras que WPA2 se consolidó como la “versión final” del estándar robusto de seguridad inalámbrica, con cifrado fuerte basado en AES y un marco de seguridad robusta (RSN) mucho más sólido.

Cómo funcionan WPA y WPA2: TKIP, AES, PSK y Enterprise

WPA y WPA2 definen dos grandes modos de operación: Personal (PSK) y Enterprise. En el modo Personal, pensado para hogares y pequeñas oficinas, toda la seguridad gira en torno a una frase de paso compartida (Pre Shared Key). Esa contraseña se configura en el router y se introduce en cada dispositivo que se conecta. Es un sistema sencillo pero tiene inconvenientes: cuando cambias la clave, hay que actualizarla manualmente en todos los equipos y cualquiera que tenga acceso al dispositivo puede ver u obtener la contraseña guardada.

En el modo WPA/WPA2‑Enterprise, en cambio, la autenticación se basa en 802.1X y un servidor RADIUS. Cada usuario se conecta con sus credenciales individuales (usuario/contraseña, certificados, etc.) y el sistema genera claves únicas por sesión. Los clientes nunca manejan directamente las claves de cifrado de la red; estas se negocian de manera transparente tras la autenticación. Es el esquema habitual en empresas, universidades y organizaciones que necesitan controlar de forma centralizada quién entra a la red y revocar accesos sin cambiar contraseñas a todo el mundo.

En cuanto al cifrado, el primer WPA empleó principalmente TKIP, que hoy se considera inseguro y obsoleto. TKIP se diseñó para poder ser soportado por el hardware antiguo que solo entendía RC4, pero a costa de arrastrar debilidades de diseño. WPA2 introdujo de forma obligatoria el uso de CCMP basado en AES (a menudo llamado AES‑CCMP), un mecanismo mucho más robusto que proporciona confidencialidad e integridad de los datos en un único esquema criptográfico.

En la práctica, muchos puntos de acceso ofrecen combinaciones como WPA‑PSK‑TKIP, WPA2‑PSK‑CCMP o incluso modos mixtos del tipo PSK‑(TKIP|CCMP), con el objetivo de mantener compatibilidad con equipos viejos. Sin embargo, los expertos recomiendan desactivar WPA “a secas” y TKIP siempre que sea posible, dejando únicamente WPA2‑PSK‑CCMP o WPA2‑Enterprise con AES, que es lo que consideramos hoy el mínimo razonable de seguridad en una red WiFi doméstica o profesional.

Conviene tener presente que, aunque el cifrado AES sea muy fuerte, WPA2 tiene puntos débiles. El más conocido es el ataque KRACK (Key Reinstallation Attack), que explota el proceso de 4‑way handshake entre el cliente y el punto de acceso para forzar la reinstalación de claves ya usadas. Esto puede permitir a un atacante descifrar parte del tráfico. Aun así, los dispositivos se pueden parchear vía firmware y WPA2 sigue siendo muy superior a WEP o WPA‑TKIP.

WPA3: el salto a una seguridad WiFi realmente robusta

Con el auge de dispositivos conectados, redes públicas y ataques avanzados, la Wi‑Fi Alliance lanzó WPA3 en 2018 como la tercera generación de acceso Wi‑Fi protegido. WPA3 se integra de forma natural con Wi‑Fi 6 y posteriores, y mejora tanto el modo Personal como el Enterprise, añadiendo nuevas funciones orientadas a reforzar los puntos más débiles de WPA2, especialmente las contraseñas poco robustas y la protección en redes abiertas.

En WPA3‑Personal se abandona el viejo esquema de PSK y se adopta SAE (Simultaneous Authentication of Equals), un protocolo de intercambio de claves basado en técnicas de conocimiento cero que hace mucho más resistente el proceso de autenticación frente a ataques de diccionario offline. Aunque el usuario sigue viendo “una contraseña de WiFi”, internamente el protocolo es completamente distinto y evita que un atacante capture el handshake y pruebe millones de contraseñas de forma desasociada de la red.

