Seguridad WPS en redes WiFi: riesgos, usos y alternativas

Última actualización: enero 23, 2026
Autor: Leo Iglesias
  • WPS simplifica la conexión al WiFi pero se apoya en un PIN de 8 dígitos estructuralmente débil y fácilmente atacable.
  • Las herramientas actuales permiten romper WPS y obtener la clave WPA/WPA2 de la red en minutos en routers vulnerables.
  • La Wi‑Fi Alliance ha dejado de impulsar WPS y apuesta por Wi‑Fi Easy Connect junto con WPA2/WPA3.
  • La medida más recomendable hoy es desactivar WPS (sobre todo el modo PIN) en el router y usar solo contraseñas fuertes.

seguridad wps en redes wifi

Si tienes un router en casa, es muy probable que en algún momento te hayas fijado en un pequeño botón con las siglas WPS y nunca lo hayas usado. Ese botón aparentemente inocente es una de las formas más rápidas de conectar dispositivos a tu WiFi… y también uno de los puntos más delicados para la seguridad de tu red.

Aunque WPS nació para hacernos la vida más fácil evitando escribir contraseñas largas y complejas, con el paso de los años se ha convertido en una puerta de entrada muy jugosa para atacantes que quieren colarse en redes domésticas y de pequeñas empresas. En este artículo vamos a desgranar cómo funciona, por qué es tan problemático, qué dicen los estándares actuales y qué debes hacer en tu router para no regalar tu conexión (ni tus datos) a cualquiera.

Qué es WPS y para qué sirve en tu WiFi

Las siglas WPS vienen de Wi‑Fi Protected Setup. Se trata de un mecanismo diseñado por la Wi‑Fi Alliance para que conectar un dispositivo a una red inalámbrica sea casi tan fácil como pulsar un botón, sin necesidad de teclear la contraseña WPA/WPA2 entera.

En lugar de introducir una clave compleja, WPS permite que el dispositivo se autentique utilizando un código PIN de 8 dígitos o bien un mecanismo de emparejado físico (botón, NFC, USB). El objetivo original era muy claro: que usuarios sin conocimientos técnicos pudieran montar una red doméstica “segura” en pocos pasos.

A nivel lógico, WPS define tres tipos de roles dentro de la red:

  • Registrar: el dispositivo que tiene autoridad para generar, entregar o revocar las credenciales de la red. Puede ser el propio punto de acceso (AP/router) o incluso otra estación. Puede haber varios Registrars en la misma WLAN.
  • Enrollee: el equipo que quiere “matricularse” en la red, es decir, el cliente que solicita acceso WiFi (móvil, portátil, smart TV, impresora, etc.).
  • Authenticator: normalmente el punto de acceso, que actúa de intermediario entre Registrar y Enrollee, gestionando el proceso de autenticación y el intercambio de credenciales.

Sobre esa arquitectura, el estándar define cuatro métodos de configuración para realizar el intercambio de credenciales de forma simplificada: PIN, PBC (Push Button Configuration), NFC y USB. La idea es la misma en todos: ahorrarte escribir la clave WPA/WPA2 entera.

Métodos de conexión WPS: PIN, botón, NFC y USB

El WPS puede trabajar de varias maneras, pero no todas tienen el mismo nivel de riesgo ni la misma presencia en routers reales. Vamos a verlas una a una, porque todas confluyen en el mismo problema: qué fácil resulta a un atacante aprovecharlas si están mal implementadas o mal configuradas.

1. Método WPS por PIN

Es el mecanismo “clásico” y el más extendido históricamente. Cada router incorpora un PIN WPS de 8 cifras, que suele estar impreso en una pegatina junto a la contraseña WiFi y otros datos. Ese PIN se puede usar desde cualquier cliente compatible para autenticarse en la red sin necesidad de introducir la clave WPA/WPA2.

El proceso típico es:

  • En el dispositivo, eliges conectarte a la red WiFi usando WPS.
  • Introduces el PIN WPS configurado en el router (el de la pegatina o uno que hayas cambiado tú).
  • El router valida ese PIN y, si es correcto, envía al cliente las credenciales reales de la red (SSID, tipo de cifrado y contraseña WPA/WPA2).

