SSID Confusion, una vulnerabilidad WiFi que engaña a las víctimas para que se conecten a redes menos seguras
Un equipo de investigadores de la Universidad Católica de Lovaina en Bélgica dieron a conocer, mediante una publicación de blog, información sobre «SSID Confusion», un método de ataque que permite engañar a las víctimas para que se conecten a redes menos seguras y así interceptar su tráfico
Este ataque explota una falla de diseño en el estándar IEEE 802.11, permitiendo a los atacantes engañar a las víctimas para que se conecten a una red falsa mediante el uso de un nombre de red falsificado (SSID). Una vez conectada, la víctima queda expuesta al riesgo de interceptación y manipulación de tráfico. Además, algunos clientes de VPN que cuentan con la función de desactivación automática al conectar a redes WiFi «de confianza» pueden ser desactivados por este ataque.
Instituciones educativas, incluyendo universidades en el Reino Unido, Estados Unidos y otros países, están particularmente en riesgo debido al reuso de credenciales. Además, las redes WiFi domésticas y empresariales están afectadas, especialmente aquellas que utilizan el protocolo WPA3, entre otros.
Sobre SSID Confusion
Descubierta en mayo de 2024 y catalogada bajo CVE-2023-52424, SSID Confusion, es una vulnerabilidad en el estándar Wi-Fi IEEE 802.11 que permite engañar a un usuario para que se conecte a una red inalámbrica menos segura en lugar de la red confiable a la que pretendía conectarse, lo que facilita la interceptación y manipulación del tráfico. Esta vulnerabilidad afecta a las pilas inalámbricas de cualquier sistema operativo y compromete los métodos de autenticación WPA3, WEP, EAP, AMPE y FILS.
SSID Confusion, permite eludir los métodos de autenticación del punto de acceso en el protocolo, que protegen contra la sustitución del identificador de red SSID y evitan la creación de redes falsas con el mismo nombre que la red a la que el cliente se conecta. Se menciona que la raíz del problema radica en la definición estándar de situaciones en las que un SSID puede no estar autenticado. En particular, para indicar su presencia, el punto de acceso emite tramas de baliza que incluyen información sobre el SSID de la red. Para facilitar el proceso de descubrimiento de red, los clientes no autentican el SSID en estas tramas, ya que se asume que la verificación será necesaria después de que el cliente decida conectarse a la red.
Para llevar a cabo este ataque, el usuario debe iniciar una conexión a una red inalámbrica específica y debe haber otra red inalámbrica cercana con los mismos parámetros de conexión que la primera red. Esto puede ocurrir, por ejemplo, cuando se crean diferentes redes para las bandas de 2,4 GHz y 5 GHz, siendo una de ellas débilmente protegida y vulnerable a ataques típicos de interceptación de tráfico como KRACK o Frag. El atacante debe estar dentro del alcance de la señal para interponerse entre el usuario y la red objetivo (MitM). Es importante destacar que para llevar a cabo este ataque, el atacante no necesita conocer las credenciales de la víctima.
El ataque se basa en que el atacante crea un punto de acceso (denominado WrongAP) que emite señales en un canal diferente hacia una red ficticia menos segura, a la que el cliente se conecta en lugar de la red deseada. Este punto de acceso puede ser creado utilizando una computadora portátil convencional y se utiliza para llevar a cabo un ataque MitM multicanal contra una víctima.
El ataque se desarrolla en tres etapas:
- Detección de redes: El sistema MitM intercepta los paquetes enviados por el aire por la víctima y un punto de acceso confiable (TrustedNet), reemplazando el SSID en ellos. En los paquetes del punto de acceso, el SSID se sustituye por el identificador de una red menos segura, y en las respuestas de la víctima a la red real, para simular la interacción entre el cliente y el punto de acceso confiable. Como resultado, el dispositivo de la víctima recibe las respuestas y cree que la red deseada está cerca, a pesar de que estas respuestas son transmitidas por el punto de acceso del atacante.
- Secuestro de autenticación: El atacante simula una autenticación exitosa y obliga al cliente a conectarse a una red menos segura en lugar de la red confiable. En esta etapa, el atacante intercepta las tramas enviadas durante la autenticación por parte del cliente, reemplaza el SSID en ellas y las reenvía al punto de acceso.
- MitM: Después de establecer un canal de comunicación, el atacante reemplaza el SSID de WrongNet con TrustedNet, creando la impresión de que el usuario está operando a través de una red confiable en lugar de una red menos segura.
Para protegerse contra este tipo de ataque en el lado del punto de acceso, el estándar 802.11, se menciona la necesidad de autenticación SSID en la conexión, lo cual puede lograrse agregando el SSID a la generación de claves o incluyéndolo como dato adicional verificado durante la negociación de la conexión. Los administradores de redes pueden evitar este tipo de ataques evitando compartir credenciales entre redes con diferentes SSID. Por su parte, los usuarios pueden protegerse utilizando VPN confiables al conectarse a través de cualquier red inalámbrica.
Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.