Tramas de Gestión Protegidas (PMF)

¿Qué son las Tramas de Gestión Protegidas?

Las Tramas de Gestión Protegidas, conocidas como PMF o por su número de estándar 802.11w, son una función de seguridad WiFi que cifra las "señales de control" que intercambian tus dispositivos y puntos de acceso. Estas señales de control se encargan de cosas como conectarse, desconectarse y cambiar de canal. Sin PMF, esas señales viajan a la vista de todos, donde cualquiera puede verlas y falsificarlas.

Imagina un edificio donde cualquier persona puede entrar y activar la alarma de incendios. La gente evacuaría aunque no haya un incendio real. Eso es exactamente lo que ocurre en una red WiFi sin PMF: un atacante puede enviar señales falsas de "desconexión" y tus dispositivos las obedecen porque no tienen forma de verificar quién envió la orden.

Por qué importa

Sin PMF, un atacante cercano puede enviar tramas de desautenticación falsificadas para expulsar cualquier dispositivo de tu WiFi. Esto no es un riesgo teórico; las herramientas baratas para hacerlo están ampliamente disponibles y no requieren ninguna habilidad especial. Los atacantes usan esta técnica para forzar a los dispositivos a reconectarse, lo que puede exponer credenciales o crear una situación de denegación de servicio en la que los dispositivos no pueden mantenerse conectados.

PMF detiene esto firmando las tramas de gestión con una clave que solo comparten tu punto de acceso y los clientes autenticados. Una orden de desconexión falsa de un extraño será rechazada porque no tiene la firma correcta. Si usas WPA3, PMF ya es obligatorio según el estándar. En redes WPA2, activar PMF (aunque sea en modo "opcional") añade una protección real sin ningún coste en rendimiento.

Qué puedes hacer

• Activa PMF en todos los SSID; la mayoría de los routers modernos ofrecen una opción llamada "Protected Management Frames", "PMF" o "802.11w"
• Si tu router te da a elegir entre "Opcional" y "Requerido", empieza con "Opcional" para que los dispositivos más antiguos puedan seguir conectándose sin PMF mientras los más nuevos quedan protegidos
• Cambia a "Requerido" una vez que hayas confirmado que todos tus dispositivos lo soportan; cualquier dispositivo fabricado desde aproximadamente 2018 debería funcionar sin problemas
• Si usas WPA3, PMF ya es obligatorio, por lo que no necesitas hacer nada más
• Actualiza el firmware de tus puntos de acceso, ya que algunas versiones antiguas tienen soporte incompleto de PMF
• Si notas que un dispositivo no puede conectarse después de activar PMF, busca una actualización de controlador o firmware para ese dispositivo antes de desactivar PMF en toda la red

Lo que Network Weather te muestra

Network Weather revisa la configuración de tu punto de acceso e indica si las Tramas de Gestión Protegidas están activadas. PMF es obligatorio para WPA3 y muy recomendable para redes WPA2.