A nivel interno, el estándar define el PIN como dos subcódigos de 4 dígitos. El último dígito del segundo bloque es un checksum, es decir, una cifra de control que reduce muchísimo el número real de combinaciones que un atacante tiene que probar. En vez de tener 10⁸ posibles PIN (cien millones), el espacio efectivo ronda las 11.000 combinaciones. Eso, para un ataque automatizado, es una broma.

Para colmo, muchos fabricantes han cometido errores graves: hay routers de operadores que usan siempre el mismo PIN WPS, otros que lo derivan del número de serie o usan patrones fácilmente predecibles. Eso permite que herramientas específicas calcule o prueben de manera casi instantánea el PIN válido para todo un modelo de router.

2. Método WPS con botón físico (PBC)

Conocido como Push Button Configuration, es seguramente el método que más habrás visto en la práctica. Consiste en pulsar el botón WPS del router y, en un intervalo corto de tiempo (habitualmente entre 60 y 120 segundos), pulsar el botón equivalente en el dispositivo o seleccionar la opción WPS en su menú.

Te puede interesar:  Cómo Quitar Malware de Google Chrome

Mientras ese intervalo está activo, el router “abre” la red en modo WPS y acepta el intento de conexión de un Enrollee compatible. El emparejado se realiza de forma automática, sin que tengas que introducir ninguna contraseña. Muchos equipos tienen un LED específico para WPS que parpadea mientras dura esa ventana de emparejado.

En teoría, este sistema es menos crítico que el PIN porque requiere presencia física delante del router (tú presionas el botón). Pero sigue teniendo su riesgo: si alguien está atento, con las herramientas adecuadas, puede aprovechar esa ventana abierta para colarse, o simplemente conectarse como “invitado no deseado” si está cerca cuando activas el botón.

3. Método WPS mediante NFC

Este modo se basa en Near Field Communication. El Enrollee se acerca físicamente al Registrar (router o punto de acceso con NFC) a unos pocos centímetros, y el intercambio de credenciales se hace de forma inalámbrica a muy corta distancia.

En la práctica, este método está mucho menos extendido que PIN o PBC. Su filosofía es parecida a “pagar con el móvil”: basta acercar el dispositivo para que se produzca el emparejado. El lado bueno es que obliga a estar muy cerca del punto de acceso; el lado malo, que cualquiera con acceso físico al router puede conseguir credenciales válidas en segundos.

4. Método WPS por USB

El estándar también contempla un cuarto método donde las credenciales se copian a un dispositivo USB desde el Registrar y luego se conectan físicamente al Enrollee. Es decir, usar un pendrive como “llave” para matricular nuevos equipos.

Aunque está definido oficialmente, casi ningún fabricante doméstico lo ha popularizado, y la propia Wi‑Fi Alliance no suele certificar implementaciones basadas en USB. Su uso real es marginal, pero conviene conocerlo porque forma parte del diseño original de WPS.

En la práctica, los métodos realmente presentes en routers domésticos y de operadora son el PIN y el botón físico PBC. Y, por desgracia, el primero ha demostrado ser un desastre de seguridad.

Cómo funciona WPS paso a paso en un router doméstico

Si miramos el proceso desde el punto de vista del usuario, usar WPS parece casi mágico: seleccionas la red, pulsas un botón o metes un PIN corto y el dispositivo se conecta solo. Por debajo, sin embargo, lo que ocurre es algo más delicado.

En un escenario típico de botón PBC:

  • Te vas a la configuración WiFi de tu dispositivo (móvil, tablet, portátil, tele, consola…).
  • Elegas conectarte por WPS (botón). El equipo se queda a la espera del “permiso” del router.
  • Pulsas el botón WPS del router durante unos segundos.
  • El router marca internamente un periodo de tiempo durante el cual acepta solicitudes WPS entrantes. Suele señalizarlo con un LED parpadeando.
  • Cuando el dispositivo detecta la respuesta del router, se autentica por WPS y recibe las credenciales reales de la red: SSID, tipo de cifrado (WPA/WPA2) y la clave.
  • El router desactiva el modo WPS automáticamente pasado el intervalo configurado.

