Comparación de 5G con Wi-Fi 6 desde una perspectiva de seguridad

Los sistemas de Wi-Fi de nivel empresarial han demostrado ser seguros para miles de clientes exigentes en prácticamente todas las industrias. Con el reciente despliegue publicitario en torno a 5G y los proveedores de servicios que promueven 5G como una alternativa a Wi-Fi en la empresa, vale la pena entender cómo la seguridad 5G se compara con la seguridad de Wi-Fi.

La seguridad celular ha mejorado con cada generación. La seguridad de los sistemas celulares analógicos de primera generación, basada en el estándar AMPS (Advanced Mobile Phone System), era esencialmente inexistente. Estas llamadas no estaban encriptadas y podían ser interceptadas con escáneres básicos. La seguridad de las redes LTE implementadas actualmente es mucho mejor. LTE utiliza cifrado reforzado y un algoritmo de autenticación («AKA») que comparte una clave entre el cliente y la estación base receptora. Pero aunque la seguridad LTE es sólida, no es perfecta.

Según los investigadores de Purdue y la Universidad de Iowa, LTE es vulnerable a algunos tipos de ataques cibernéticos, incluida la intercepción de datos y el seguimiento de dispositivos. El año pasado, Associated Press informó que el Departamento de Seguridad Nacional de los Estados Unidos (DHS) reconoció la existencia en Washington, DC de simuladores de sitios celulares, llamados » Stingrays»,  que podrían rastrear dispositivos celulares, interceptar llamadas y potencialmente incluso instalar malware. La seguridad 5G mejora la seguridad LTE de forma incremental, con cifrado idéntico, autenticación ligeramente reforzada y una mejor administración de claves. Pero en general, la seguridad 5G es en gran medida comparable a la seguridad LTE.

Así como la seguridad celular ha mejorado, la seguridad Wi-Fi ha evolucionado con cada generación. Las primeras redes Wi-Fi, que comenzaron a fines de los 90, usaban cifrado y autenticación débiles, llamados «WEP». Los siguientes estándares WPA y WPA2 presentan un cifrado mejorado. La autenticación con WPA2 puede ser 802.1X de grado empresarial o una PSK (clave precompartida) más débil, que los piratas informáticos podrían romper ejecutando posibles contraseñas hasta que puedan confirmar el protocolo de enlace WPA2 utilizando una contraseña adivinada. Esto se llama un ataque de diccionario. Por esta razón, la mayoría de nuestros clientes empresariales implementan WPA2 con 802.1X, que no es propenso a ataques de diccionario. Si bien algunas personas afirman que el Wi-Fi es inseguro y apunta a redes mal implementadas que desactivan toda la protección con contraseña (por ejemplo, una cafetería local), esto no es representativo de las prácticas empresariales. Aún así, la industria de Wi-Fi desarrolló WPA2 hace 15 años, en un momento en que los paisajes inalámbricos, informáticos y de seguridad eran sustancialmente diferentes.

Recientemente, el organismo de estándares de la Wi-Fi Alliance respondió con WPA3, una actualización significativa de la seguridad de Wi-Fi. Aruba es líder en el desarrollo de WPA3. Las implementaciones de WPA3 se dividen en una de tres categorías: (1) OWE («Open mejorado»), que cifra el tráfico para evitar ataques de espionaje en redes abiertas que no tienen protección con contraseña, (2) WPA3-Personal, que utiliza un secreto compartido y un intercambio de claves criptográficamente más fuerte que es resistente a los ataques de diccionario, y (3) WPA3-Enterprise, que fortalece significativamente 802.1X de nivel empresarial y opcionalmente incluye los mismos algoritmos de cifrado Suite B / CSNA utilizados para redes gubernamentales clasificadas de alto secreto o superiores . A diferencia de 5G, que no es compatible con versiones anteriores y requiere teléfonos y redes de radio completamente nuevos, los clientes pueden actualizar el software en la mayoría de las redes Wi-Fi actualmente implementadas de Aruba para incluir WPA3 (a menos que estén implementando Suite B / CNSA). Esperamos que los principales proveedores de sistemas operativos de teléfonos, como Apple y Google, implementen WPA3 y Enhanced Open para fines de 2019. La certificación WPA3 será obligatoria para todos los equipos nuevos de Wi-Fi 6 a partir de este año.

