El router tope de gama de TP-Link es inseguro y no se actualiza desde marzo

El protocolo de seguridad WPA3 lleva con nosotros desde principios del año 2018, durante este tiempo, los principales fabricantes de routers como ASUS AVM, NETGEAR y D-Link entre otros, han estado trabajando para incorporar este nuevo estándar de seguridad a sus routers, excepto TP-Link que se ha retrasado muchísimo en este aspecto. Por ejemplo, su router tope de gama el TP-Link Archer AX11000 aún no incorpora esta funcionalidad tan básica a día de hoy.

¿Qué es WPA3 y por qué es necesario tenerlo en los routers ya mismo?

WPA3 es el nuevo estándar de seguridad inalámbrico que sustituye a WPA2-Personal AES, no lo complementa, sino que lo sustituye. Con el tiempo, WPA2 dejará de estar disponible en nuestros routers, puntos de acceso Wi-Fi y otros dispositivos inalámbricos, pero actualmente tendremos disponible WPA2/WPA3 para dar compatibilidad hacia atrás con los dispositivos que no sean compatibles con el nuevo estándar.

Este nuevo estándar utiliza un cifrado de 128 bits en modo WPA3-Personal, donde tenemos una clave que es utilizada por todos los usuarios para autenticarse. Una de las novedades de WPA3 es que en su versión «Enterprise», es decir, con autenticación en servidor RADIUS, dispone de una seguridad de hasta 192 bits de manera opcional.

Actualmente las últimas versiones de los sistemas operativos Windows, Linux y macOS, incluyendo también los sistemas operativos para smartphones y tablets, como Android y iOS, soportan desde hace bastante tiempo el nuevo estándar inalámbrico de seguridad. A continuación, podéis ver una captura de pantalla de la autenticación WPA3-Personal en un router ASUS RT-AX86U con la tarjeta Wi-Fi Intel AX200.

Cuando un dispositivo es certificado WPA3 por la Wi-Fi Alliance, debe cumplir una serie de requisitos, como, por ejemplo, usar siempre los últimos métodos de seguridad, deshabilitar los protocolos de seguridad antiguos, y el requisito de activar las tramas de administración protegidas (Protected Management Frames (PMF)).

Este nuevo estándar WPA3 incluye características mejoradas para mitigar e incluso evitar los fallos de seguridad descubiertos en WPA2 como KRACK. WPA3-Personal es ahora mucho más robusta que la anterior versión, incluso cuando los usuarios eligen contraseñas muy cortas, debido a que no tenemos PSK (Pre-Shared Key) sino que ahora se utiliza SAE (Simultaneous Authentication of Equals), por lo que ahora la contraseña es resistente a ataques offline de diccionario o por fuerza bruta. Anteriormente con WPA2, podíamos capturar el handshake y crackearlo en la nube de Amazon en pocos minutos, ahora esto no es posible hacerlo. Otra característica de seguridad es Forward secrecy, lo que nos permite proteger el tráfico de datos anterior al crackeo de la contraseña.

TP-Link no actualiza su router tope de gama desde marzo, y sigue sin WPA3

Las actualizaciones de firmware en un router es algo fundamental para mantenerlo protegido de las últimas amenazas de seguridad que van apareciendo a lo largo de las semanas. El fabricante TP-Link lleva sin actualizar su router tope de gama que vale casi 400€ desde el mes de marzo, mientras que sus más directos competidores como ASUS o NETGEAR han lanzado durante este tipo varias actualizaciones con mejoras de seguridad, corrección de bugs y añadiendo seguridad WPA3 a sus routers. Si entramos en la página de descargas de firmware del Archer AX11000 podemos comprobarlo.

El último firmware disponible en este router, no incorpora el protocolo WPA3-Personal como podéis ver a continuación:

Tan solo tenemos WPA/WPA2, tanto en su versión «Personal» como también en su versión «Enterprise» para la autenticación contra un servidor RADIUS que tengamos en la red local. Y en la sección de «Version», no tenemos nada relacionado con WPA3, es decir, este router tope de gama del fabricante sigue sin ser compatible con este estándar.

Otros routers de similares características como el ASUS ROG Rapture GT-AX11000, el cual tiene el mismo hardware que el router de TP-Link, lleva varios meses con soporte completo para WPA3-Personal, al igual que otros modelos del fabricante como los ASUS RT-AX88U, el ASUS RT-AX86U e incluso el ASUS RT-AX82U del que pronto veréis un completo análisis, y que se sitúa en la gama media-alta de los routers.

Fabricantes como NETGEAR, también han incorporado el protocolo WPA3 en sus routers domésticos como el NETGEAR RAX200 con un hardware muy similar al de TP-Link, en este caso, NETGEAR lanzó soporte para WPA3 en el mes de marzo, y otros muchos modelos también disponen de este mismo soporte.

Otros fabricantes como D-Link e incluso AVM, están metidos de lleno en lanzar actualizaciones de firmware para dar compatibilidad con WPA3 a sus routers, puntos de acceso y otros dispositivos inalámbricos, de hecho, en RedesZone hemos realizado un completo vídeo con la nueva versión FRITZ!OS 7.20 donde explicamos WPA3, y también un tutorial sobre cómo configurar WPA3 y OWE en routers FRITZ!Box:

Tal y como habéis visto, la gran mayoría de fabricantes disponen en sus routers de compatibilidad completa para WPA3 desde hace bastantes meses, es cierto que el router TP-Link Archer AX6000 ha incorporado compatibilidad con WPA3 el mes pasado, con un retraso importante después de lo visto en los foros oficiales. Que el Archer AX11000 no incorpore WPA3 parece que es el menor de los problemas de TP-Link para su modelo flagship, porque en los foros se puede ver cómo la velocidad del Archer AX11000 es lenta, tiene lag e incluso el funcionamiento de la conexión a Internet no funciona del todo bien.

El artículo El router tope de gama de TP-Link es inseguro y no se actualiza desde marzo se publicó en RedesZone.