En el modo PIN, no hace falta pulsar el botón físico del router: el propio estándar permite que el PIN sea válido permanentemente mientras la función WPS por PIN esté activada. Eso significa que alguien puede lanzar intentos de conexión por PIN en cualquier momento, sin que tú toques nada.

En muchos modelos, el PIN por defecto viene impreso en una etiqueta en la parte inferior o trasera del equipo. Si cualquiera tiene acceso físico al router, puede apuntarlo. Y si no lo tiene, muchas veces basta con tirar de diccionarios de PIN por modelo para probar suerte.

Resumiendo: cuando WPS está activo, parte de la lógica de seguridad de tu WiFi se traslada de tu contraseña larga y robusta a un PIN mucho más débil o a una ventana de emparejado temporal. Eso es precisamente lo que explotan las herramientas de auditoría y los ataques automatizados.

Por qué WPS es inseguro y está siendo abandonado

En torno a 2011 salieron a la luz varias investigaciones (como las de Stefan Viehböck) que detallaban de forma muy clara las debilidades de WPS, sobre todo en el modo PIN. Desde entonces, el consenso en ciberseguridad es que dejar WPS habilitado, especialmente por PIN, es una mala idea.

Los motivos principales son:

  • El PIN se puede romper por fuerza bruta con pocas miles de combinaciones útiles, muy lejos de los cien millones teóricos de un código de 8 dígitos.
  • El protocolo valida internamente los bloques del PIN por separado, lo que permite reducir aún más el número de intentos necesarios.
  • Muchos fabricantes han reutilizado PIN por defecto o algoritmos previsibles, permitiendo ataques prácticamente instantáneos a modelos concretos.
  • Durante el tiempo en que el WPS está activo (modo botón), la red acepta clientes sin exigir la contraseña WPA/WPA2, lo que baja el listón de seguridad en ese intervalo.
Te puede interesar:  Cómo Hackear Snapchat

Para frenar esta situación, numerosos fabricantes introdujeron mecanismos de protección contra fuerza bruta: por ejemplo, bloquear temporalmente la función WPS tras varios intentos fallidos de PIN (3, 5, 10… según modelo), obligando a reiniciar el router o a esperar un tiempo antes de seguir probando.

Aun así, han ido apareciendo ataques más sofisticados, como Pixie Dust y variantes en herramientas modernas como Reaver 1.6+, Bully o WPSPIN, que explotan debilidades en la implementación del protocolo o en determinados chipsets WiFi. En algunos casos, estos ataques permiten recuperar el PIN en segundos, sin necesidad de probar todas las combinaciones posibles contra el router en tiempo real.

No hablamos solo de teoría. Herramientas como Dumpper en Windows o Wifislax en Linux (con utilidades como Reaver y Bully) han popularizado tanto la auditoría de WPS que cualquier usuario mínimamente curioso puede romper PIN de routers antiguos en muy poco tiempo. En Android, WPSApp o WPSPIN replican este enfoque, usando extensas bases de datos de PIN por defecto.

Ante este panorama, la reacción de la industria ha sido clara:

  • Muchos routers nuevos traen el WPS desactivado de fábrica, o al menos el modo PIN.
  • Algunos modelos de operadora han eliminado directamente la posibilidad de usar PIN y solo permiten WPS por botón, o incluso nada.
  • La Wi‑Fi Alliance ha dejado de promocionar y soportar WPS, impulsando en su lugar un nuevo estándar: Wi‑Fi Easy Connect.
  • WPS no es compatible con WPA3, el protocolo de seguridad WiFi más moderno, lo que es otra señal más de que su ciclo de vida está acabando.

Mientras tanto, miles de redes domésticas siguen teniendo activo el WPS por puro desconocimiento. Y eso es justo lo que explotan los atacantes, sobre todo en entornos residenciales con routers de operadoras poco actualizados.

Herramientas y ataques que aprovechan WPS

No tiene sentido entrar en detalles técnicos de explotación paso a paso, pero sí es importante que sepas que existe un ecosistema maduro de herramientas pensadas específicamente para romper WPS y obtener la clave WPA/WPA2 de una red. Eso explica por qué desactivarlo es tan buena idea.