También vale la pena señalar que el cifrado celular generalmente se ha quedado atrás del cifrado de Wi-Fi. Por ejemplo, el cifrado LTE se basa en un algoritmo que usa una longitud de clave de 64 bits, mientras que el cifrado WPA2-AES, parte de Wi-Fi desde 2004, usa cifrado de 128 bits. 5G utiliza cifrado de 128 bits y puede, en una versión futura del estándar 5G, actualizarse a cifrado de 256 bits. Wi-Fi ya admite el cifrado de 256 bits a través de las extensiones Suite B / CNSA de WPA3.

Hasta este punto, hemos destacado la evolución y el estado actual de la autenticación, el cifrado y la administración de claves para los estándares celulares y Wi-Fi. Estos son elementos importantes de diseño de seguridad. Pero también es importante tener en cuenta la capacidad del cliente para adaptar sus redes a sus necesidades mediante la aplicación de políticas y herramientas específicas de seguridad y cumplimiento. El comprador promedio de seguridad en una gran empresa utiliza más de 50 herramientas diferentes de seguridad y cumplimiento, y no hay dos organizaciones que tengan exactamente las mismas necesidades. Nuestros clientes han estado implementando con éxito sus herramientas de seguridad y políticas elegidas en las redes Wi-Fi empresariales durante décadas. La arquitectura de estas redes es flexible y permite a los clientes dividir, analizar y aplicar políticas al tráfico. Wi-Fi 6 y WPA3 retienen completamente esta flexibilidad.

5G es una historia diferente. Si una empresa quiere reemplazar Wi-Fi con 5G, hay algunos enfoques diferentes. Cada uno tiene implicaciones para la personalización de seguridad.

• El primer enfoque es extender el servicio macro 5G a la empresa utilizando DAS (Sistemas de antena distribuida) o celdas pequeñas. Con este enfoque, es difícil separar el tráfico e implementar soluciones de seguridad específicas. En otras palabras, obtienes lo que obtienes.
• Si su empresa es lo suficientemente grande y su proveedor de servicios está dispuesto a vender y administrar un segmento de red individualizado , puede comprar un segmento específico para su empresa. La segmentación de red permite a los operadores crear superposiciones de red virtual personalizadas en una red física nacional. Con la segmentación, pueden ajustar cada una de estas redes virtuales para atender casos comerciales que requieren características de red específicas. Su proveedor de servicios puede vender un segmento de red de baja latencia o un segmento de red orientado a IoT. Luego, puede hacer que el proveedor de servicios aplique soluciones de seguridad específicas a ese segmento y posiblemente incluso lo administre por usted, como parte de su red. Pero todo el tráfico que pase por ese segmento sería invisible para los dispositivos de seguridad que están conectados directamente a una red empresarial.
• Su empresa podría optar por implementar una red 5G privada en sus instalaciones, utilizando espectro con licencia de un proveedor de servicios o posiblemente otro espectro sin licencia (por ejemplo, espectro CBRS). Puede aplicar la seguridad a una red privada 5G de una manera similar a la red Wi-Fi de una empresa, pero esto requiere invertir en una infraestructura de red paralela completamente separada. En consecuencia, este enfoque probablemente se limitará a casos de uso empresarial muy específicos.

La seguridad no es una consideración monolítica. Incluye elementos como autenticación, cifrado y administración de claves. Para redes bien diseñadas e implementadas, creemos que estos elementos para Wi-Fi 6 son iguales o mejores que 5G. Una consideración igualmente importante es la capacidad de una empresa para aplicar las herramientas de seguridad y políticas específicas a su red de una manera flexible, adaptada a sus necesidades. Las redes empresariales Wi-Fi son muy flexibles, como siempre lo han sido. Pero dependiendo del enfoque de implementación para una red 5G, puede o no ser capaz de acomodar el nivel de personalización de seguridad y cumplimiento requerido por los clientes empresariales.