La actualización de Android 11 impedirá la conexión a determinadas redes WiFi empresariales. He aquí por qué y qué puede hacer para solucionarlo.
Si tienes un Google Pixel y lo has actualizado a la última actualización de seguridad de diciembre de 2020, es posible que haya descubierto que no puede conectarse a determinadas redes WiFi empresariales. Si este es el caso, sepa que no está solo. Esto no es un error, sino más bien un cambio intencional que Google realizó en Android 11 y que casualmente está presente en la versión enviada a los teléfonos Pixel en diciembre. Se espera que todos los teléfonos Android que recibirán una actualización a Android 11 eventualmente tengan este cambio*, lo que significa Veremos muchas quejas enojadas en el futuro cercano de usuarios que no pueden agregar su WiFi empresarial. red. Esto es lo que necesita saber sobre por qué Google realizó el cambio y qué puede hacer al respecto.
¿Por qué no puedo agregar mi red WiFi empresarial en Android 11?
El problema que encontrarán muchos usuarios después de actualizar a Android 11* es que se eliminó la opción "No validar" en el menú desplegable "Certificado CA". Esta opción aparecía anteriormente al agregar una nueva red WiFi con seguridad WPA2-Enterprise.
¿Por qué se eliminó esta opción? Según Google, hacer que los usuarios seleccionen la opción "no validar" es un riesgo para la seguridad, ya que abre la posibilidad de filtrar las credenciales del usuario. Por ejemplo, si un usuario desea realizar operaciones bancarias en línea, dirige su navegador al nombre de dominio conocido propiedad de su banco (por ejemplo, www.bankofamerica.com). Si el usuario nota que hizo clic en un enlace y su navegador ha cargado una página web del dominio equivocado, entonces, por supuesto, dudará en proporcionar la información de su cuenta bancaria. Pero además de eso, ¿cómo sabe el usuario que el servidor al que se conecta su navegador es el mismo al que se conectan todos los demás? En otras palabras, ¿cómo se puede saber que el sitio web bancario que se está viendo no es simplemente una versión falsa inyectada por un tercero malicioso que ha obtenido acceso a la red? Los navegadores web se aseguran de que esto no suceda verificando el certificado del servidor, pero cuando el usuario activa la opción "no opción "validar" al conectarse a su red WiFi empresarial, impiden que el dispositivo realice cualquier certificado validación. Si un atacante realiza un ataque de intermediario y toma el control de la red, puede apuntar los dispositivos del cliente a servidores ilegítimos propiedad del atacante.
Los administradores de red han sido advertidos sobre este posible riesgo de seguridad durante años, pero todavía hay muchas empresas, universidades, escuelas, organizaciones gubernamentales y otras instituciones que han configurado sus perfiles de red de forma insegura. En el futuro, los requisitos de seguridad adoptados por WiFi Alliance para la especificación WPA3 han exigido este cambio. pero como todos sabemos, muchas organizaciones y gobiernos tardan en actualizar las cosas y tienden a ser negligentes cuando se trata de seguridad. Algunas organizaciones, incluso sabiendo los riesgos involucrados, todavía recomiendan a los usuarios desactivar la validación de certificados cuando se conectan a su red WiFi.
Podrían pasar años antes de que los dispositivos y enrutadores compatibles con WPA3 se generalicen, por lo que Google está dando un gran paso ahora mismo para garantizar que los usuarios ya no puedan exponerse a los riesgos de omitir el certificado del servidor validación. Con este cambio, están avisando a los administradores de red que continúan teniendo usuarios conectados de forma insegura a su WiFi empresarial. Con suerte, suficientes usuarios se quejarán con su administrador de red de que no pueden agregar su red WiFi empresarial según las instrucciones, lo que les pedirá que realicen cambios.
*Debido a la forma en que funcionan las actualizaciones de software de Android, es posible que la versión inicial de Android 11 para su dispositivo en particular no se vea afectada por este cambio. Este cambio solo se introdujo en los teléfonos Pixel con la actualización de diciembre de 2020, que lleva el número de compilación RQ1A/D según el modelo. Sin embargo, dado que se trata de un cambio a nivel de plataforma fusionado con el Proyecto de código abierto de Android (AOSP) como parte de la versión "R QPR1" (como se la conoce internamente), esperamos que otros teléfonos Android eventualmente presenten esto cambiar.
¿Cuáles son algunas soluciones a este problema?
El primer paso en esta situación es darse cuenta de que no hay mucho que el usuario pueda hacer en su dispositivo. Este cambio no se puede evitar a menos que el usuario decida no actualizar su dispositivo, pero eso potencialmente abre una gran cantidad de otros problemas, por lo que no se recomienda. Por lo tanto, es imperativo comunicar este problema al administrador de la red WiFi afectada.
Google recomienda que los administradores de red instruyan a los usuarios sobre cómo instalar un certificado de CA raíz o utilizar un almacén de confianza del sistema como un navegador y, además, instruirles sobre cómo configurar el dominio del servidor nombre. Hacerlo permitirá que el sistema operativo autentique de forma segura el servidor, pero requiere que el usuario realice algunos pasos más al agregar una red WiFi. Alternativamente, Google dice que los administradores de red pueden crear una aplicación que use API de sugerencias de WiFi de Android para configurar automáticamente la red para el usuario. Para facilitar aún más las cosas a los usuarios, un administrador de red puede utilizar Passpoint, un protocolo WiFi que es compatible con todos los dispositivos con Android 11 – y guiar al usuario para que aprovisione su dispositivo, permitiéndole volver a conectarse automáticamente cada vez que esté cerca de la red. Dado que ninguna de estas soluciones requiere que el usuario actualice ningún software o hardware, puede continuar usando el mismo dispositivo que ya tiene.
Sin embargo, en la práctica, las empresas y otras instituciones tardarán algún tiempo en adoptar estas soluciones. Esto se debe a que, en primer lugar, deben ser conscientes de este cambio, que, ciertamente, no se ha comunicado tan bien a los usuarios. Muchos administradores de red He estado observando estos cambios. durante meses, pero también hay muchos que quizás no lo sepan. Si es administrador de red y busca más información sobre los cambios, puede obtener más información en este artículo de SeguroW2.