9 consejos para proteger tu conexión WIFI y tu router

Quizá ya te hayas hecho alguna vez esta pregunta: ¿hay algún dispositivo sospechoso en mi red Wifi? O quizá esta otra, incluso más grave: ¿podría alguien estar escuchando mi tráfico wireless y robar así mis datos personales? Veamos algunos consejos para proteger tu conexión Wifi / router y evitar que esto suceda.

Lo cierto es que, si te has hecho esta pregunta por primera vez desde que tienes tu router, lo más probable es que tu conexión sea un «coladero» y tengas que ponerte manos a la obra con urgencia. ¡Sigue leyendo!

9 consejos para proteger tu conexión WIFI y tu router

1. Accede al panel de administración del router mediante cable

El panel de administración del router te permite controlar todo su comportamiento, configuración de seguridad, ver dispositivos conectados y muchas otras cosas. El tráfico entre tú y él estará cifrado y puedes operar con él de forma segura…salvo si accedes mediante conexión WiFi.

Si inicias sesión en el panel del router mediante conexión no cableada, las credenciales podrían ser «escuchadas» por alguien con una antena que intercepte radios wireless. Es improbable que esto pase, pero el primer fallo es siempre pensar «esto no me tiene por qué pasar a mí». Utilizando una conexión con cable al mismo eliminas el riesgo.

Mejor aún

Lo ideal, si vas a seguir este consejo, es que incluso desactives el inicio de sesión en el panel de administración salvo en conexiones cableadas (vía Ethernet). Así, incluso si un atacante es capaz de entrar mediante fuerza bruta en tu router, no será capaz de modificar ninguna configuración en el mismo.

2. Cambia las credenciales predeterminadas del router

Esto es URGENTE  que lo hagas, un asunto de máxima prioridad.

Todos los router traen consigo un conjunto de nombre de usuario y contraseña «de fábrica» para acceder al panel de administración. Con estas credenciales podrás acceder por primera vez al router para configurarlo.

NOTA: Las credenciales de fábrica volverán a establecerse si decides restablecer el router a sus valores de fábrica.

Existen diferentes formas de atacar el inicio de sesión de un router, a saber:

1. Ciertas páginas web ofrecen credenciales por defecto para los router más utilizados. Algunos ejemplos son RouterPasswords.com y DefaultPasswords.in. Si un atacante sabe tu marca/modelo de router (no es tan complicado averiguarlo) y no has cambiado tus credenciales, entrarán sin esfuerzo alguno.
2. La otra forma implica el simple hecho de lanzar ataques de fuerza bruta, lanzando cientos o miles de combinaciones de nombre de usuario / contraseña conocidos. Algunos router mitigan los intentos de inicio de sesión fallidos mediante un intervalo de tiempo, pero no significa que estés fuera de peligro. Cambia tus credenciales ya.

Relacionado – Aprende a crear contraseñas realmente seguras y recordarlas todas

3. Modifica el SSID predeterminado

Otro ajuste que te recomiendo realizar y que no te llevará apenas tiempo es cambiar tu SSID o identificador de red. Esto no es más que el nombre que tiene tu red / punto de acceso y que es visible por defecto para el resto de aparatos situados dentro del rango de alcance del router.

Muchos routers con SSID predeterminado pueden estar filtrando su marca y modelo. Esto es muy común sin importar tu ISP (conexiones que comienzan por Jazztel XXXX, MovistarXXXX, etc) o tu marca y modelo de router: puedes encontrar puntos de acceso / repetidores de marcas como Linksys, Belkin, Netgear, TP-Link o incluso Cisco con nombres de fábrica, como LinksysXXXXX.

Esto es peligroso porque si un hacker sabe tu marca/modelo de router, le ahorrarás esfuerzo para colarse en tu red. ciertos bits de la dirección MAC, por ejemplo, son comunes en todos los routers de una misma marca. Aprovecha a poner un nombre divertido cuando lo cambies 😛

4. Cifrado con WPA2 e intercambio de claves AES

Esta es la combinación que debes utilizar sin excepción, probadamente la más segura y la única digna de llamarse confiable.

Todos los routers utilizan el cifrado, aunque no en todos viene correctamente configurado. No es sorprendente encontrar enrutadores con cifrado WPA o incluso WEP por defecto. Esto casi equivale a no tener cifrado y facilita enormemente el acceso a un atacante. Será cuestión de tiempo que entre, interceptando tus paquetes.

De hecho, tú tardarás 30 segundos en cambiar la configuración de cifrado en tu router, más o menos el tiempo que podría tardar un atacante en romper una conexión con cifrado WEP, sobre todo si estás navegando activamente y está interceptando tus paquetes.

Antes de aplicar, recuerda asignar el mecanismo de intercambio de claves (pública + privada) en AES en lugar del común TKIP. Aunque TKIP es mejor que nada, AES es bastante más resistente y preferible si tenemos la opción. (Tampoco escojas AES + TKIP, porque su seguridad equivale a la de TKIP por sí solo).