Otra novedad de peso es la cifra de datos individualizada incluso en redes abiertas, gracias a OWE (Opportunistic Wireless Encryption). Este mecanismo está pensado para entornos como cafeterías, hoteles o aeropuertos, donde te conectas sin introducir clave. Con WPA2 abierto, cualquiera podía espiar fácilmente el tráfico de otros usuarios conectados al mismo punto de acceso. OWE genera claves únicas por cliente, de forma que, aunque no haya autenticación tradicional, el tráfico se cifra y se dificulta mucho el espionaje entre usuarios.

En el ámbito empresarial, WPA3‑Enterprise da un paso más al ofrecer perfiles de seguridad de 192 bits para organizaciones que necesitan niveles equivalentes a los requeridos por normativas gubernamentales y entornos de alta seguridad. Esto implica el uso de suites criptográficas reforzadas (AES‑GCMP‑256, SHA‑384, etc.), compatibles con estándares como FIPS 140‑2 que exigen algunas administraciones públicas.

Además, WPA3 incorpora protecciones contra ataques de fuerza bruta offline: en lugar de permitir que un atacante capture el handshake y luego pruebe contraseñas sin límite en su casa con GPUs, el protocolo obliga a interactuar con el punto de acceso para cada intento. Eso reduce drásticamente la viabilidad de ataques masivos, sobre todo si has elegido una clave mínimamente decente.

De WPA3 a WPA4: seguridad en la era de Wi‑Fi 7

El despliegue de Wi‑Fi 6E y Wi‑Fi 7 no solo trae más velocidad y menor latencia; también consolida una nueva generación de seguridad. Wi‑Fi 7, conocido como 802.11be, está diseñado para alcanzar velocidades teóricas cercanas a 40‑46 Gbps utilizando las bandas de 2,4, 5 y 6 GHz, y optimiza el rendimiento en entornos con muchísimos dispositivos conectados gracias a técnicas como MLO (Multi‑Link Operation) y mejoras en la gestión del espectro.

En el plano de la protección, los documentos de fabricantes y la literatura técnica apuntan a la integración de un nuevo escalón de seguridad sobre WPA3, que muchos ya denominan informalmente “WPA4”. Bajo este paraguas se engloba la combinación de cifrados de alta entropía, autenticación reforzada y mitigaciones adicionales frente a ataques avanzados, pensadas específicamente para los escenarios de hiperconectividad que plantea Wi‑Fi 7.

En redes Wi‑Fi 7 de gama alta, los puntos de acceso integran cifrado de 128 bits como mínimo en escenarios personales y suites de 192 bits o superiores en entornos Enterprise, heredando y extendiendo las capacidades de WPA3‑Enterprise. La idea es reducir aún más la superficie para ataques de diccionario, mantener la confidencialidad de reenvío (forward secrecy) y ofrecer una resistencia adecuada ante la potencia de cálculo actual y futura.

Los materiales comerciales suelen presentar este nuevo nivel de seguridad como “WPA4” para diferenciarlo del WPA3 clásico que asociamos a Wi‑Fi 6, aunque a nivel de estandarización formal la evolución es más continuista: se amplían las suites de cifrado, se refuerza la autenticación simultánea de iguales y se endurecen requerimientos mínimos para la certificación de dispositivos.

En paralelo, los sistemas operativos también ponen de su parte. Microsoft, por ejemplo, ha anunciado que Windows 11 dejará de aceptar conexiones con protocolos inseguros como WEP o WPA/WPA2‑TKIP en futuras versiones, mientras que actualmente ya muestra advertencias cuando intentas conectarte a redes con estos cifrados. El objetivo es forzar una transición práctica hacia WPA2‑AES, WPA3 y las generaciones posteriores asociadas a Wi‑Fi 7.

