Herramientas para proteger tu router de ciberataques

Fiabilidad

¿Conoces esa cosa conectada a la toma principal de tu banda ancha? Lleva impresa la clave Wi-Fi y lo reinicias cuando se acaba la banda ancha.

El router es el dispositivo electrónico más importante de tu casa, ya que controla lo que puede entrar y salir de tu red doméstica.

Es el guardián entre tu entorno de red interno y el salvaje oeste de la Internet no regulada, y a menudo está descuidado y es extremadamente inseguro.

Tu humilde router doméstico

Lamentablemente, la mayoría de los routers suministrados por los proveedores de servicios de Internet (ISP) como parte de su contrato están diseñados y suministrados pensando en el presupuesto, no en la eficacia y la seguridad.

Incluso los dispositivos que podrían hacer un trabajo decente son propensos a tener configuraciones por defecto inseguras o incluso puertas traseras de servicio y firmware con errores.

Todos los routers modernos incluyen funciones de cortafuegos. La facilidad con la que el usuario puede acceder al cortafuegos y cambiar la configuración varía de un fabricante a otro. En algunos casos, el usuario ni siquiera puede ver la configuración del cortafuegos. Se suministran en caja negra, configurados en un formato único.

Los que permiten cambios en la configuración rara vez dicen a sus usuarios finales que es posible. Incluso en los raros casos en que se informa al usuario de cómo acceder a la configuración del cortafuegos, los usuarios domésticos rara vez lo aprovechan.

Si la Internet no regulada es el Salvaje Oeste, su cortafuegos es el sheriff. Debe estar bien equipado y habilitado para desempeñar correctamente su papel. De lo contrario, cualquier persona o cosa puede entrar en su red.

Y eso puede incluir a su empleador.

Lea la letra pequeña

Muchas organizaciones incluyen una sección en sus contratos de trabajo, en su Política de Uso Aceptable o en su Política de Seguridad Informática en la que se reservan el derecho a escanear cualquier cosa que esté conectada a la red corporativa. Parece justo. Es su red y tienen que mantenerla segura. Por supuesto, comprobarán lo que se conecta a ella.

Pero con el cambio generalizado al trabajo desde casa impulsado por la pandemia COVID-19, cada vez más empleados se conectan a la red corporativa desde sus redes domésticas. Las organizaciones utilizan software de escaneado de puertos y de pruebas de penetración para sondear su red, buscando vulnerabilidades precisamente como lo hacen los actores de amenazas.

Por supuesto, si sus empleadores detectan vulnerabilidades en su router y red domésticos, no le infectarán con ransomware. Pero saber que alguien ha estado probando las defensas de tu router -el equivalente digital de aporrear las puertas, probar las ventanas y buscar la llave debajo del felpudo- puede dejarte incómodo y resentido.

La primera pregunta que probablemente te harás es: ¿están autorizados a hacer eso? Si está escrito en una política o en un documento contractual por el que te riges, y si te lo explicaron durante el periodo de iniciación y cada vez que se modificó o reeditó, entonces sí, pueden hacerlo. Sin esa declaración, no, no pueden. Es ilegal llevar a cabo escaneos de puertos y pruebas de penetración en la red de cualquier persona sin su consentimiento previo, incluso si tus intenciones son buenas.

Por eso decimos que hay que leer la letra pequeña. Esta declaración puede estar escondida en un documento de la política que se aplica a usted. Pero incluso en el caso de que tu organización pueda hacerlo, lo cortés y respetuoso sería que te avisaran antes.

No es difícil redactar un breve comunicado explicando que se va a realizar un escaneado remoto benigno en las redes de los trabajadores a domicilio para garantizar que son lo suficientemente seguras como para conectarse a la red corporativa. Y supone una gran diferencia para la moral. Pero, por desgracia, a menudo no se da esa explicación.

¿Cómo hacer que su router sea más seguro?

Independientemente de quién intente entrar, ¿qué puede hacer para reforzar sus defensas y hacer que su router sea lo más inexpugnable posible? Lo que puedes hacer depende del fabricante y del modelo de tu router, pero debería haber al menos algo en esta lista para todos.

La interfaz administrativa, los menús y la configuración varían de una marca a otra y de un modelo a otro, así que no podemos darte una guía paso a paso. Pero encontrar la configuración adecuada en tu router para los elementos de nuestra lista no debería ser demasiado complicado, si te permiten acceder a ellos.

