Contraseñas Seguras para Wi-Fi y Dispositivos IoT
Security Tools

Contraseñas Seguras para Wi-Fi y Dispositivos IoT

Las contraseñas de Wi-Fi y de dispositivos IoT viven en un terreno intermedio incómodo. A diferencia de un secreto de cuenta de servicio que ninguna persona teclea jamás, una clave precompartida de Wi-Fi se introduce a mano: en un móvil, en el mando de una smart TV con teclado en pantalla, en un termostato con cuatro botones o en una impresora con un único dial. Pero, a diferencia de un login web de bajo valor, una clave Wi-Fi débil queda expuesta a un ataque offline: cualquiera dentro del alcance de la radio puede capturar el handshake y romperlo con calma, sin límite de intentos. Esta guía explica cómo generar claves que sobrevivan a ese ataque offline sin dejar de ser realistas de teclear, apoyándose en nuestro generador de contraseñas que funciona solo en el navegador.

Por Qué una Clave Wi-Fi Afronta una Amenaza Distinta

La seguridad de las redes WPA2 y WPA3 personales descansa en el handshake de cuatro vías definido en el estándar IEEE 802.11. Con WPA2-Personal, un atacante que captura ese handshake (o, de forma más eficiente, un único frame PMKID, según la divulgación de hashcat de 2018) puede montar un ataque de diccionario y fuerza bruta totalmente offline contra la clave precompartida. No hay servidor que limite intentos ni bloqueos. Lo único que separa al atacante de tu red es la entropía de la propia contraseña.

Eso cambia el cálculo frente a un login web. Un servicio web puede limitar a cinco intentos por minuto, así que hasta una contraseña modesta resiste. Contra un ataque WPA2 offline en GPUs comunes, la derivación PBKDF2-SHA1 que especifica 802.11i (4.096 iteraciones) es lo bastante rápida como para que las claves débiles caigan en horas. WPA3-Personal mejora esto mucho al sustituir el intercambio PSK por Simultaneous Authentication of Equals (SAE, el handshake "Dragonfly" descrito en el RFC 7664), resistente por diseño al diccionario offline. Pero la mayoría de redes aún funcionan en modo mixto WPA2/WPA3 por compatibilidad, así que conviene asumir el modelo de amenaza más débil de WPA2 al elegir entropía.

La Restricción de "Teclear Fácil" Es Real

El consejo de seguridad que ignora la ergonomía acaba ignorado en la práctica. Una cadena ASCII aleatoria de 63 caracteres es el máximo teórico para una passphrase WPA — IEEE 802.11i permite de 8 a 63 caracteres ASCII imprimibles — pero nadie teclea g7#Kq~\|{9pL bien a la primera en el mando de una smart TV. Cuando introducir la clave duele, la gente elige algo corto y débil, o pega la misma clave en un grupo de chat donde se filtra. El objetivo práctico es por tanto la mayor entropía que siga siendo cómoda de teclear en el peor dispositivo que la necesite.

Tres propiedades hacen que una passphrase sea fácil de escribir en métodos de entrada limitados:

  • Sin glifos ambiguos. En una fuente de TV de baja resolución o en una tarjeta mal iluminada, 0/O, 1/l/I y 5/S se confunden. Excluirlos elimina toda una clase de conexiones fallidas.
  • Pocos o ningún símbolo con mayúscula. Los teclados en pantalla esconden los símbolos tras cambios de modo. Una passphrase que evita ~ ` | \ { } se introduce mucho más rápido con un mando.
  • Estructura basada en palabras cuando se pueda. Una passphrase de palabras sin relación es más fácil de leer en una tarjeta, dictar a un invitado y reescribir que una cadena aleatoria de la misma entropía, a cambio de necesitar más caracteres.

Cuánta Entropía Es Suficiente

Para una clave Wi-Fi doméstica frente a un ataque WPA2 offline, apunta a al menos 70 bits de entropía; 80 bits dan margen cómodo ante mejoras futuras de GPU y ASIC. Dos estructuras alcanzan ese rango sin dejar de ser teclables:

Claves de Caracteres Aleatorios: 14-16 Caracteres, Conjunto Reducido

Una contraseña de 16 caracteres tomada de un conjunto deliberadamente legible — mayúsculas, minúsculas y dígitos con glifos ambiguos eliminados (unos 54 símbolos distintos) — rinde alrededor de 16 × log2(54) ≈ 92 bits. Incluso reduciendo a 14 caracteres te quedas cerca de 80 bits. En nuestro generador, fija longitud 16, activa la opción de excluir caracteres ambiguos y desactiva los símbolos o limítalos a un subconjunto pequeño y teclable. Es ideal para la clave principal de la red, que normalmente pegarás desde un gestor de contraseñas en móviles y portátiles y solo teclearás a mano de vez en cuando.

Passphrases de Palabras: 5-6 Palabras de un Diccionario Grande

Una passphrase estilo diceware con palabras elegidas de forma uniforme de la EFF Long Wordlist (7.776 palabras, publicada por la Electronic Frontier Foundation) aporta log2(7776) ≈ 12,9 bits por palabra. Cinco palabras dan unos 64 bits y seis unos 77 bits. Unidas con guiones — marmol-orbita-cactus-enjuague-terciopelo — es muchísimo más fácil de leer en una tarjeta y teclear en un mando que una cadena aleatoria de fuerza equivalente. Reserva este estilo para la clave de la red de invitados y para claves que las personas introducen más a menudo. Nuestro generador de caracteres apunta a claves aleatorias; para passphrases reales de palabras usa una herramienta diceware dedicada y verifica el tamaño del diccionario para que tu estimación de entropía sea honesta.