Relación entre estándares Wi‑Fi (1‑7) y protocolos de seguridad WPA

Para situar cada protocolo de seguridad en contexto, conviene repasar brevemente la evolución de los estándares Wi‑Fi 802.11. El Wi‑Fi original (802.11 de 1997) ofrecía velocidades modestas en la banda de 2,4 GHz y se protegía inicialmente con WEP. Posteriormente llegaron 802.11b (Wi‑Fi 1), 802.11a (Wi‑Fi 2) y 802.11g (Wi‑Fi 3), que mejoraban la velocidad hasta los 54 Mbps y mantenían el uso de WEP y las primeras implementaciones de WPA.

Con Wi‑Fi 4 (802.11n), aparecieron tecnologías como MIMO y el soporte de bandas de 2,4 y 5 GHz, lo que impulsó la adopción de WPA2 como opción de seguridad básica obligatoria en los routers certificados desde 2006. Wi‑Fi 5 (802.11ac) dio otro salto de rendimiento, introdujo MU‑MIMO y mantuvo la compatibilidad con WPA2, mientras que muchos dispositivos empezaron a prepararse para WPA3 aunque aún no fuera obligatorio.

El estándar Wi‑Fi 6 (802.11ax) y su extensión Wi‑Fi 6E optimizan el rendimiento en redes saturadas, incorporando tecnologías como OFDMA y el uso de la banda de 6 GHz, ideal para reducir interferencias. Aquí ya vemos WPA3 como protagonista: cifrado mínimo de 128 bits en modo Personal, posibilidad de 192 bits en Enterprise y soporte generalizado de SAE y OWE en puntos de acceso modernos.

Por su parte, Wi‑Fi 7 (802.11be) sigue esta línea y eleva el listón: mayor capacidad, más eficiencia energética y una capa de seguridad alineada con lo que muchos proveedores denominan WPA4. Aunque la adopción masiva llevará algunos años, los primeros routers y dispositivos compatibles se esperan a partir de 2024‑2025, y convivirán bastante tiempo con equipos Wi‑Fi 6 y Wi‑Fi 5.

Es importante remarcar que la compatibilidad hacia atrás es la norma en Wi‑Fi: un móvil Wi‑Fi 7 podrá conectarse a un router Wi‑Fi 5, y un portátil Wi‑Fi 6 podrá usar un punto de acceso Wi‑Fi 7. Eso sí, si la seguridad que se negocia es WEP, WPA‑TKIP o un WPA2 mal configurado, el eslabón más débil marcará la resistencia global de la conexión, por lo que conviene revisar siempre la configuración del router.

Riesgos y tipos de ataque contra WEP, WPA, WPA2 y WPA3

Las redes inalámbricas están expuestas a una variedad de ataques remotos que se pueden lanzar desde cualquier equipo situado en las proximidades: ataques de intermediario (Man‑in‑the‑Middle), recuperación de claves por fuerza bruta o diccionario, descifrado de tráfico, reinyección de paquetes y ataques de denegación de servicio para saturar el punto de acceso o expulsar clientes.

En WEP, prácticamente todo es vulnerable: la clave se puede recuperar en minutos con herramientas como Aircrack‑ng, permitiendo al atacante conectarse a la red, descifrar todo el tráfico y manipular paquetes sin demasiadas complicaciones. WPA‑PSK con TKIP mejora un poco la situación, pero también soporta ataques de recuperación de keystream y reinyección, y la clave compartida se puede extraer por fuerza bruta a partir del handshake de 4 vías.

En WPA2‑PSK con AES‑CCMP, la protección del tráfico es mucho mejor, pero siguen existiendo vectores de ataque: captura del 4‑way handshake y ataques de diccionario contra contraseñas débiles, ataques KRACK en dispositivos sin parchear y posibilidad de ataques de intermediario mediante puntos de acceso falsos que imitan el SSID de la red legítima (evil twin). WPA3 y las generaciones siguientes abordan varios de estos problemas, especialmente mediante SAE y cifrado individualizado.

