Cómo asegurar tu router y la red doméstica

La mayoría de ISP nos entregan el router ya configurado, pero ponerlo en funcionamiento no es solo cuestión de sacarlo de la caja y enchufarlo. Hemos de tener en cuenta que estos aparatos son la puerta de entrada y salida de nuestros datos.

Y una mala configuración puede poner nuestra red doméstica en riesgo.

Muchos de nuestros hogares suelen estar llenos de una amplia gama de dispositivos que requieren una conexión a Internet.

Ordenadores personales, tablets, teléfonos móviles, Smart TV, asistentes de voz, y hasta incluso cafeteras o monitores para bebés.

Esta creciente dependencia de Internet para conectar todos nuestros dispositivos ha abierto la puerta a muchos riesgos. 

Pero no hace falta ponernos paranoicos.

Afortunadamente, a nivel de usuarios domésticos, casi nunca pasa nada.

Es muy poco probable que alguien se posicione en la acera de enfrente, armado con un portatil que tenga las herramientas de pirateo necesarias.

Pero aun así, no debemos descartar nada.

Cómo proteger el router y la red doméstica

La seguridad de una red doméstica es tan buena (o mala) como la configuración del router.

Si es vulnerable, en el mejor de los casos, podrías facilitar que los gorrones acaparen tu ancho de banda.

Pero no se trata solo de la pérdida potencial de velocidad debida a que los vecinos se conecten a tu red.

Los piratas informáticos, adoran las redes wifi inseguras.

A menudo buscan redes mal configuradas que pueden intentar explotar para perpetrar sus fechorías, como el robo de información o el secuestro del dispositivo.

Cambiar el nombre de usuario y contraseña predeterminados de acceso al router.

Los proveedores de servicios asignan automáticamente un nombre de usuario y contraseña, que suele venir en un pegatina adherida debajo del router.

Y no hace falta complicarse mucho la vida ni darse una vuelta por la web oscura para encontrar estas contraseñas.

Muchas veces basta con una simple búsqueda en internet.

Como cambiar el nombre de usuario y contraseña de acceso al router

La mayoría de estos dispositivos, tienen lo que se llama una dirección IP interna, que en la mayoría de los casos es 192.168.1.1

Una vez dentro de la configuración del router, la opción de cambiar la contraseña de administrador, normalmente la encontraremos en la sección de herramientas, otros ajustes o sistema.

Una vez localizada tendremos que introducir el nombre de usuario y la contraseña por defecto, y posteriormente la nueva contraseña de nuestra elección.

En función del proveedor de internet, el acceso a muchos routers de fibra se realiza en línea, mediante un navegador web.

En este caso, solamente deberemos entrar en nuestra cuenta, y la pagina nos irá guiando paso a paso, y sin complicaciones.

Cambiar la contraseña predeterminada de la red wifi

Es posible que hayas escuchado que un buen hábito es cambiar la contraseña wifi regularmente, sin embargo, otra cosa muy importante es elegir una que sea segura para que no pueda ser pirateada fácilmente.

Pero, incluso una contraseña larga puede ser bastante inútil si tiene entropía muy baja, y esta formada por palabras comunes que podemos encontrar en el diccionario.

Es importante que sea aleatoria y formada por letras, números y símbolos.

Después de iniciar sesión en tu router entra en «Ajustes» donde encontrarás la información sobre el nombre de tu red, el cifrado de seguridad que usa y, por último, la opción de cambiar la contraseña.

Casi no hace falta decirlo, pero cuando configures una contraseña para tu red wifi no uses WEP.

• Las contraseñas «protegidas» con el cifrado WEP son mucho más fáciles de atacar por fuerza bruta que las cifradas con WPA2 o WPA3.
• Si es posible, junto con el protocolo WPA2 (o WPA3) siempre hay que elegir el cifrado AES en vez de TKIP.

Recuerda pulsar en «Guardar» o «Aceptar» para que los cambios surtan efecto.