Si tu ISP ha bloqueado el dispositivo y te ha impedido acceder a los ajustes críticos, consulta el punto 1.

1. ¿El router de tu ISP es una basura?

En general, los routers proporcionados por los ISP son menos seguros que los que se venden (a menudo por los mismos fabricantes) directamente a los consumidores.

Las puertas traseras de código duro son comunes, y los parches de seguridad y las actualizaciones de firmware suelen aparecer mucho más tarde que las correcciones y parches para los modelos directos al consumidor. Esto se debe a que el firmware de los routers proporcionados por los ISP está personalizado para ese ISP, y necesitan parches personalizados.

Nada te impide comprar tu propio router y utilizarlo en su lugar. Quédate con el que te envió tu proveedor y utilízalo como repuesto. Si tienes un problema con tu banda ancha y te preguntas si es un problema del router o de la infraestructura de banda ancha externa, puedes conectar el router del ISP y ver si el problema desaparece. Si lo hace, el problema está en tu router; si no, el problema es externo.

2. Cambie la contraseña de administrador predeterminada

Dado que muchos routers salen de fábrica con contraseñas de administrador por defecto, es una puerta abierta para los actores de amenazas. Su software de exploración intentará identificar la marca y el modelo del router -examinando los metadatos de las respuestas del router a sus sondeos- y buscar las credenciales de administrador por defecto.

La primera vez que conecte su router para configurarlo, cambie la contraseña de administrador por una contraseña segura y robusta. O, mejor aún, por una frase de contraseña como tres palabras unidas por signos de puntuación. Y de paso, asegúrate de que la interfaz web del administrador no sea accesible desde Internet. Tú no vas a hacer administración remota en tu router, así que no le des la oportunidad a nadie más.

3. Utilice un router compatible con VPN

Si realmente necesita tener acceso remoto a su router, utilice un router que admita conexiones de red privada virtual (VPN). Restringe las conexiones VPN a las que figuran en una lista de direcciones IP aprobadas o a un rango de direcciones IP. Así, si sabes que podrías necesitar conectarte por VPN a tu router desde tu oficina, añade tu oficina a las direcciones IP de la lista blanca.

4. Vaya de incógnito incluso en casa

Incluso cuando te conectes a tu router desde dentro de tu red, es una buena práctica utilizar la navegación anónima, el modo incógnito o el nombre que utilice tu navegador para la navegación amnésica. De este modo, tu navegador no almacenará en caché ninguna credencial o dirección IP que otros puedan utilizar en tu ordenador para llegar a tu router.

Nunca dejes que tu navegador recuerde las credenciales del router. Eres tú quien debe recordarlas e introducirlas cada vez. O utiliza un gestor de contraseñas protegido con contraseña.

5. Aceptar sólo conexiones desde una dirección IP específica

Puedes enlazar algunos routers para que acepten conexiones de administrador desde una única dirección IP local y rechacen conexiones desde cualquier otro lugar. Si vas a hacer esto, utiliza una dirección IP que no forme parte del grupo del Protocolo de Configuración Dinámica de Host (DHCP). Si tu ordenador pierde su dirección IP, la alquila y se le asigna una nueva dirección IP -¡por tu router! – no podrás acceder al router.

6. Utilice una contraseña Wi-Fi robusta

Elige una contraseña Wi-Fi robusta y utiliza la configuración de cifrado más potente de tu dispositivo. Es posible que los routers más nuevos admitan Wi-Fi Protected Access 3 (WPA3), pero la mayoría estarán limitados a Wi-Fi Protected Access 2 (WPA2).

7. Desactivar WPS

Desactive la configuración Wi-Fi protegida (WPS). La premisa de WPS era simplificar la configuración de Wi-Fi y la conexión a redes Wi-Fi para usuarios sin conocimientos técnicos. Se utilizaba muy poco y conllevaba una vulnerabilidad que permitía a los actores de amenazas poner en peligro las redes Wi-Fi.

Se lanzaron parches y correcciones, pero no todos los modelos fueron parcheados y no todos los fabricantes respondieron al problema. Lo más seguro es desactivarlo y utilizar una conexión por cable para la configuración.

8. Desactive los servicios que no utilice

Los routers admiten todo tipo de protocolos y tipos de conexión. Es casi seguro que no los necesita, así que apáguelos. Cuantas menos puertas y ventanas tenga un edificio, más difícil le resultará a un ladrón entrar. Lo mismo ocurre con tu router. Cierra todos los puertos y abre sólo los que utilices. Cuantos menos tipos de conexión acepte, más seguro estarás.