Los ataques de denegación de servicio (DoS) son complicados de eliminar por completo: prácticamente todos los protocolos (WEP, WPA, WPA2, WPA3) pueden sufrir inundaciones de tráfico, desautenticaciones masivas o explotación de mecanismos de gestión de la red para forzar la desconexión de clientes. La clave está en minimizar el impacto y contar con mecanismos de detección y mitigación en entornos profesionales.

Existen herramientas especializadas para explotar vulnerabilidades según el protocolo: suites como Aircrack‑ng, Airgeddon, Eaphammer, Wifiphisher o Hostapd‑based toolkits permiten automatizar muchos ataques, desde capturar handshakes hasta montar puntos de acceso maliciosos. Aunque el soporte de ataques contra WPA3 aún es más limitado que contra WPA2, está creciendo, lo que refuerza la necesidad de combinar buen cifrado con contraseñas fuertes y una correcta configuración del router.

Situación real de las redes WiFi: cifrados obsoletos y malas prácticas

Estudios basados en bases de datos públicas como wigle.net muestran que sigue habiendo un porcentaje preocupante de redes mal protegidas. En algunos países, alrededor de un 20 % de las redes detectadas están abiertas o usan WEP o la primera versión de WPA declarada obsoleta. En determinados momentos, los datos han mostrado que solo algo más de un 70 % utilizan WPA2, y el despliegue de WPA3 todavía es minoritario, aunque va creciendo.

Esto significa que millones de puntos de acceso siguen siendo vulnerables a ataques relativamente sencillos, a pesar de que existen routers y firmwares capaces de ofrecer WPA2‑AES o WPA3 desde hace años. En muchos casos el problema no es tanto el hardware como la configuración de fábrica: SSID por defecto, claves débiles pegadas en una pegatina, WPS habilitado, TKIP activo para compatibilidad con dispositivos antiguos, etc.

Windows 10 ya muestra advertencias cuando te conectas a redes consideradas inseguras y recomienda explícitamente cambiar a cifrado AES. En Windows 11, el plan es ir más allá y directamente rechazar la conexión a determinadas redes con WEP o WPA/WPA2‑TKIP, obligando de facto a los administradores a actualizar la configuración si quieren que los usuarios de ese sistema operativo puedan conectarse.

En España y otros países, todavía hay un número no despreciable de redes con WEP o WPA simple, muchas veces asociadas a routers muy antiguos que los proveedores de Internet aún no han sustituido. Este panorama abre la puerta a que un atacante cercano robe ancho de banda, utilice tu conexión para actividades ilegales, espíe tu navegación o intente colar malware en tus dispositivos.

La moraleja es clara: si tu router soporta WPA2‑AES o WPA3 y sigues usando WEP, WPA‑TKIP o mezclas extrañas tipo WPA/WPA2 con TKIP, es momento de entrar al panel de administración y actualizar el esquema de seguridad. En caso de routers que no permitan nada más moderno, tocará plantearse su sustitución.

Cómo saber y mejorar el tipo de seguridad de tu WiFi

Antes de cambiar nada, conviene comprobar qué protocolo de seguridad está usando tu red. En Windows 10, puedes hacerlo desde el icono de WiFi en la barra de tareas, entrando en Propiedades de la red y consultando el campo “Tipo de seguridad”. En macOS, manteniendo pulsada la tecla Opción y haciendo clic en el icono de WiFi aparece un menú extendido con detalles de la red, incluido el tipo de cifrado.

En Android, el camino suele ser ir a Ajustes > Wi‑Fi, seleccionar la red a la que estás conectado y revisar la información avanzada, donde figura el tipo de seguridad (WPA2‑PSK, WPA3‑SAE, etc.). En iOS no hay una forma directa de ver esta información, por lo que tendrás que revisar el router desde un navegador o usar un ordenador para consultar los detalles de la conexión.

Herramientas de análisis como Acrylic WiFi Analyzer muestran columnas específicas para WEP, WPA, WPA2 y WPA3, indicando si la red está abierta, si utiliza cifrado inseguro o si está correctamente configurada con AES‑CCMP. Además, permiten ver si el mecanismo de intercambio de clave es PSK (clave precompartida) o MGT/Enterprise, y qué algoritmos (TKIP o CCMP) están activos en cada caso.

