Qué es WPA3

WPA3 (Wi-Fi Protected Access 3) es el estándar de seguridad de red inalámbrica ratificado por la Wi-Fi Alliance en junio de 2018. Es el sucesor de WPA2, que había sido el predeterminado desde 2004. La certificación WPA3 es obligatoria para cualquier dispositivo con la marca "Wi-Fi 6" o posterior.

La motivación fue una cadena de debilidades en WPA2 que se volvió impráctica de parchar. El ataque KRACK de 2017 contra el handshake de 4 vías de WPA2 forzó a cada vendor de Wi-Fi a emitir actualizaciones de firmware y demostró que la integridad del protocolo descansaba sobre suposiciones que los clientes no siempre honraban. Los ataques de diccionario offline contra handshakes WPA2 capturados se habían vuelto triviales con GPUs de consumo.

Qué cambia WPA3

SAE reemplaza PSK. WPA2-Personal usaba una Pre-Shared Key (PSK) con un handshake de 4 vías. Un atacante que capturara el handshake podía probar cada contraseña de diccionario offline, sin más interacción con la red necesaria. WPA3-Personal reemplaza esto con Simultaneous Authentication of Equals (SAE), definido en RFC 7664 y basado en intercambio de claves Dragonfly. SAE es un intercambio de claves autenticado por contraseña balanceado: cada intento de adivinar la contraseña requiere una interacción nueva con el access point. El brute-force offline ya no es posible.

Forward secrecy. WPA2 derivaba todas las claves de sesión de la PSK, así que un atacante que después aprendiera la contraseña podía descifrar cada sesión previamente capturada. SAE produce claves de sesión efímeras que la contraseña a largo plazo no puede reconstruir. El tráfico pasado se queda protegido aun si la contraseña se filtra.

OWE para redes abiertas. El Wi-Fi abierto (sin contraseña) enviaba cada paquete en claro. Opportunistic Wireless Encryption (OWE), definido en RFC 8110, cifra el tráfico en redes sin contraseña usando un intercambio Diffie-Hellman no autenticado. No autentica al access point, así que un atacante puede aún suplantar el SSID, pero el espionaje pasivo ya no funciona.

Modo empresarial de 192 bits. WPA3-Enterprise tiene una suite opcional de seguridad de 192 bits usando GCMP-256 para cifrado, HMAC-SHA384 para integridad, y ECDH/ECDSA sobre la curva P-384 para intercambio de claves. Está pensado para redes gubernamentales y financieras alineadas con los requerimientos de la CNSA Suite.

Lo que WPA3 no cambia

WPA3 todavía opera en la capa 2. Autentica el enlace de radio entre tu dispositivo y el access point. No hace nada sobre el resto del camino: el router del operador, su ISP, y cada red intermedia siguen viendo tu tráfico como si estuvieras en una conexión cableada. El cifrado de extremo a extremo (HTTPS, TLS, VPNs) es lo que protege el contenido más allá del access point.

WPA3 tampoco autentica la identidad del access point al cliente en modo WPA3-Personal. Un atacante corriendo un AP malicioso con el mismo SSID y contraseña todavía puede hacer que los clientes se asocien. SAE previene que el atacante aprenda la contraseña, pero el AP malicioso todavía puede montar un ataque man-in-the-middle activo contra cualquier tráfico no cifrado.

Estado de adopción (2026)

La mayoría de los access points empresariales vendidos desde 2020 soportan WPA3. La adopción de routers de consumo está en etapa media: los routers desde 2021 en adelante típicamente lo soportan, pero muchas redes corren modo mixto (modo de transición WPA2/WPA3) por compatibilidad con clientes más antiguos. iPhones soportan WPA3 desde iOS 13, Android desde 10, Windows desde la actualización de mayo 2019, macOS desde 10.15.

Las redes de modo mixto son más débiles que solo-WPA3 porque aceptan el handshake WPA2 de cualquier cliente que pregunte. Configurar tu router de casa a modo solo-WPA3 fuerza a cada dispositivo a usar el nuevo protocolo, pero rompe los dispositivos anteriores a 2019.