El CERT, que forma parte del Departamento de Seguridad Nacional, dijo que la falla fue descubierta por investigadores de la universidad belga KU Leuven (Universidad Católica de Lovaina La Vieja).
Según el sitio de noticias Ars Technica, el hallazgo fue mantenido en secreto durante semanas para permitir que los sistemas Wi-Fi desarrollaran parches de seguridad.
Los atacantes pueden aprovechar esta falla en el WPA2, como se denomina el protocolo de cifrado, “para leer información que antes se suponía que estaba cifrada de forma segura”, indicó un blog de los investigadores de KU Leuven.
“Se puede abusar de esto para robar información confidencial, como números de tarjetas de crédito, contraseñas, mensajes de chat, correos electrónicos, fotos, etc. El ataque se puede efectuar contra todas las redes de Wi-Fi protegidas modernas”, apuntó.
“Dependiendo de la configuración de la red, también es posible inyectar y manipular datos. Por ejemplo, un atacante podría inyectar ransomware u otro malware en sitios web”, explicó, en alusión a estos programas informáticos dañinos.
Esta falla fue bautizada KRACK, acrónimo de Key Reinstallation AttaCK (ataque de reinstalación de claves), porque permite a los atacantes insertar una nueva “clave” en una conexión Wi-Fi que conserva los datos privados.
Expertos en seguridad informática observaron que esta falla es seria por la ubicuidad del Wi-Fi y la dificultad para emparchar millones de puntos de acceso.
“Todo el mundo tiene que tener miedo”, dijo Rob Graham, de Errata Security, en una publicación de blog. “Esto significa que, en la práctica, los atacantes pueden descifrar una gran cantidad de tráfico de Wi-Fi”.
Wi-Fi Alliance, un grupo que fija las normas para las conexiones inalámbricas, instó a los usuarios a no entrar en pánico.
“No hay pruebas de que esta vulnerabilidad haya sido aprovechada de forma maliciosa, y Wi-Fi Alliance ha tomado medidas inmediatas para garantizar que los usuarios puedan seguir contando con Wi-Fi con fuertes protecciones de seguridad”, dijo en un comunicado.