Skip to main content

La seguridad de un router (enrutador) es clave para la conexión a Internet de tu hogar y para los equipos que están vinculados a ese enlace, como computadoras, teléfonos móviles, tabletas y otros dispositivos.

La mayoría de los enrutadores utilizados por los clientes domésticos son profundamente inseguros.

Algunos enrutadores son tan vulnerables a los ataques que deberían desecharse.

Si un enrutador se vende en una cadena minorista de electrónica, no conviene comprarlo.

Si tu proveedor de servicios de Internet (ISP) te proporciona tu enrutador, tampoco lo uses porque entregan miles de ellos, y eso los convierte en un objetivo principal tanto para las agencias de espionaje como para los delincuentes informáticos.

Si estás preocupado por la seguridad de un router, actualízate a enrutadores comerciales destinados a pequeñas empresas, o al menos separa tu módem y tu enrutador en dos dispositivos separados.

Muchas unidades de «puerta de enlace», a menudo suministradas por ISP, actúan como ambas.

Si falla cualquiera de esas opciones, hay precauciones que los usuarios podemos tomar para mejorar la seguridad de un router.

Seguridad de un router: problemas con los enrutadores de consumo masivo

Los enrutadores son los caballos de batalla esenciales pero desconocidos de las redes de computadoras.

Sin embargo, pocos usuarios domésticos se dan cuenta de que en realidad son computadoras en toda regla, con sus propios sistemas operativos, software y vulnerabilidades.

Un enrutador comprometido puede espiarte. Un enrutador bajo el control de un atacante puede organizar un ataque de intermediario, alterar datos no cifrados o enviar al usuario a sitios web fraudulentos, como correo electrónico basado en la web o portales de banca en línea.

Muchos dispositivos de puerta de enlace domésticos para consumidor masivo no notifican a los usuarios si hay actualizaciones de «firmware» disponibles. Se trata de un factor clave para la seguridad de un router.

Tampoco avisan cuándo están disponibles, aunque esas actualizaciones sean esenciales para reparar los agujeros de seguridad. Otros dispositivos no aceptan contraseñas de más de 16 caracteres.

Millones de enrutadores en todo el mundo tienen habilitado el protocolo de red Universal Plug and Play (UPnP) en los puertos conectados a Internet, lo que los expone a ataques externos.

UPnP fue diseñado para LAN (redes de área local) y, como tal, no tiene seguridad. UPnP en Internet es como ir a una cirugía y hacer que el médico trabaje en la pierna equivocada.

Otro problema es el Protocolo de administración de red doméstica (HNAP), una herramienta de administración que se encuentra en algunos enrutadores más antiguos para consumidores que transmite información confidencial sobre el enrutador a través de la Web en http: // (dirección IP del enrutador) / HNAP1 /, y otorga control a usuarios remotos que proporcionan nombres de usuario administrativos y contraseñas, que muchos usuarios nunca cambian de los valores predeterminados de fábrica.

En 2014, un gusano enrutador llamado TheMoon utilizó el protocolo HNAP para identificar enrutadores vulnerables de la marca Linksys a los que podría propagarse. Linksys emitió rápidamente un parche de firmware.

Seguridad de un router: la amenaza WPS

Lo peor de todo es la configuración protegida de Wi-Fi (WPS), una función fácil de usar que permite a los usuarios omitir la contraseña de la red y conectar dispositivos a una red Wi-Fi simplemente ingresando un PIN de ocho dígitos que está impreso en el enrutador. Incluso si se cambia la contraseña o el nombre de la red, el PIN sigue siendo válido.

Este es un gran problema de seguridad. Ese número de ocho dígitos te permitirá acceder al enrutador pase lo que pase. Por ejemplo, un plomero ingresa a tu casa, le da la vuelta al enrutador, toma una foto de la parte inferior y ahora puede conectarse a tu red para siempre.

Ese PIN de ocho dígitos ni siquiera es realmente de ocho dígitos. Por lo general son siete dígitos, más un dígito de suma de comprobación final.

Los primeros cuatro dígitos se validan como una secuencia y los últimos tres como otra, lo que da como resultado solo 11.000 códigos posibles en lugar de 10 millones.

Si WPS está activo, puedes ingresar al enrutador. Solo necesitas hacer 11.000 suposiciones, una tarea trivial para la mayoría de las computadoras y teléfonos inteligentes modernos.

