Todos somos conscientes de la necesidad de utilizar teléfonos, tablets y ordenadores que sean seguros, que tengan antivirus, que estén actualizados o que tengan contraseña, pero no siempre prestamos la misma atención a un elemento que protege nuestros dispositivos de la mayoría de ataques que provienen de Internet: nuestro router de casa.
De forma muy simplificada, el router es el centro neurálgico al que conectamos nuestros dispositivos del hogar formando nuestra red doméstica. Una vez están conectados, nuestros equipos pueden intercambiar información entre ellos: desde la TV podemos ver las fotos del ordenador, imprimimos con la impresora de otra habitación, desde el móvil podemos controlar las luces wifi del comedor, etc.
Además de hacer de puente entre todos los dispositivos de casa, el router también hace de filtro entre Internet y nuestra casa decidiendo qué equipos pueden conectarse a Internet, y si permite a ordenadores de Internet “entrar” a nuestra casa.
Así pues, la protección de nuestra red dependerá principalmente de dos factores:
- Que nuestro router solo deje formar parte de nuestra red a nuestros dispositivos, por ejemplo, evitando que nuestros vecinos se conecten a ella.
- Que nuestro router evite conexiones peligrosas desde el exterior, como posibles ataques, robos de información o virus.
¡Veamos como conseguirlo!
¿Cómo acceder al router?
Lo primero que necesitamos es acceder a la pantalla de configuración del router, lo cual no es complicado pero asusta a muchos usuarios.
Para ello, desde un equipo que esté conectado a nuestra red, debemos abrir un navegador web (Edge, Chrome, Firefox, Safari, etc) y escribir la dirección del router. Cada router tiene una dirección diferente, pero casi siempre será una de las siguientes:
Generalmente al entrar en alguna de estas 4 direcciones, nos aparecerá la web del router pidiendo un usuario y contraseña. Si no fuera el caso, tendremos que averiguar la dirección IP de nuestro equipo (existen muchos vídeos online explicándolo para cada tipo de dispositivo) y sustituir el último número por un 1: si nuestro ordenador tiene la dirección IP 192.168.2.105, la dirección del router seguramente será 19.168.2.1.
El usuario y la contraseña del router, si no la hemos cambiado, estará o bien apuntada en la parte inferior del mismo, o en las instrucciones del aparato. Si no se ha cambiado y no se conoce la contraseña se puede buscar el manual online usando el modelo del router, o directamente buscar la contraseña con búsquedas de este estilo “manual pdf router asus rt-ac68u”, o “contraseña router sagemcom cs 50001”
Configuración genérica
Una vez dentro del router, la ubicación de las diferentes opciones cambia entre cada modelo, pero de forma general se deberían hacer los siguientes cambios:
- Cambiar la contraseña de acceso al router
- Deshabilitar acceso al router desde fuera de la red, también conocido como “Gestión desde WAN” o similar.
- Deshabilitar, si lo hubiera, acceso SSH o Telnet.
- Buscar actualizaciones en el firmware. Si no se pueden buscar automáticamente, acceder a la web del fabricante para ver si hay nuevas versiones.
Evitar que otros dispositivos se conecten
Ya que estamos hablando de redes domésticas, se asume que nadie va a entrar en nuestra casa para conectarse con un cable directamente al router, por lo que nos centraremos en proteger el acceso a la red Wifi.
Para ello realizaremos los siguientes cambios:
- Cambiar el nombre de la Wifi. Es MUY importante no utilizar el nombre que viene por defecto. Tampoco debemos dar detalles personales, por lo que “WifiFamiliaGarcía” o “LosVecinosDelPrimero” no es aconsejable. Ante la duda, un nombre del estilo “LaNuevaWifiDeMiCasa” es adecuado.
- Cambiar el tipo de protección o cifrado a WPA2-PSK. Evitar WEP o las conexiones sin cifrar.
- Cambiar la contraseña Wifi por una difícil de averiguar, LARGA y que incluya números/símbolos y combinaciones de mayúsculas minúsculas, por ejemplo EstoEs1ContraseñaLargaYBuena!.
- Desactivar la opción WPS.
Existen otras protecciones, como el filtrado MAC u ocultar el nombre de la Wifi, pero con el paso del tiempo han perdido efectividad, así que invitamos a los lectores a indagar más al respecto, pero siempre deben centrarse los esfuerzos en el buen cifrado, las contraseñas robustas y la deshabilitación del WPS.
Evitar conexiones peligrosas desde el exterior
Como hemos comentado, nuestro router hará de puerta de entrada y salida entre Internet y nuestra red doméstica.
En un funcionamiento ideal, dejará a nuestros equipos salir a Internet a buscar información, pero no dejará a equipos de Internet intentar entrar.
No obstante, existen programas que tienen necesidades especiales, principalmente juegos o programas de intercambio de ficheros P2P, los cuales necesitan que el router deje una puerta de entrada abierta para que las conexiones les lleguen a ese programa: a este proceso se le llama “abrir un puerto”. El cómo hacerlo dependerá del modelo de router y se deberá consultar el manual, pero en general es necesario conocer los siguientes datos: puerto externo, IP interna y puerto interno.
Si bien abrir un puerto concreto para una aplicación no supone un riesgo desproporcionado, hay usuarios domésticos que por desconocimiento de cómo configurarlo, activan la opción “DMZ” la cual en lugar de abrir “una pequeña puerta de entrada”, permite que todo tipo de conexiones lleguen al equipo seleccionado, haciendo que sea extremadamente vulnerable a ataques e infecciones. Es por ello que en un entorno doméstico NUNCA debemos activar la opción de DMZ.
Invitados, domótica y dispositivos IoT, mejor a otra red
Tradicionalmente las redes domésticas se componían de ordenadores, dispositivos móviles y videoconsolas, pero poco a poco han ido creciendo el número de dispositivos que conectamos a Internet, y por lo tanto que conectamos a nuestra red doméstica.
Puede no parecer preocupante conectar un televisor, una bombilla LED o una aspiradora inteligente a nuestra red, pero debemos ser conscientes que estos dispositivos realmente tienen pequeños ordenadores que pueden escanear nuestra red y acceder al resto de nuestros dispositivos. Aunque reconocidos fabricantes de electrodomésticos no se arriesgarían a un escándalo de espionaje, estos dispositivos pueden ser hackeados y utilizarse como plataforma para robarnos información o hacer ataques utilizando nuestra conexión.
¿Tienes compartida tu biblioteca multimedia para poder verla desde el SmartTV? ¿Diste acceso a la tablet a las fotos familiares para enseñarlas alguna vez? ¿Tiene sentido que una bombilla Wifi de 3€ pueda infectar tu ordenador y borrar todos tus recuerdos o trabajos de la universidad?
Para evitar esta situación, muchos routers permiten crear redes de invitados: son redes Wifi con un nombre diferente, cuyos dispositivos no pueden interactuar con los de la red doméstica y solo podrán acceder a Internet.
Estas redes son igualmente recomendables para visitas y amigos, ya que aunque sus equipos estén infectados no podrán atacar a nuestros dispositivos y evitarán posibles situaciones incómodas: ¿tiene sentido que puedan controlar tu SmartTV o equipo de música? ¿Quieres que puedan cotillear las fotos de tu PC? ¿No? Pues a la red de invitados 😉