SSID

Qué es SSID

SSID (Service Set Identifier) es el nombre que identifica una red Wi-Fi. Es el nombre de red que aparece al abrir la lista de conexiones Wi-Fi en smartphone u ordenador.

Es una cadena de máximo 32 bytes que el punto de acceso (router) emite periódicamente como beacon frame. Los dispositivos reciben estos beacons y muestran la lista de redes disponibles.

Un router puede tener múltiples SSIDs. Los routers domésticos suelen tener SSIDs separados para 2.4 GHz y 5 GHz. En entornos empresariales se separan SSIDs para invitados y uso interno, implementando segmentación de red.

Efecto y limitaciones del SSID oculto

El SSID oculto (stealth, desactivar broadcast de SSID) hace que el router no incluya el SSID en los beacon frames, desapareciendo de la lista Wi-Fi de los dispositivos.

Parece mejorar la seguridad, pero su efecto real es limitado:

• Se expone por probe requests: Los dispositivos ya conectados a un SSID oculto envían constantemente "¿existe este SSID?" al moverse. Un atacante solo necesita interceptar estas solicitudes para identificar el SSID.
• Visible con herramientas de análisis: Con Wireshark o Kismet, las redes con SSID oculto se detectan fácilmente. Ocultar solo hace "menos visible", no "invisible".
• Pérdida de comodidad: Conectar nuevos dispositivos requiere introducir el SSID manualmente.

Wi-Fi Alliance y expertos en seguridad no recomiendan el SSID oculto como medida de seguridad. Un cifrado fuerte (WPA3) y contraseña compleja son mucho más efectivos.

Ataque Evil Twin y SSID

El ataque Evil Twin instala un punto de acceso falso con el mismo SSID que uno legítimo para engañar a los usuarios y que se conecten.

1. El atacante instala un punto de acceso con el mismo SSID que el Wi-Fi público (ej: Free_WiFi) en un café o aeropuerto. Con señal más fuerte, los dispositivos se conectan automáticamente al falso.
2. Todo el tráfico del usuario conectado pasa por el atacante. Puede robar contraseñas y datos de tarjetas de comunicaciones HTTP sin cifrar.
3. También puede mostrar un portal cautivo falso (pantalla de login) solicitando email y contraseña.

Contramedidas: usar VPN en Wi-Fi público, usar solo sitios HTTPS, desactivar conexión automática y verificar el destino cada vez. En empresas, la autenticación 802.1X (basada en certificados con servidor RADIUS) previene conexiones a puntos de acceso falsos.

Reglas de nomenclatura segura para SSID

• No incluir información personal: Evitar SSIDs como Familia_Garcia o Piso301 que permitan identificar al propietario o ubicación.
• No incluir modelo del router: SSIDs por defecto como TP-Link_A1234 revelan fabricante y modelo, invitando ataques a vulnerabilidades conocidas. Siempre cambiar.
• Evitar nombres provocativos: SSIDs como HackMeIfYouCan solo atraen la atención de atacantes sin beneficio alguno.
• Distinguir 2.4 GHz y 5 GHz: MiRed_2G y MiRed_5G facilitan la selección. Aunque routers modernos con band steering hacen innecesaria la distinción.

Más importante que el nombre del SSID es el cifrado WPA3 (o mínimo WPA2) y una contraseña larga difícil de adivinar. El filtrado por dirección MAC es complementario pero la MAC se falsifica fácilmente.

Conceptos erróneos comunes

Ocultar el SSID hace seguro el Wi-Fi

El SSID oculto se detecta fácilmente con probe requests de dispositivos conectados y herramientas de análisis de red. La seguridad real reside en la fortaleza del cifrado y complejidad de la contraseña.

Redes con el mismo SSID son la misma red

El SSID es solo un nombre; pueden existir múltiples puntos de acceso con el mismo SSID. El ataque Evil Twin explota esto. Que el SSID coincida no garantiza que sea el punto de acceso legítimo.

Términos relacionados

Artículos relacionados