A nivel práctico, la recomendación para una red doméstica actual es sencilla: seleccionar WPA2‑PSK o WPA3‑Personal con CCMP/AES, desactivar TKIP y, si no necesitas compatibilidad con cacharros muy viejos, deshabilitar también WPA “a secas”. En entornos profesionales, lo ideal es ir a WPA2/WPA3‑Enterprise con servidor RADIUS, autenticación 802.1X y, cuando sea posible, adoptar los perfiles de seguridad reforzados asociados a Wi‑Fi 6/7.

Además de elegir el protocolo correcto, es básico seguir buenas prácticas adicionales: cambiar el SSID por defecto, modificar el usuario y contraseña del panel del router, mantener el firmware actualizado, desactivar WPS, Universal Plug and Play (UPnP) y el acceso remoto si no son imprescindibles, y utilizar redes de invitados separadas para dispositivos de terceros o IoT. Si necesitas ayuda para cambiar la clave del WiFi con el IP, sigue las guías del fabricante.

Wi‑Fi 6E y Wi‑Fi 7: rendimiento extremo y seguridad de nueva generación

Wi‑Fi 6E amplía el estándar Wi‑Fi 6 a la banda de 6 GHz, con más canales de 80 y 160 MHz, menos interferencias y mejores prestaciones para aplicaciones exigentes como realidad virtual, streaming 8K o gaming online. En este escenario, el uso de WPA3 es prácticamente obligado para obtener la certificación, lo que acelera la retirada de protocolos anteriores en los dispositivos modernos.

El siguiente paso, Wi‑Fi 7, promete velocidades teóricas en torno a 40‑46 Gbps, mayor capacidad y una eficiencia sin precedentes gracias a técnicas como MLO, que permiten que un dispositivo use simultáneamente varias bandas o canales para transmitir y recibir datos. Esto supone un cambio de escala en el tráfico que circula por el aire y hace aún más crítico contar con protocolos de seguridad sólidos tipo WPA3 evolucionado o WPA4.

Las aplicaciones que más se beneficiarán de Wi‑Fi 7 incluyen experiencias de realidad aumentada y virtual inmersivas, despliegues masivos de IoT, telemedicina avanzada, vehículos conectados y cualquier escenario donde baja latencia, alta capacidad y confidencialidad de los datos sean requisitos imprescindibles. En todos ellos, una seguridad WiFi débil simplemente no es una opción.

En el ámbito doméstico, la transición será gradual: muchos usuarios seguirán con Wi‑Fi 5 o Wi‑Fi 6 durante años, pero los nuevos routers que ofrezcan Wi‑Fi 7 tenderán a activar modos avanzados de seguridad por defecto, reduciendo el margen para configuraciones inseguras. Eso sí, la compatibilidad hacia atrás seguirá existiendo, así que si conectas dispositivos muy antiguos podrás estar “rebajando” en la práctica el nivel de seguridad de la red.

En definitiva, el tándem formado por Wi‑Fi 7 y los esquemas de seguridad que engloba bajo la etiqueta comercial de WPA4 apunta a un futuro en el que las redes inalámbricas sean mucho más seguras por diseño, siempre que los administradores no fuercen configuraciones débiles por comodidad o compatibilidad.

Mirando todo este recorrido, desde el frágil WEP hasta las variantes más avanzadas de WPA3 y el emergente concepto de WPA4 asociado a Wi‑Fi 7, se entiende bien por qué es tan importante revisar qué cifrado usa tu router, abandonar sin miramientos WEP, WPA y TKIP, apostar como mínimo por WPA2‑AES o, mejor aún, por WPA3/WPA4 cuando tu hardware lo permita, y acompañar todo ello de contraseñas robustas, firmware al día y unas cuantas buenas prácticas básicas que marcan la diferencia entre una red expuesta y una red preparada para los retos de la era digital.