Para llevar a cabo esta operación sin problemas, es bastante recomendable (aunque no necesariamente obligatorio) conectar el ordenador al router mediante un cable Ethernet.

Cambiar el nombre de la red wifi

En la gran mayoría de los casos, el nombre de la red wifi está relacionado con el nombre del proveedor de servicios de internet (ISP) que tenemos contratado.

Para no dar pistas sobre quién es nuestro proveedor y qué modelo de router tenemos, lo mejor es modificar este tipo de información y cambiarla por algo con lo que no nos puedan asociar a nuestro ISP.

Por ejemplo Movistar_FA2580 por cualquier otra cosa que se nos ocurra.

Nunca ocultes el nombre de tu red

Ocultar por completo el SSID, para que su nombre no aparezca cuando alguien realiza una búsqueda de redes wifi, en principio puede parecer una buena idea.

Pero es un mecanismo de seguridad obsoleto, y solo nos servirá para complicarnos bastante la vida a la hora de conectar nuestros dispositivos.

Un punto de acceso wifi normal envía balizas que contienen toda la información necesaria para que los dispositivos cercanos la detecten y se conecten a él, como el SSID de la red y el tipo de cifrado.

Las redes ocultas, por el contrario, nunca envían balizas y no se anuncian a sí mismas de ninguna manera, por lo cual nunca transmitirán antes de que un dispositivo intente conectarse a ellas.

Por lo que cada vez que uno de tus dispositivos quera conectarse a tu red wifi, «gritará» constantemente el nombre de la red que has ocultado para tratar de encontrarla.

Y este grito puede ser escuchado por alguien que se encuentre al acecho.

• Esto hace que sea más fácil engañar al dispositivo para que se conecte a una red falsa.
• También permite que cualquiera pueda rastrear su presencia mediante las señales de radio que envía constantemente.

Deshabilitar  WPS

En teoría, WPS, o configuración protegida de wifi, puede parecer algo muy cómodo y útil.

En lugar de tener que insertar una contraseña larga y razonablemente compleja, simplemente puedes escribir un número PIN impreso en la parte trasera de tu router.

Muchas veces en las redes domésticas, se utiliza el intercambio de PIN, para conectar un teléfono móvil (o cualquier otra cosa) a la red sin necesidad de introducir la contraseña.

El dispositivo debe transmitir un código numérico al router y a cambio este último le envía los datos para acceder a la red.

Estos números PIN son mucho más fáciles de atacar por fuerza bruta que una contraseña o frase de contraseña más complicada.

Si bien varios routers agotarán el tiempo de espera de un atacante después de que fracasen en un cierto número de intentos, eso no ha impedido que surjan ataques más ingeniosos, que pueden romper redes Inalámbricas con WPS en minutos, con alguna herramienta especializada.

La forma más fácil y efectiva de prevenir este tipo de imponderables es deshabilitar WPS por completo.

Deshabilitar servicios potencialmente peligrosos

Probablemente no necesites entrar en la configuración de tu router cuando estas en el trabajo o de vacaciones.

Si tu dispositivo tiene algún tipo de opción para administración remota asegúrate de que esta deshabilitada.

Actualizar el firmware del router

Uno de los errores más comunes es no hacer un seguimiento de las actualizaciones del firmware, lo que implica no tener las últimas versiones del mismo que, habitualmente, incluyen parches de seguridad contra vulnerabilidades conocidas, que suelen ser la puerta de entrada de los cibercriminales.

Para mantenerlo actualizado, normalmente hay que:

• Conectar el ordenador al router mediante un cable Ethernet (muy importante).
• Buscar la marca y modelo del dispositivo.
• Descargar la imagen del firmware.
• Hacer una copia de seguridad de la configuración del router. Una actualización del firmware no supone perder la configuración actual del router, pero nunca está de más.
• Ejecutar la actualización.