Luego, está el puerto de red 32764, que el investigador de seguridad francés Eloi Vanderbeken descubrió en 2013 que se había dejado silenciosamente abierto en los enrutadores de puerta de enlace vendidos por varias marcas importantes.

Con el puerto 32764, cualquier persona en una red local, que incluye el ISP de un usuario, puede tomar el control administrativo total de un enrutador e incluso realizar un restablecimiento de fábrica, sin una contraseña.

El puerto se cerró en la mayoría de los dispositivos afectados tras las revelaciones de Vanderbeken, pero más tarde descubrió que se podía volver a abrir fácilmente con un paquete de datos especialmente diseñado que se podía enviar desde un ISP.

Obviamente, esto lo hace una agencia de espionaje o la delincuencia informática.

Seguridad de un router: cómo bloquear el enrutador de tu hogar

El primer paso hacia la seguridad del enrutador doméstico es asegurarse de que el enrutador y el cable módem no sean un solo dispositivo.

Muchos ISP alquilan estos dispositivos a los clientes, pero tendrán poco control sobre sus propias redes.

Si te dieran una sola caja, deberías contactar al ISP y hacer que simplifiquen la caja para que actúe como un módem. Entonces puedes agregue tu propio enrutador.

Te recomiendo comprar un enrutador Wi-Fi / Ethernet comercial de gama baja, en lugar de un enrutador amigable para el consumidor.

Es poco probable que los enrutadores comerciales tengan habilitado UPnP o WPS. Hay equipos que ofrecen características adicionales, como reversiones de firmware en caso de que una actualización de firmware salga mal.

Independientemente de si un enrutador es de nivel comercial o de consumo, hay varias cosas, que varían de fáciles a difíciles, que los administradores de redes domésticas pueden hacer para asegurarse de que sus enrutadores sean más seguros:

Arreglos fáciles para la seguridad de un router

Cambia las credenciales administrativas del nombre de usuario y la contraseña predeterminados. Son las primeras cosas que intentará un atacante.

El manual de instrucciones de tu enrutador debería mostrarte cómo hacer esto. Si no es así, busca en Google.

La contraseña debe ser larga, segura y única, y no la conviertas en nada parecido a la contraseña normal para acceder a la red Wi-Fi.

Cambia el nombre de la red, o SSID, de la marca del router o el nombre del ISP o lo que sea el predeterminado, a algo único, pero no le dé un nombre que lo identifique.

Si vives en un edificio de departamentos en el 3G, no llames a tu SSID «Departamento 3G». Llámalo «Departamento 5F», por ejemplo.

Activa las actualizaciones automáticas de firmware si están disponibles. Los enrutadores más nuevos, incluida la mayoría de los enrutadores de malla, actualizarán automáticamente el firmware del enrutador.

Habilita el cifrado inalámbrico WPA2 para que solo los usuarios autorizados puedan conectarse a tu red.

Si tu enrutador solo es compatible con el antiguo estándar WEP, es el momento de instalar un enrutador nuevo.

Habilita el nuevo estándar de cifrado WPA3 si el enrutador lo admite. Sin embargo, pocos enrutadores y dispositivos cliente (PC, dispositivos móviles, dispositivos domésticos inteligentes) lo hacen.

Deshabilita la configuración protegida Wi-Fi, si tu enrutador te lo permite.

Configura una red Wi-Fi para invitados y ofrece su uso a los visitantes, si tu enrutador tiene tal característica.

Si es posible, configura la red de invitados para que se apague automáticamente después de un período de tiempo establecido.

Puedes encender tu red de invitados y configurar un temporizador, y tres horas después, se apaga solo. Esa es una característica de seguridad realmente agradable.

Si tienes muchos dispositivos de hogar «inteligentes», que se conectan a la Red, o de Internet de las cosas (IoT, sigla en inglés), es probable que muchos de ellos no sean seguros.

Conéctalos a tu red Wi-Fi para invitados en lugar de tu red principal para minimizar el daño resultante de cualquier posible compromiso de un dispositivo IoT.

No utilices la administración de enrutadores basada en la nube si el fabricante de tu enrutador la ofrece. En su lugar, averigua si se puede desactivar esa función.

Consejos moderadamente difíciles

Instala el nuevo firmware cuando esté disponible. Para ello, inicia sesión en la interfaz administrativa de tu enrutador de forma rutinaria para verificar.

Con algunas marcas, es posible que debas consultar el sitio web del fabricante para obtener actualizaciones de firmware. Pero ten a mano un enrutador de respaldo si algo sale mal.