5. Cambia la clave de tu conexión Wifi

Ya que estás en el panel de administración y dentro de la configuración de cifrado, seguramente veas que puedes cambiar el ajuste de contraseña de conexión wireless:

Toma unos minutos para diseñar una clave bien preparada para resistir posibles ataques:

1. Utiliza al menos 12 caracteres (recomiendo 16)
2. Utiliza combinación de mayúsculas y minúsculas (varias)
3. Utiliza números (varios, no secuenciales)
4. Utiliza símbolos como !, /, (, %, $ o # (varios, no secuenciales)

Algunas consideraciones

• Evita absolutamente utilizar palabras de diccionario
• Para aumentar la longitud de tu clave (por tanto, su complejidad) utiliza pass-phrase o frases clave. Para esto puedes concatenar palabras que tengan sentido unidas para tí, siguiendo las pautas anteriores.

También puedes controlar la seguridad de tu contraseña recién creada u obtener ideas para una.

6. Habilitar el firewall del router

El firewall del router es tu aliado, ya que se encarga de examinar lo paquetes de datos que proceden de fuera de la red, bloqueando cualquiera que considere ilegal o dañino. La mayoría trae consigo un Firewall SPI o Stateful Packet Inspection. Lo que hace es comparar los paquetes entrantes contra una base de datos conocida.

Lo normal y deseable es que el firewall basado en estados esté activo por defecto. No obstante conviene asegurarse y además controlar el nivel de agresividad del mismo, que recomiendo al menos configurar en un nivel medio, incluso alto. En caso de que tengas problemas al jugar online, recuerda utilizar port forwarding o reenvío de puertos.

Recuerda que ningún firewall es infalible, por eso debes mantener tanto el del router como un firewall personal en cada máquina, sobre todo si son Windows.

7. Desactivar WPS y UPnP 

Wifi Protectec Setup (conocido como WPS) consigue que conectemos equipos a nuestra red sin ningún esfuerzo. Solo hace falta presionar un botón en el router y después en el aparato y ¡voila!, ya está conectado. Pero resulta que WPS perjudica enormemente a la seguridad de tu red.

Hay mecanismos de ataque en muchas herramientas para pentesting que permiten atacar mediante WPS y obtner resultados en minutos.

Otra tecnología de la que debemos deshacernos lo antes posible es UPnP. Universal Plug and Play consigue que los nuevos aparatos conectados a la red sean rápidamente visibles para los demás equipos de la misma. Sin embargo, está lleno de agujeros de seguridad, así que os sugiero perder un mínimo de comodidad y estar a salvo.

8. Habilitar el filtrado MAC es recomendable, pero no infalible

Podríamos decir que una MAC es a un dispositivo de red lo que una matrícula a un vehículo a motor: un elemento que actúa como identificador inequívoco del mismo. Todo aparato que lleve a cabo conexiones de red (smartphones, portátiles, PC, tarjetas de red, adaptadores WiFi, equipos IoT, etc) lo tienen.

Así pues, el filtrado MAC puede hacer dos cosas por nosotros. El primer caso es el más utilizado por motivos evidentes:

• Caso A: denegar el acceso a nuestra red a cualquier terminal cuya Mac no esté incluída en la lista blanca (lista de permitidos).
• Caso B: permitir el acceso a cualquier dispositivo, excepto a aquellos que estén definidos en la lista de bloqueo (lista negra).

Debemos tener en cuenta, sin embargo, que el filtrado Mac por sí mismo ofrece más bien poca seguridad al usuario (aún hay controversia sobre esto, pero así es). Mientras habilitar el filtrado Mac puede dificultar levemente el acceso a un usuario sin conocimientos, puede ser evadido rápidamente.

Cualquier persona con una antena situada en nuestro radio de acción y con un sistema de escucha de tráfico como WireShark (incluído en Kali, por ejemplo) será capaz de ver la Mac de nuestro dispositivo -ya que la Mac se comunica mediante broadcasting- y utilizar aireplay-ng para enviar una petición deassoc (fin de asociación) hacia nustro dispositivo, para después asumir nuestra Mac y conectarse.

Dado que el filtrado mediante MAC nos puede servir para establecer un control parental sobre la navegación de nuestros hijos o realizar otras tareas de administración en el router -además de suponer un leve impedimento para un atacante- digamos que no hace daño.

9. Actualiza el firmware del router

Siempre decimos que es necesario mantener nuestro software de sistema al día. El router no es un caso aparte, así que deberíamos asegurarnos de verificar, cada cierto tiempo, que tenemos la última versión del firmware para el mismo.

Aunque quizá no os parezca importante, el nuevo firmware suele publicarse para taponar fallos de seguridad, muchas veces graves y que podrían acarrear el acceso no deseado de un indeseable (valga la redundancia) a vuestra red.

Además, el hecho de actualizar el firmware del router podría suponer mejoras para vosotros, incluyendo mayor estabilidad o velocidad de conexión.