Algunos ejemplos representativos son:

  • Dumpper (Windows): interfaz gráfica muy sencilla, pensada inicialmente para “comprobar la seguridad” de tu propia red. Detecta redes con WPS activo, estima PIN probables según el fabricante/modelo y prueba hasta encontrar uno válido. Una vez lo consigue, revela la contraseña WPA/WPA2 usada por el router.
  • WPSApp y WPSPIN (Android): hacen algo muy parecido en móviles. Escanean redes con WPS habilitado, consultan grandes diccionarios de PIN conocidos y lanzan ataques automáticos. Cuando aciertan, el móvil se conecta o muestra la clave.
  • Reaver y Bully (Linux, distribuciones como Wifislax o Kali): orientadas a auditoría profesional. Implementan ataques de fuerza bruta y ataques avanzados tipo Pixie Dust contra implementaciones vulnerables de WPS.

El patrón es siempre el mismo: una vez que la herramienta consigue el PIN correcto, puede negociar con el router y extraer la clave WPA/WPA2 en texto claro. Da igual que tu contraseña WiFi sea larguísima y aleatoria: si el WPS es vulnerable, la barrera se derrumba por ahí.

En routers antiguos sin protección de intentos, o con PIN por defecto previsible, el tiempo de ataque puede ser de minutos. En modelos más modernos con bloqueos anti-fuerza bruta, el ataque puede tardar mucho más o volverse poco práctico; aún así, el simple hecho de tener activo algo innecesario aumenta tu superficie de ataque.

Ventajas y desventajas reales de usar WPS hoy

Para ser justos, hay que reconocer que WPS resolvía un problema real de usabilidad cuando se diseñó. Configurar una red WPA/WPA2 con un SSID personalizado y una contraseña robusta no es trivial para cualquiera, y escribir esa clave en televisores, impresoras o dispositivos IoT puede ser un auténtico suplicio.

Entre sus ventajas originales se encuentran:

  • Conexión extremadamente sencilla: pulsar un botón o meter 8 cifras es mucho más cómodo que teclear contraseñas largas en pantallas incómodas.
  • No necesitas conocer el SSID ni la clave WPA/WPA2 en el momento de conectar, basta con el PIN o el botón.
  • Automatiza la configuración “segura” de la red: la idea era que el router se encargara de definir cifrado WPA2 y credenciales sin que el usuario tuviera que tocar nada delicado.
  • El estándar incorpora el uso de EAP con WPA2, permitiendo transmitir de manera segura la información sensible una vez el proceso se inicia.

El problema es que, puestos en la balanza, las desventajas de seguridad pesan mucho más que esas comodidades en el contexto actual:

  • La debilidad estructural del PIN lo hace fácilmente atacable, especialmente en routers sin bloqueo de intentos o con PIN predecibles.
  • Los dispositivos que no soportan WPS tienen que usar igualmente la contraseña, así que al final conviven dos métodos distintos de acceso, complicando la superficie de ataque.
  • El modo botón PBC abre una ventana de tiempo donde cualquiera en las proximidades puede intentar conectarse sin contraseña.
  • La propia Wi‑Fi Alliance ha dejado de recomendarlo y ha promovido su sustitución por soluciones más seguras como Wi‑Fi Easy Connect.
Te puede interesar:  Cómo Usar Alarma Securitas Direct Sin Pagar

Hoy en día, con móviles que comparten contraseñas guardadas, códigos QR para redes WiFi, gestores de contraseñas y nuevos estándares más seguros, el argumento de “lo necesito para no escribir la clave” pierde bastante fuerza.

Qué dice la Wi‑Fi Alliance y cuál es el sustituto de WPS

La Wi‑Fi Alliance, responsable de los estándares y certificaciones WiFi, ha dejado de impulsar WPS y recomienda expresamente desactivarlo cuando sea posible. El sucesor natural que promueve es Wi‑Fi Easy Connect.

