Pesquisadores divulgam o KRACK, conjunto de ataques de reinstalação de chave contra implementações do WPA2. A vulnerabilidade chama atenção porque o WPA2 é, neste momento, a base de segurança da maior parte das redes Wi-Fi protegidas.1

O ponto essencial não é "trocar a senha do Wi-Fi". O problema está no handshake criptográfico e em como clientes e pontos de acesso lidam com chaves. A correção depende de atualizações de software e firmware em múltiplos tipos de dispositivos: notebooks, smartphones, roteadores, access points, impressoras, equipamentos industriais e IoT.

A rede sem fio é parte do parque de ativos

Muitas empresas gerenciam servidores com rigor, mas tratam Wi-Fi como infraestrutura invisível. KRACK expõe o risco dessa separação. Um access point esquecido, um smartphone fora de política, uma câmera IP sem firmware ou um coletor de dados antigo podem manter exposição mesmo quando o core da rede está bem administrado.

O primeiro passo prático é inventário. Quais modelos de access point estão em uso? Qual versão de firmware? Quais dispositivos se conectam à rede corporativa? Quais dependem de fornecedor externo? Quais não recebem mais atualização? Sem essas respostas, não existe plano real de mitigação.

IoT amplia o problema

O KRACK também evidencia um desafio que fica cada vez mais sério: dispositivos conectados com ciclo de atualização fraco. Em ambientes corporativos, IoT pode significar câmera, catraca, sensor, impressora, balança, terminal de venda, equipamento médico ou automação predial. Muitos desses ativos usam Wi-Fi, mas não seguem a disciplina de patching de um notebook gerenciado.

A resposta corporativa precisa combinar segmentação, NAC, redes separadas por perfil, monitoramento de tráfego e política de compra. Equipamento sem ciclo claro de atualização deve entrar na avaliação de risco antes da aquisição, não apenas depois da próxima vulnerabilidade pública.

Correção coordenada vale mais que alerta

Órgãos como CERT-EU emitem advisories explicando a natureza do problema e a necessidade de aplicar atualizações de fornecedores.2 Mas o alerta, sozinho, não corrige ambiente. É preciso transformar comunicado em execução: priorizar ativos expostos, testar firmware, comunicar usuários, acompanhar fornecedores e registrar exceções.

Também é importante entender o limite da mitigação. HTTPS, VPNs e camadas de aplicação bem configuradas reduzem impacto em alguns cenários, mas não substituem correção do protocolo no dispositivo vulnerável. Segurança em profundidade ajuda; complacência não.

KRACK importa porque atinge uma camada que muita gente considera resolvida. A senha pode ser forte, a rede pode usar WPA2, e ainda assim há risco em implementações. A lição para organizações é direta: rede sem fio é software distribuído. E software distribuído precisa de inventário, atualização e governança. Essa disciplina precisa entrar no processo de compras.

  1. Site técnico dos pesquisadores sobre KRACK: https://www.krackattacks.com/
  2. CERT-EU, advisory 2017-021 sobre KRACK: https://cert.europa.eu/publications/security-advisories/2017-021/