La especificación WPS (Wi-Fi Protected Setup) es un estándar de red disponible en algunos routers, cuyo objetivo es facilitar la conexión de dispositivos a una red inalámbrica Wi-Fi. WPS permite al usuario conectar dispositivos con tan solo pulsar un botón, de tal manera que no se necesita introducir manualmente la contraseña del Wi-Fi y el emparejamiento de los dispositivos se lleva a cabo de forma sencilla. Como alternativa al botón, WPS también permite conectar dispositivos introduciendo un PIN en lugar de la contraseña del Wi-Fi, que suele ser más compleja.
Qué es WPS (Wi-Fi Protected Setup)
En muchas ocasiones resulta complicado para el usuario acceder a su red inalámbrica, ya que no recuerda cuál es la contraseña de acceso a la red, no la tiene apuntada en ningún sitio, no tiene la dirección IP del router ni las credenciales para conectarse a su interfaz web de administración, etc. Para hacer la vida más cómoda al usuario, muchos routers inalámbricos Wi-Fi incorporan una funcionalidad llamada WPS (Wi-Fi Protected Setup).
Wi-Fi Protected Setup es un estándar de seguridad de red diseñado para facilitar la tarea de crear una red inalámbrica segura. Creado por Wi-Fi Alliance, el objetivo del protocolo WPS es permitir a los usuarios, que en muchas ocasiones conocen poco la seguridad inalámbrica y pueden verse intimidados por las opciones de seguridad disponibles para configurar la seguridad Wi-Fi, agregar fácilmente nuevos dispositivos a una red existente sin introducir contraseñas.
Por lo general, los routers compatibles con la tecnología Wi-Fi Protected Setup cuentan con un botón que incluye el texto WPS o el logo, un símbolo de dos flechas en círculo. Para utilizar WPS, el acceso al router debe estar protegido mediante WPA/WPA2 (WEP no es compatible con WPS), ya que el propósito de WPS no es mejorar la seguridad, sino simplificar a los usuarios el uso de los mecanismos existentes, como WPA o WPA2, sin necesidad de utilizar claves complicadas o complejos procesos de configuración.
Desde el punto de vista del protocolo WPS, en una red se pueden encontrar dos tipos de dispositivos: el punto de acceso inalámbrico (AP, Access Point) con autoridad para permitir y revocar el acceso a la red, y los clientes que intentan unirse a la red inalámbrica. Por lo general, el router actúa como AP, aunque este rol lo puede tener cualquier otro dispositivo de la red, incluso puede haber más de un AP en una red.
En cuanto a cómo conectarse con WPS, la norma permite cuatro modos para agregar un nuevo dispositivo a la red: PBC, PIN, NFC y USB.
En el sistema PBC (Push Button Configuration), el usuario tiene que pulsar un botón, ya sea físico o virtual, tanto en el router como en el nuevo dispositivo cliente inalámbrico. De este modo, el emparejamiento se realiza sin tener que teclear nada.
Este proceso únicamente debe llevarse a cabo una vez, y no en cada ocasión que el cliente pretenda conectarse, ya que la configuración quedará almacenada. En la mayoría de los routers, este modo de descubrimiento se apaga tan pronto como se establece una conexión o después de un cierto intervalo (normalmente 2 minutos o menos), lo que ocurra primero, minimizando así su vulnerabilidad. El soporte de este modo es obligatorio para todos los dispositivos, tanto routers como dispositivos clientes.
Algunos puntos de acceso inalámbricos tienen un botón WPS de doble función y mantener este botón pulsado durante un tiempo más corto o más largo puede tener otras funciones, como el reinicio de fábrica. Aunque la Wi-Fi Alliance recomienda el uso de la marca WPS en el botón de hardware para esta función, algunos fabricantes utilizan un logotipo y/o nombre diferente.
Puesto que en el método PBC el intercambio de credenciales se desencadena a partir de que el usuario presiona un botón (físico o virtual) en el AP y otro en el dispositivo, es importante tener en cuenta que en el lapso de tiempo entre que se presiona el botón en el AP y se presiona en el dispositivo, cualquier otro dispositivo próximo puede ganar acceso a la red.
En el sistema PIN, el router WPS dispone de un código PIN para simplificar la conexión con dispositivos que no tienen WPS, de tal modo que usuario debe introducir esa contraseña PIN en lugar de la del Wi-Fi, que suele ser más compleja. Este PIN suele venir normalmente impreso en la etiqueta en el propio router. Para que el usuario pueda introducir el mencionado PIN, es necesaria la existencia de una interfaz, por ejemplo pantalla y teclado. Este método de acceso PIN es también obligatorio y todos los dispositivos con teclado o pantalla deben soportarlo.
Un fallo de seguridad importante afecta a los enrutadores inalámbricos con la función PIN de WPS, que muchos router tiene habilitado de forma predeterminada. El fallo permite a un atacante remoto recuperar el PIN WPS en pocas horas con un ataque de fuerza bruta y, junto con el PIN, la clave WPA/WPA2 de la red, por lo que se ha instado a los usuarios a desactivar la función PIN WPS, aunque en algunos modelos de enrutador esto puede no ser posible.
En el modo de acceso NFC (Near Field Communication), el usuario tiene que acercar el nuevo cliente al punto de acceso para permitir una comunicación NFC entre los dispositivos y desencadenar la autenticación. De esta manera, cualquier cliente que tenga acceso físico al punto de acceso (entre 0 y 20 cm) puede obtener credenciales válidas. El soporte de este modo es opcional.
Con el método USB, el usuario utiliza una memoria flash USB para transferir las credenciales entre el nuevo dispositivo cliente y el punto de acceso de la red. El soporte de este modo es también opcional.
Sólo los dos primeros modos (PBC y PIN) están cubiertos por la certificación WPS, tanto el método NFC como USB (denominados métodos fuera de banda, ya que hay una transferencia de información por un canal distinto del propio canal Wi-Fi) han sido descontinuados y son obsoletos, por lo que no forman parte de la certificación Wi-Fi Alliance, aunque algunos fabricantes los pueden implementar como opción adicional.
En cuanto a cómo activar o desactivar WPS en un router, para modificar la configuración WPS del router basta con entrar en la interfaz web de administración desde un navegador web y configurarlo, ya sea para habilitarlo o deshabilitarlo. En la mayoría de routers el acceso vía WPS viene activado por defecto, pero el usuario puede cambiarlo en cualquier momento simplemente accediendo al apartado de seguridad WLAN y seleccionando la opción “WPS Activado” o “WPS Desactivado”.