¿Debería utilizar WPA2-AES, WPA2-TKIP o ambos?

Bloqueo de Wi-Fi con reloj y bloqueo de teclas

Muchos de los mejores enrutadores Wi-Fi ofrecen opciones WPA2-PSK (TKIP), WPA2-PSK (AES) y WPA2-PSK (TKIP / AES). Sin embargo, elija el incorrecto y tendrá una red más lenta y segura.

Los algoritmos de seguridad clave que verá al configurar una red inalámbrica son Privacidad equivalente por cable (WEP), Acceso protegido a Wi-Fi (WPA) y Acceso protegido a Wi-Fi II (WPA2). WEP es el más antiguo y se ha demostrado que es vulnerable a medida que se descubren más y más fallas de seguridad. WPA tiene seguridad mejorada, pero ahora se considera vulnerable a intrusiones. Aunque no es perfecto, WPA2 es ahora la opción más segura. El Protocolo de integridad de tiempo clave (TKIP) y el cifrado de alta calidad (AES) son los dos tipos diferentes de cifrado que verá que se utilizan en las redes seguras WPA2. Analizamos en qué se diferencia y qué funciona mejor para usted.

RELACIONADO: La diferencia entre las contraseñas Wi-Fi WEP, WPA y WPA2

AES vs. TKIP

TKIP y AES son dos tipos diferentes de cifrado que puede utilizar una red Wi-Fi. TKIP es un protocolo de cifrado más antiguo introducido con WPA para reemplazar el cifrado WEP altamente inseguro en ese momento. En realidad, TKIP se parece mucho al cifrado WEP. TKIP ya no se considera seguro y ahora está depreciado. Es decir, no debes usarlo.

AES es un protocolo de cifrado más seguro introducido con WPA2. AES tampoco es un estándar chirriante desarrollado específicamente para redes Wi-Fi. Es un estándar de cifrado global serio incluso adoptado por el gobierno de EE. UU. Por ejemplo, cuando cifra un disco duro con TrueCrypt, puede utilizar el cifrado AES para este propósito. En general, se considera que AES es relativamente seguro, y las principales vulnerabilidades son los ataques de fuerza de sarampión (prevenidos mediante el uso de contraseñas seguras) y las vulnerabilidades de seguridad en otros aspectos de WPA2.

RELACIONADO: Se explican los ataques de fuerza bruta: qué tan vulnerable es cada cifrado

La versión corta es que TKIP es un estándar de encriptación más antiguo que usa el estándar WPA. AES es una solución de encriptación Wi-Fi más nueva que utiliza el nuevo y seguro estándar WPA2. En teoría, este es el final. Pero dependiendo de su enrutador, es posible que elegir WPA2 no sea lo suficientemente bueno.

Si bien WPA2 debe usar AES para una seguridad óptima, también puede usar TKIP cuando se requiera compatibilidad con dispositivos más antiguos. En tal situación, los dispositivos que admitan WPA2 se conectarán a WPA2 y los dispositivos que admitan WPA se conectarán a WPA. Entonces, «WPA2» no siempre significa WPA2-AES. Sin embargo, para los dispositivos que no tienen una opción ‘TKIP’ o ‘AES’ visible, WPA2 suele ser sinónimo de WPA2-AES.

RELACIONADO: Advertencia: las redes Wi-Fi encriptadas con WPA2 siguen siendo vulnerables al Snooping

Y si se está preguntando, «PSK» en estos nombres significa «clave precompartida»; la clave precompartida es generalmente sus contraseñas cifradas. Esto es diferente de WPA-Enterprise, que utiliza un servidor RADIUS para implementar claves únicas en redes Wi-Fi corporativas o gubernamentales más grandes.