Algunos enrutadores también te permiten hacer una copia de seguridad del firmware actual antes de instalar una actualización.

Configura tu enrutador para usar la banda de 5 GHz para Wi-Fi en lugar de la banda más estándar de 2.4 GHz, si es posible, y si todos sus dispositivos son compatibles.

La banda de 5 GHz no viaja tan lejos como la banda de 2,4 GHz. Entonces, si hay algún delincuente informático o un intruso en tu vecindario cercano, es posible que vea tu red de 2.4 GHz, pero es posible que no vea tu red de 5 GHz.

Desactiva el acceso administrativo remoto y desactiva el acceso administrativo a través de Wi-Fi.

Los administradores deben conectarse a los enrutadores a través de Ethernet por cable únicamente.

Consejos avanzados para usuarios expertos

Cambia la configuración de la interfaz web administrativa, si tu enrutador lo permite. Idealmente, la interfaz debería imponer una conexión HTTPS segura a través de un puerto no estándar, de modo que la URL para el acceso administrativo sería algo así como «https://192.168.1.1:82» en lugar del más estándar «http://192.168.1.1», que de forma predeterminada utiliza el puerto 80 estándar de Internet.

Utiliza el modo privado o incógnito del navegador cuando accedas a la interfaz administrativa para que tu nueva URL no se guarde en el historial del navegador.

Desactiva PING, Telnet, SSH, UPnP y HNAP, si es posible. Todos estos son protocolos de acceso remoto.

En lugar de configurar tus puertos relevantes en «cerrados», configúralos en «sigilo» para que no se dé respuesta a comunicaciones externas no solicitadas que puedan provenir de atacantes que sondean tu red.

Cada enrutador tiene la opción de no responder a los comandos PING. Es una gran característica de seguridad. Te ayuda a esconderte.

Por supuesto, no te esconderás de tu ISP, pero te esconderás de algún espía o delincuente informático basado en Rusia o China.

Cambia el servidor del sistema de nombres de dominio (DNS) del enrutador del propio servidor del ISP a uno mantenido por OpenDNS (208.67.220.220, 208.67.222.222), Google Public DNS (8.8.8.8, 8.8.4.4) o Cloudflare (1.1.1.1, 1.0 .0.1).

Si estás utilizando IPv6, las direcciones OpenDNS correspondientes son 2620: 0: ccc :: 2 y 2620: 0: ccd :: 2, las de Google son 2001: 4860: 4860 :: 8888 y 2001: 4860: 4860 :: 8844, y los de Cloudflare son 2606: 4700: 4700 :: 1111 y 2606: 4700: 4700 :: 1001.

Utiliza un enrutador de red privada virtual (VPN) para complementar o reemplazar tu enrutador existente y cifrar todo el tráfico de tu red.

Por un enrutador VPN me refiero a un enrutador que puede ser un cliente VPN.

Luego, te registras con alguna compañía de VPN y todo lo que envías a través de ese enrutador pasa por tu red.

Esta es una excelente manera de ocultar lo que estás haciendo a tu proveedor de servicios de Internet.

Muchos enrutadores Wi-Fi domésticos se pueden «flashear» para ejecutar firmware de código abierto, como el firmware DD-WRT, que a su vez admite el protocolo OpenVPN de forma nativa.

La mayoría de los mejores servicios de VPN también son compatibles con OpenVPN y proporcionan instrucciones sobre cómo configurar enrutadores de código abierto para usarlos.

Finalmente, usa el servicio de escaneo de puertos Shields Up de Gibson Research aquí.

Probará tu enrutador en busca de cientos de vulnerabilidades comunes, la mayoría de las cuales pueden ser mitigadas por el administrador del enrutador.

César Dergarabedian

Soy periodista. Trabajo en medios de comunicación en Buenos Aires, Argentina, desde 1986. Especializado en tecnologías de la información y la comunicación. Analista en medios de comunicación social graduado en la Universidad del Salvador. Ganador de los premios Sadosky a la Inteligencia Argentina en las categorías de Investigación periodística y de Innovación Periodística, y del premio al Mejor Trabajo Periodístico en Seguridad Informática otorgado por la empresa ESET Latinoamérica. Coautor del libro "Historias de San Luis Digital" junto a Andrea Catalano. Elegido por Social Geek como uno de los "15 editores de tecnología más influyentes en América latina".

Deja un comentario

A %d blogueros les gusta esto: