By Camilo Garrido | Chief Information Officer ARKAVIA

¿Estás realmente seguro en tu red Wi-Fi?

Hoy, en el mes que se celebra el día Mundial del Wi-Fi, quiero compartir reflexiones que nacen de años de investigación académica y trabajo en el campo de la ciberseguridad inalámbrica. Lo que sigue no es teoría abstracta: es el resultado de experimentos reales, tesis de magíster, publicaciones indexadas y laboratorios de red teaming.
Las redes Wi-Fi son ya una infraestructura crítica invisible: en hogares, hospitales, fábricas, aeropuertos y dispositivos wearables. Y sin embargo, la mayoría de las organizaciones aún las auditan con criterios insuficientes.

Por qué las auditorías Wi-Fi siguen fallando

Uno de los hallazgos centrales de nuestra investigación —publicada en WITCOM y desarrollada en la Guía Multiestándar de Variables de Seguridad para Redes Wi-Fi— es que no existe un estándar único que cubra todos los vectores de amenaza de una red inalámbrica moderna.
Los auditores deben integrar conocimientos de múltiples fuentes para hacer bien su trabajo:

• IEEE 802.11 (estándar técnico base del Wi-Fi)
• ISO/IEC 27001 y 27002 (gestión de seguridad de la información)
• NIST SP 800-153 (directrices específicas para WLAN)
• CIS Controls v8 (controles priorizados de ciberseguridad)
• Experiencia empírica validada en entornos reales

La brecha no está en la falta de estándares. Está en la falta de integración entre ellos.

Lo que los experimentos nos enseñaron

En nuestros estudios comparamos equipos domésticos (TP-Link, Linksys) contra equipos empresariales (Ruckus, Aruba) usando dos herramientas de pentesting ampliamente utilizadas: PineApple Mark VII y Wifite sobre Kali Linux.

Las variables que medimos incluyeron:

• Tipo de cifrado: WPA/TKIP vs WPA2/AES
• Protección CTS/RTS activada o desactivada
• Material de construcción del entorno: vidrio vs tabiquería
• Distancia y elevación entre atacante y punto de acceso
• Tiempo requerido para capturar el handshake

Resultado clave:

Los dispositivos domésticos son significativamente más vulnerables. La cantidad de parámetros de seguridad disponibles en un equipo determina directamente la superficie de ataque. Y cuanto mayor es la distancia, más tiempo toma el ataque, pero no lo hace imposible.

PineApple tuvo mayor tasa de éxito en la captura de handshakes que Wifite. Esto no significa que una herramienta sea mejor que otra: significa que el tipo de herramienta afecta el resultado de la auditoría, y eso debe estar contemplado en cualquier metodología seria.

La nueva amenaza: dispositivos accesibles de bajo costo

En nuestra investigación más reciente —presentada en WITCOM 2026— evaluamos Flipper Zero, un dispositivo que integra capacidades RFID, NFC y Sub-GHz en un aparato del tamaño de un calculadora, disponible por menos de USD 200.

• Los resultados fueron reveladores:
  RFID (EM4100, 125 kHz): reproducción exitosa al 100% a 5 cm, fracaso total a 10 cm
• Sub-GHz (312 MHz): reproducción exitosa al 100% a 30 cm, fracaso total a 200 cm
• NFC: observaciones cualitativas preliminares, pendiente de consolidación cuantitativa

La conclusión no es alarmista: la explotación práctica depende de restricciones operativas reales, no solo de las capacidades teóricas del dispositivo. Pero sí confirma que credenciales RFID basadas en identificadores estáticos (como las tarjetas EM4100) son vulnerables a clonación con herramientas comerciales accesibles.
El panorama de amenazas ha cambiado. La barrera técnica para interactuar con sistemas inalámbricos ya no requiere equipos de laboratorio especializados.