Contraseñas Seguras para Wi-Fi y Dispositivos IoT

No Olvides la Contraseña de Administración del Dispositivo

La clave precompartida es solo la mitad. Cada router, cámara y hub doméstico tiene además una credencial administrativa, y esa es la debilidad más explotada del IoT. La botnet Mirai de 2016 se propagó casi por completo probando una lista corta de usuario/contraseña por defecto (admin/admin, root/12345 y similares) contra dispositivos expuestos a internet. La lección es permanente: cambia toda contraseña de administración por defecto durante el aprovisionamiento, antes de que el dispositivo toque la red.

Las contraseñas de administración se teclean muy pocas veces — normalmente una vez en la instalación y luego desde un gestor de contraseñas. Eso significa que pueden y deben ser máximamente fuertes: 20+ caracteres, conjunto completo, guardadas en el gestor en lugar de memorizadas. Las guías NIST SP 800-63B de EE. UU. y el régimen británico PSTI (Product Security and Telecommunications Infrastructure) empujan a la industria a abandonar las contraseñas por defecto compartidas justo por la clase de ataque de Mirai; el estándar base ETSI EN 303 645 para seguridad de IoT de consumo convierte "sin contraseñas por defecto universales" en su primera provisión. Genera estas en nuestra herramienta con longitud 24, conjunto completo de símbolos, y guarda el resultado — nunca lo reutilices entre dispositivos.

Un Flujo Práctico de Aprovisionamiento

Este es un flujo repetible para configurar un dispositivo nuevo de forma segura sin acabar atrapado:

  1. Genera las claves de red una sola vez. Abre el generador de contraseñas y crea dos claves: una de 16 caracteres legibles para el SSID principal y una passphrase de 5-6 palabras para el SSID de invitados. Ambas se quedan en tu navegador vía crypto.getRandomValues().
  2. Pon los dispositivos IoT en la red de invitados o en una VLAN IoT dedicada. La mayoría del equipo doméstico nunca necesita llegar a tu portátil o NAS. Segmentarlo limita el daño si un dispositivo se compromete, una aplicación directa de la guía de segmentación de red de NIST SP 800-213 para ciberseguridad de dispositivos IoT.
  3. Cambia la contraseña de administración antes de conectar. Genera una credencial de administración única de 24 caracteres por dispositivo y guárdala en tu gestor asociada al nombre y la MAC del dispositivo.
  4. Teclea la clave fácil, no la máxima. Usa la passphrase de palabras para dispositivos con teclados penosos; reserva la clave aleatoria densa para dispositivos que aprovisionas desde un móvil con pegado.
  5. Desactiva WPS y UPnP si no los necesitas. El método PIN de Wi-Fi Protected Setup tiene una debilidad conocida de fuerza bruta offline, y UPnP expuesto es un pivote habitual. Una contraseña fuerte no ayuda si un canal lateral la rodea.

Errores Comunes Que Debilitan Claves Fuertes

  • Reutilizar la PSK como contraseña de administración. Si la clave Wi-Fi se filtra (se comparte con cada invitado), el panel de administración del router no debe compartirla. Genéralas por separado.
  • Codificar una clave en Base64 y llamarla secreto. Algunos scripts de aprovisionamiento y configuraciones QR incrustan la PSK en Base64. Eso es codificación de transporte, no protección — cualquiera que lea el QR o la configuración recupera la clave al instante. Nuestro codificador Base64 está documentado precisamente para que la gente deje de confundir codificación con seguridad.
  • Patrones predecibles. Una clave como MiCasa2026! tiene casi nula entropía real frente a un diccionario dirigido aunque pase medidores ingenuos. Genera siempre, nunca improvises a mano.
  • Dejar el SSID por defecto del fabricante. SSIDs por defecto como TP-LINK_A4F2 permiten precalcular tablas arcoíris asociadas a SSIDs comunes. Renombra la red; no cuesta nada y rompe la precomputación.

Compartir la Clave Sin Filtrarla

Una vez que tienes una clave de invitados fuerte y teclable, compártela mediante el propio mecanismo QR de la red (el esquema URI WIFI: que los móviles escanean para unirse) en lugar de pegarla en apps de chat que conservan el historial. Imprime la passphrase de invitados en una tarjeta pequeña para la cocina; rótala cuando un huésped en quien ya no confías la haya tenido. Como elegiste una passphrase de palabras para la red de invitados, esa rotación es indolora — genera cinco palabras nuevas y reimprime la tarjeta. La clave principal, de la que dependen más dispositivos, puede rotar mucho menos a menudo porque se pega desde el gestor en vez de transcribirse.

Usar la Herramienta

Abre el generador de contraseñas. Para la clave Wi-Fi principal, fija longitud 16, activa "excluir caracteres ambiguos" y mantén los símbolos desactivados o mínimos — obtienes alrededor de 90 bits sin dejar de ser legible en una tarjeta junto a la TV. Para contraseñas de administración de dispositivos, fija longitud 24 con el conjunto completo y guarda cada una de forma única. Todo se genera localmente con crypto.getRandomValues(); ninguna clave llega a nuestros servidores y recargar la página borra la sesión. Combina el generador con un gestor de contraseñas para que las claves densas vivan en un sitio seguro y lo único que teclees a mano sea la amable passphrase de invitados.

← Volver al Blog