Se explican los métodos de seguridad de Wi-Fi

¿Sigo confundido? No nos sorprende. Todo lo que tiene que hacer es buscar la opción más segura en la lista que funcione con sus dispositivos. Estas son las opciones que verá en su enrutador:

RELACIONADO: Por qué no debería alojar una red Wi-Fi abierta sin contraseña

  • Abierto (riesgo): Las redes Wi-Fi abiertas no tienen una frase de acceso. No debe configurar una red Wi-Fi abierta; en serio, la puerta de su policía podría romperse.
  • WEP 64 (peligroso): El protocolo WEP estándar antiguo es frágil y no debería utilizarlo.
  • WEP 128 (priacal): Esto es WEP, pero con una clave de cifrado más grande. En realidad, no es más vulnerable que WEP 64.
  • WPA-PSK (TKIP): Utiliza la versión original del protocolo WPA (básicamente WPA1). WPA2 ha sido reemplazado y no es seguro.
  • WPA-PSK (AES): Utiliza el protocolo WPA original, pero reemplaza TKIP con un cifrado AES más moderno. Se proporciona como copia de seguridad, pero los dispositivos que admiten AES casi siempre admitirán WPA2, y los dispositivos que requieren WPA casi nunca admitirán el cifrado AES. Entonces esta opción no tiene sentido.
  • WPA2-PSK (TKIP): Utiliza el estándar WPA2 moderno con encriptación TKIP más antigua. Esto no es seguro y solo es una buena idea si tiene dispositivos más antiguos que no pueden conectarse a la red WPA2-PSK (AES).
  • WPA2-PSK (AES): Esta es la opción más segura. Utiliza WPA2, el último estándar de encriptación Wi-Fi y el último protocolo de encriptación AES. Debería utilizar esta opción. En algunos dispositivos, solo verá «WPA2» o «WPA2-PSK». Si lo hace, probablemente solo use AES, ya que es una buena elección.
  • WPAWPA2-PSK (TKIP / AES): Algunos dispositivos ofrecen, e incluso recomiendan, esta opción de forma mixta. Esta opción habilita WPA y WPA2 con TKIP y AES. Esto proporciona la máxima compatibilidad con cualquier dispositivo más antiguo que tenga, pero permite que un atacante ingrese a su red rompiendo los protocolos WPA y TKIP más vulnerables.

La certificación WPA2 se introdujo en 2004, hace diez años. En 2006, la certificación WPA2 era obligatoria. Cualquier dispositivo fabricado después de 2006 con el logotipo «Wi-Fi» debe admitir el cifrado WPA2.

Dado que es probable que sus dispositivos compatibles con Wi-Fi sean más nuevos que los 8-10 años, solo debería poder manejar WPA2-PSK (AES). Seleccione esa opción y luego vea si algo no funciona. Si un dispositivo ya no funciona, puede cambiarlo en cualquier momento. Sin embargo, si la seguridad es un problema, es posible que desee comprar un nuevo dispositivo fabricado en 2006.

WPA y TKIP ralentizarán su conexión Wi-Fi

RELACIONADO: Comprender enrutadores, conmutadores y hardware de red.

Las opciones de compatibilidad WPA y TKIP también pueden ralentizar mi red Wi-Fi. Muchos enrutadores Wi-Fi modernos que admiten 802.11ny estándares más nuevos y más rápidos se reducirán a 54 Mbps si habilita WPA o TKIP en sus opciones. Hacen esto para asegurarse de que sean compatibles con estos dispositivos antiguos.

En comparación, incluso 802.11n admite hasta 300 Mbps si usa WPA2 con AES. En teoría, 802.11ac ofrece velocidades máximas de 3,46 Gbps en las mejores condiciones (léase: perfecto).


En la mayoría de los enrutadores que he visto, las opciones son generalmente WEP, WPA (TKIP) y WPA2 (AES), con el modo de compatibilidad WPA (TKIP) + WPA2 (AES) introducido para una buena medición.

Si tiene un enrutador extraño que ofrece WPA2 en los sabores TKIP o AES, elija AES. Casi todos sus dispositivos funcionarán con él y es más rápido y seguro. Es una elección fácil, siempre que recuerde que AES es la correcta.