Como siempre, se han de realizar las descargas desde páginas web oficiales y no confiar en recursos sospechosos.

Afortunadamente, algunos modelos de router envían un aviso cuando hay una nueva actualización disponible.

En este caso, simplemente tenemos que pulsar en «Actualizar Firmware» para empezar la descarga.

Identificar qué dispositivos se conectan al router

Cada dispositivo (teléfono, ordenador, impresora, etc.) se identifica con su dirección MAC.

Eso, permite conocer quién está conectado en cada momento, algo que te ayudará a saber si tienes intrusos en tu red y a proteger tu router de accesos no autorizados.

Para conocer los dispositivos conectados a nuestra red wifi e identificarlos, hay que acceder al «Panel de control» o «Panel de configuración» del Router.

Pero también puedes utilizar algun programa de terceros como Fing, Network Scanner, Wireless Network Watcher o Advanced IP Scanner.

Estas utilidades analizan tu red inalámbrica y muestran la lista de todos los dispositivos que están conectados a ella

El programa muestra la siguiente información de cada dispositivo.

• Dirección IP.
• Dirección MAC.
• La compañía que fabricó la tarjeta de red.
• El nombre del dispositivo.

Por ejemplo si tienes en casa cinco dispositivos, y aparecen diez conectados, posiblemente tengas cinco intrusos en tu red.

Puedes impedir su acceso, bloqueando su dirección MAC desde la configuración del firewall de tu router.

Habilitar el firewall incorporado de el router

La mayoría de los routers tienen un cortafuegos integrado basado (más o menos) en hardware, y a menos que el cliente lo haya activado suele estar deshabilitado por defecto.

Para asegurarte de que tu router tiene un firewall incorporado y se encuentra habilitado, abre una ventana del navegador web e inicia sesión en la consola administrativa de tu router.

En función del modelo de router, la operativa puede ser distinta.

Después de iniciar sesión en la consola administrativa, busca una página de configuración denominada Seguridad o Firewall.

Esto indicará si tu dispositivo tiene un firewall incorporado como parte de sus características.

• Accede a la página de configuración de tu router.
• Localiza una entrada etiquetada como Firewall, SPI Firewall o algo similar.
• Selecciona Habilitar.
• Selecciona Guardar y luego Aplicar.
• Después de seleccionar Aplicar, tu router probablemente se reiniciara para aplicar la configuración.

En la mayoría de los casos, basta con seleccionar una de las opciones predeterminadas sin necesidad de tener que lidiar con complicados ajustes, o dejar activadas las reglas que vienen por defecto.

En caso de duda, tu proveedor de servicios de internet, siempre puede echarte una mano.

Eliminar de tu lista de redes que no necesitas

La Lista de redes preferidas, o PNL, es una lista de nombres de redes wifi en las que un dispositivo confía automáticamente.

Esta lista se crea a partir de las redes a las que te conectas a lo largo del tiempo, pero no puede distinguir entre redes distintas que comparten el mismo nombre y tipo de seguridad.

Eso significa que después de conectarte una sola vez a una red wifi tu dispositivo la recordará, y se conectará automáticamente a cualquier red abierta con el mismo nombre.

Para un pirata informático, es relativamente fácil crear puntos de acceso falsos que imiten los nombres de puntos de acceso wifi abiertos para realizar ataques de Hombre en el Medio.

Conclusión

Seguir estos pasos, no hara que tu red sea invulnerable, pero por lo menos, mejorarás su seguridad.

Por cierto, se nos olvidaba algo.

Muchos routers permiten configurar una red de invitados con un nombre de usuario y contraseña diferentes.

 Es una buena medida de seguridad por dos razones:

1. Proporcionar credenciales de inicio de sesión independientes, significa que menos personas conoceran la contraseña principal de tu red wifi. 
2. En caso de que un invitado tenga malware en su dispositivo, el código malicioso no podrá interactuar con la red principal.