Easy Connect propone un esquema muy distinto:

  • Se basa en códigos QR o etiquetas NFC que contienen la información necesaria para matricular nuevos dispositivos.
  • Permite que dispositivos sin pantalla ni teclado (IoT, sensores, cámaras, etc.) se configuren de forma segura usando un “configurador” (generalmente tu móvil).
  • Emplea criptografía de clave pública para autenticar el proceso y proteger el intercambio de credenciales.
  • Es compatible con WPA2 y WPA3, y está pensado para convivir con redes modernas.

El objetivo es mantener la facilidad de uso de WPS, pero sin arrastrar sus debilidades de diseño. A medida que routers y sistemas operativos vayan adoptando Easy Connect y que WPA3 se generalice, WPS irá desapareciendo de forma natural.

De hecho, muchos sistemas operativos recientes ya han eliminado o escondido las opciones de conectarse por WPS. Y dado que WPS ni siquiera es compatible con WPA3, el mensaje es claro: está condenado a ser una pieza de museo de la época de WPA2.

Cómo saber si tienes WPS activado y cómo deshabilitarlo

Si te preocupa la seguridad de tu red (y debería), el primer paso es comprobar en tu router si WPS está activo y, en caso afirmativo, apagarlo o al menos desactivar el modo PIN.

Formas de comprobarlo:

  • Mirando el propio router: muchos equipos tienen un LED o icono WPS que se enciende o parpadea cuando la función está activa. Si pulsas el botón y ves que el indicador se ilumina, ya sabes que, como mínimo, el modo botón está habilitado.
  • Desde la interfaz web del router: accede desde el navegador a la IP de gestión (muy habitual: 192.168.1.1), entra con usuario y contraseña y busca en los menús de Wireless, Wi‑Fi o Network una sección llamada “WPS”. Ahí verás si el servicio está habilitado, y normalmente podrás desmarcarlo.
  • Desde apps móviles de algunos fabricantes: routers modernos y sistemas Mesh suelen tener apps propias para gestionar la red. Muchas incluyen un apartado para WPS donde se puede activar solo por botón o dejarlo apagado.

Según el modelo, te encontrarás varias opciones:

  • Activar/desactivar WPS por completo.
  • Activar solo WPS PBC (botón) y desactivar el WPS PIN.
  • Generar un nuevo PIN AP de forma aleatoria (aunque lo recomendable es no usarlo).

En routers de operadores españoles hay casuísticas curiosas:

  • En muchos HGU de Movistar, Livebox de Orange/Jazztel, Compal de Vodafone, etc., puedes desactivar WPS desde la pestaña Wi‑Fi, sección WPS o “emparejado por WPS”.
  • Modelos como el ZTE F680 de algunos grupos optaron por no permitir PIN WPS, ofreciendo solo botón físico o PBC desde interfaz, reduciendo así el riesgo de fuerza bruta.
  • En routers de marcas como ASUS, AVM FRITZ!Box, D‑Link, NETGEAR y similares, es frecuente poder desactivar permanentemente el modo PIN y mantener solo el botón, o incluso apagar WPS al completo.

Un caso especial son las redes Mesh: algunos sistemas necesitan WPS para sincronizar nodos entre sí. En esos casos, una estrategia razonable es activarlo solo en la fase de emparejado inicial y, una vez que los nodos estén configurados, volver a deshabilitarlo si el sistema lo permite.

Como regla general práctica: si no tienes un motivo muy concreto para usar WPS (y casi nunca lo hay), entra en el firmware de tu router y apágalo. Y, si tu router no ofrece opción de desactivarlo, ya tienes un motivo más para plantearte sustituirlo por un modelo más moderno y configurable.

En definitiva, WPS fue una buena idea mal envejecida: te ahorra escribir contraseñas, pero lo hace abriendo un flanco de seguridad que hoy ya no compensa. Con herramientas al alcance de cualquiera, vulnerabilidades documentadas y un estándar sucesor más robusto en marcha, lo más sensato para proteger tu WiFi doméstica es olvidarte del botón milagroso, apostar por una buena contraseña WPA2/WPA3, mantener tu router actualizado y apoyarte en métodos modernos como códigos QR o Wi‑Fi Easy Connect cuando estén disponibles.

Artículo relacionado:
Cómo Saber si Utilizan mi Red WiFi