Las variables que toda auditoría Wi-Fi debe contemplar

A partir de nuestra Guía Multiestándar, estas son las familias de variables que deben estar presentes en cualquier auditoría profesional de redes Wi-Fi:

Seguridad Básica

• Privacidad de la red (SSID broadcasting, segmentación)
• Autenticación y autorización (AAA)
• Monitoreo activo del tráfico

Seguridad 802.11

• Autenticación cifrada
• Filtrado MAC y SSID Masquerading
• Cifrado estático WEP (detectar y eliminar)

Seguridad Robusta

• RSN (Robust Security Network) activado
• Autenticación y autorización dinámica
• PSK, 802.1X/EAP Framework, SAE
• Cifrado TKIP, CCMP, GCMP
• 4-way Handshake y generación dinámica de claves
• Firewall IDS/IPS, Wireless Monitoring, Criptografía aplicada
• Session Timeout configurado

Recomendaciones para proteger tu red hoy

• Migra de WPA/TKIP a WPA2 o WPA3 con AES/GCMP
• Activa el RSN y desactiva protocolos legacy como WEP
• Utiliza credenciales RFID/NFC con autenticación criptográfica, no solo identificadores estáticos
• Implementa rolling codes en sistemas Sub-GHz (portones, controles remotos)
• Realiza auditorías periódicas con metodologías que integren múltiples estándares
• Evalúa tanto equipos de red como dispositivos periféricos inalámbricos (RFID, NFC, IoT)
• Documenta el nivel de seguridad según el tipo de uso: red doméstica vs red empresarial tienen requerimientos distintos

El Wi-Fi que viene: generaciones 7, 8 y el debate sobre IPv8

En el Día del Wi-Fi, no podemos dejar de mirar hacia adelante. El ecosistema inalámbrico está evolucionando a una velocidad sin precedentes, y eso tiene implicancias directas para la seguridad.

Wi-Fi 7 (IEEE 802.11be) — Ya es una realidad

Publicado oficialmente el 22 de julio de 2025, Wi-Fi 7 ya está ampliamente disponible en routers y dispositivos de consumo. Su innovación central es la Operación Multi-Enlace (MLO), que permite a los dispositivos usar simultáneamente las bandas de 2.4, 5 y 6 GHz, logrando velocidades teóricas de hasta 46 Gbps y latencias cuatro veces menores que Wi-Fi 6. Se proyecta que para fines de 2025 se habrán vendido 583 millones de dispositivos compatibles en el mundo.

Desde el punto de vista de la seguridad, Wi-Fi 7 incorpora soporte nativo para WPA3 y mejoras en los mecanismos de autenticación de múltiples enlaces, lo que amplía la superficie de ataque pero también las herramientas defensivas disponibles. Las auditorías de redes Wi-Fi 7 requieren revisar la correcta configuración de MLO, la gestión de claves por banda y la segmentación de tráfico entre enlaces simultáneos.

Wi-Fi 8 (IEEE 802.11bn) — Ultra High Reliability en el horizonte

A diferencia de generaciones anteriores centradas en la velocidad bruta, Wi-Fi 8 prioriza la fiabilidad. Su apodo oficial es UHR (Ultra High Reliability). Broadcom ya presentó un ecosistema completo de productos en octubre de 2025, y los primeros routers de consumo podrían llegar en la segunda mitad de 2026, aunque la ratificación formal del estándar no se espera hasta 2028.

Sus características principales incluyen coordinación entre múltiples puntos de acceso, Dynamic Subchannel Operation (DSO) para gestionar interferencias de forma inteligente, mejoras de hasta un 33% en rendimiento real en entornos congestionados, y el doble de cobertura efectiva respecto a Wi-Fi 7. Para la ciberseguridad, la coordinación multi-AP introduce nuevos vectores de ataque en la sincronización entre puntos de acceso que deberán ser contemplados en las metodologías de auditoría.

Nota para auditores: productos Wi-Fi 8 que lleguen al mercado antes de la ratificación del estándar (2028) pueden tener características que no correspondan a la versión final. Incluir esta variable en los informes de auditoría es parte de una buena práctica.

IPv8 — Una propuesta emergente y debatida

En abril de 2026, apareció en el rastreador de borradores de la IETF un Internet-Draft titulado ‘Internet Protocol Version 8 (IPv8)’, propuesto por el desarrollador Jamie Thain. La propuesta busca resolver el agotamiento de IPv4 sin los problemas de migración que ha tenido IPv6 durante sus casi tres décadas de existencia —en 2026 IPv6 aún transporta menos del 50% del tráfico mundial—.

La arquitectura propuesta utiliza direcciones de 64 bits donde los primeros 32 bits codifican el número de sistema autónomo (ASN) y los últimos 32 corresponden a la dirección IPv4 existente. Esto haría que IPv4 sea un subconjunto estricto de IPv8, eliminando la necesidad de doble pila. La propuesta integra también servicios de DNS, DHCP y NTP en la propia capa de red, con autenticación basada en tokens JWT bajo OAuth2.