Puedes desactivar servicios como Ping, Telnet, Universal Plug and Play (UPnP), Secure Shell (SSH) y Home Network Administration Protocol (HNAP).

9. No utilice la gestión del router basada en la nube

Si su router lo admite, desactívelo. No quieres que tu router hable con la nube del fabricante. Eso coloca otra capa entre usted y el router en la que tiene que confiar. Vas a administrar tu router localmente, así que desactiva esta opción.

10. Parchea tu router regularmente

Estás acostumbrado a recibir actualizaciones para tu ordenador, y tu smartphone recibe parches y correcciones a medida que se detectan y solucionan vulnerabilidades. Lo mismo ocurre con el router. Es un proceso manual en la mayoría de los routers, pero algunos pueden configurarse para “llamar a casa” periódicamente y buscar actualizaciones.

Si vas a realizar actualizaciones manuales, consulta la página web de soporte del fabricante de tu router. Una vez al mes es probablemente suficiente.

11. Controlar el acceso Wi-Fi

Muchos routers le permiten configurar una lista de identidades de dispositivo llamadas direcciones de Control de Acceso al Medio (MAC). Éstas son únicas para cada dispositivo conectado en red. Eso significa que sólo los dispositivos reconocidos y autorizados pueden conectarse a su Wi-Fi.

Configure una Wi-Fi de invitados para los visitantes si su router lo permite. Eso da a los visitantes acceso Wi-Fi a Internet sin revelar o exponer cualquier otro dispositivo en su red.

12. Segmente su red

Algunos routers de consumo permiten configurar redes de área local virtuales (VLAN) dentro de otras redes. Por ejemplo, puede aislar los dispositivos del Internet de las Cosas (IoT) del resto de su red.

Los dispositivos IoT son notoriamente inseguros. Muchos de ellos violan las medidas de seguridad más básicas, como exponerse a Internet con protocolos desprotegidos y contraseñas de administrador inalterables. Mantenerlos segregados en su propia VLAN es una gran manera de contenerlos.

13. Cambie su configuración DNS

Cambie la configuración de su Sistema de Nombres de Dominio para que no utilice los valores predeterminados proporcionados por su ISP.

Los servicios más respetados que puede utilizar son:

  • OpenDNS: 208.67.220.220 o 208.67.222.222
  • Google DNS: 8.8.8.8 o 8.8.4.4
  • Cloudflare: 1.1.1.1 o 1.0.0.1

14. Considere la posibilidad de personalizar el firmware de su router

Los usuarios avanzados pueden plantearse eliminar por completo el firmware del fabricante y sustituirlo por una alternativa gratuita y de código abierto. Normalmente, se basan en distribuciones Linux o Berkeley Software Distribution (BSD). Pueden ser más seguros, completos y configurables que el firmware por defecto del fabricante, y a menudo admiten protocolos VPN de forma nativa.

Dos de las ofertas más conocidas son OpenWRT y DD-WRT, pero hay muchas alternativas disponibles. Estos proyectos apoyados por la comunidad a menudo se adelantan a los fabricantes en la publicación de parches y correcciones.

Seamos claros. “Flashear” el firmware requiere conocimientos técnicos para hacerlo bien. Si lo haces en un router dentro de su ciclo de soporte, anularás la garantía. Y, en el peor de los casos, “bloquearás” el dispositivo, dejándolo totalmente inoperativo. Asegúrate de que sabes lo que estás haciendo antes de proceder o de buscar asistencia técnica.

En resumen

Tu router es el punto de unión entre tú y el mundo exterior: ¡prestar atención a este aspecto es crucial para la seguridad en la Red!

Dependiendo de tus necesidades de red y conectividad, de la marca del router, de la flexibilidad de la configuración del router y del cortafuegos, y de tu nivel de conocimientos técnicos, aplica todos los pasos que puedas y protege tu casa de los ataques digitales.

Y del fisgoneo de tus jefes.

Temas relacionados

Artículos relacionados

Marshall Gunnell
Technology Writer
Marshall Gunnell
Editor

Marshall es un experimentado escritor técnico y entusiasta de los videojuegos con sede en Tokio. Es un profesional en el arte de las palabras con cientos de artículos destacados en VGKAMI, Business Insider, How-To Geek, PCWorld, Zapier, y mucho más. Sus escritos han llegado a una audiencia masiva de más de 70 millones de lectores.