Sin embargo, es importante ser precisos sobre su estado actual: se trata de un borrador individual, no adoptado ni respaldado formalmente por la IETF. Ingenieros de red señalan que cualquier equipo existente que reciba un paquete con Version=8 simplemente lo descartará, ya que ese número de versión fue previamente asignado al protocolo PIP (hoy obsoleto). El debate técnico es intenso y hay voces críticas que cuestionan la viabilidad práctica de la propuesta.

Perspectiva de seguridad: todo nuevo protocolo de red debe analizarse desde su diseño con modelos de amenazas explícitos. Integrar autenticación centralizada directamente en la capa de red —como propone IPv8— puede simplificar la gestión, pero también concentra el riesgo: un fallo en ese mecanismo comprometería toda la infraestructura. Esta es una lección que aplica hoy a cualquier evolución de protocolo que evalúen las organizaciones.

Reflexión final

El Wi-Fi no es solo conectividad. Es el canal por donde circula información sensible de personas, organizaciones e infraestructuras críticas. Auditarlo bien no es opcional: es una responsabilidad profesional.

La investigación que hemos desarrollado —desde el modelo conceptual de variables de seguridad hasta la validación experimental y la guía multiestándar— nació de una pregunta simple: ¿qué necesita saber realmente un auditor para evaluar una red Wi-Fi de forma completa?

La respuesta no cabe en un estándar. Requiere integrar conocimiento técnico, experiencia empírica y visión sistémica.

Hoy, en el Día del Wi-Fi, el mejor regalo que podemos hacer a nuestra organización es preguntarnos: ¿cuándo fue la última vez que auditamos nuestra red con criterios reales?

Referencias

• [1] Galeazzi, L., Garrido, C., Barría, C. (2022). Validation of security variables for audits in wireless Wi-Fi networks. WITCOM 2022. Springer CCIS.
• [2] Garrido, C. (2024). Guía Multiestándar de Variables de Seguridad para Auditar Implementaciones de Redes Inalámbricas Wi-Fi. Tesis de Magíster. Universidad Mayor, Santiago de Chile.
• [3] Garrido, C., Bravo, O., Rehl, J. (2026). Evaluación Experimental de Tecnologías de Acceso Inalámbrico Usando Flipper Zero en Entornos Controlados. WITCOM 2026 (en prensa).
• [4] Galeazzi, L., Barría, C., Hurtado, J. (2021). Conceptual Model of Security Variables in Wi-Fi Wireless Networks: Review. ITNG 2021. Springer AISC vol. 1346.
• [5] IEEE 802.11 Standard. https://standards.ieee.org/
• [6] NIST SP 800-153. Guidelines for Securing Wireless Local Area Networks (WLANs). https://www.nist.gov/
• [7] CIS Controls v8. Center for Internet Security. https://www.cisecurity.org/
• [8] Ley N° 21.459 sobre Delitos Informáticos. Diario Oficial de Chile, 20 de junio de 2022. Biblioteca del Congreso Nacional. https://www.bcn.cl/leychile/navegar?idNorma=1177743
• [9] Ley N° 21.663, Ley Marco de Ciberseguridad e Infraestructura Crítica de la Información. Diario Oficial de Chile, 8 de abril de 2024. Vigente desde el 1 de marzo de 2025. Agencia Nacional de Ciberseguridad (ANCI). https://anci.gob.cl/normativa/leyes/
• [10] Ley N° 21.719, Ley de Protección de Datos Personales. Diario Oficial de Chile, 2024. Entrada en vigor: 1 de diciembre de 2026.
• [11] IEEE Std 802.11be™-2024 (Wi-Fi 7). Publicado oficialmente el 22 de julio de 2025. https://standards.ieee.org/
• [12] IEEE 802.11bn (Wi-Fi 8 / Ultra High Reliability). Grupo de trabajo formado en mayo de 2021. Ratificación esperada: 2028. https://www.ieee802.org/11/
• [13] Thain, J. (2026). Internet Protocol Version 8 (IPv8). Internet-Draft IETF draft-thain-ipv8-02. Publicado el 15 de abril de 2026. Estado: borrador individual, no adoptado por la IETF. https://datatracker.ietf.org/

#WiFiDay #Ciberseguridad #WirelessSecurity #AuditoriaDeSeguridad #RedesInalambricas #WiFi7 #WiFi8 #IPv8 #RFID #NFC #PentestingWifi #InformationSecurity #CyberSecurity #WPA3 #FlipperZero #IEEE80211 #Arkavia #Ley21459 #Ley21663 #UniversidadMayor