No existe la seguridad perfecta. Con suficiente conocimiento, recursos y tiempo, cualquier sistema puede verse comprometido. Lo mejor que puede hacer es ponérselo lo más difícil posible a un atacante. Dicho esto, hay pasos que puede seguir para fortalecer su red contra la gran mayoría de los ataques.

Las configuraciones predeterminadas para lo que yo llamo enrutadores de nivel de consumidor ofrecen una seguridad bastante básica. Para ser honesto, no se necesita mucho para comprometerlos. Cuando instalo un nuevo enrutador (o restablezco uno existente), rara vez utilizo los ‘asistentes de configuración’. Reviso y configuro todo exactamente como quiero. A menos que haya una buena razón, normalmente no lo dejo como predeterminado.

No puedo decirle la configuración exacta que necesita cambiar. La página de administración de cada enrutador es diferente; incluso enrutador del mismo fabricante. Dependiendo del enrutador específico, puede haber configuraciones que no pueda cambiar. Para muchas de estas configuraciones, deberá acceder a la sección de configuración avanzada de la página de administración.

Propina: puede usar la aplicación de Android RouterCheck para probar la seguridad de su enrutador.

He incluido capturas de pantalla de un Asus RT-AC66U. Está en el estado predeterminado.

Actualice su firmware. La mayoría de las personas actualizan el firmware cuando instalan el enrutador por primera vez y luego lo dejan solo. Investigaciones recientes han demostrado que el 80% de los 25 modelos de enrutadores inalámbricos más vendidos tienen vulnerabilidades de seguridad. Los fabricantes afectados incluyen: Linksys, Asus, Belkin, Netgear, TP-Link, D-Link, Trendnet y otros. La mayoría de los fabricantes publican firmware actualizado cuando las vulnerabilidades salen a la luz. Establezca un recordatorio en Outlook o en cualquier sistema de correo electrónico que utilice. Recomiendo buscar actualizaciones cada 3 meses. Sé que esto parece una obviedad, pero solo instale el firmware desde el sitio web del fabricante.

Además, desactive la capacidad del enrutador para buscar actualizaciones automáticamente. No soy un fanático de permitir que los dispositivos ‘llamen a casa’. No tienes control sobre la fecha de envío. Por ejemplo, ¿sabía que varios de los llamados ‘Smart TV’ envían información a su fabricante? Envían todos tus hábitos de visualización cada vez que cambias de canal. Si les conecta una unidad USB, envían una lista de cada nombre de archivo en la unidad. Estos datos no están encriptados y se envían incluso si la configuración del menú está establecida en NO.

Deshabilite la administración remota. Entiendo que algunas personas necesitan poder reconfigurar su red de forma remota. Si es necesario, al menos habilite el acceso https y cambie el puerto predeterminado. Tenga en cuenta que esto incluye cualquier tipo de gestión basada en la ‘nube’, como la cuenta Smart WiFi de Linksys y el AiCloud de Asus.

Utilice una contraseña segura para el administrador del enrutador. Basta de charla. Las contraseñas predeterminadas para los enrutadores son de conocimiento común y no desea que nadie simplemente pruebe una contraseña predeterminada y acceda al enrutador.

Habilitar HTTPS para todas las conexiones de administrador. Esto está deshabilitado de forma predeterminada en muchos enrutadores.

seguridad-inalámbrica-1

Restrinja el tráfico entrante. Sé que esto es de sentido común, pero a veces la gente no comprende las consecuencias de ciertos entornos. Si debe utilizar el reenvío de puertos, sea muy selectivo. Si es posible, use un puerto no estándar para el servicio que está configurando. También hay configuraciones para filtrar el tráfico de Internet anónimo (sí) y para la respuesta de ping (no).

seguridad-inalámbrica-2

Utilice encriptación WPA2 para WiFi. Nunca use WEP. Se puede romper en cuestión de minutos con el software disponible gratuitamente en Internet. WPA no es mucho mejor.

seguridad-inalámbrica-3

Apague WPS (configuración protegida WiFi). Entiendo la conveniencia de usar WPS, pero fue una mala idea comenzar.

seguridad-inalámbrica-4

Restrinja el tráfico saliente. Como se mencionó anteriormente, normalmente no me gustan los dispositivos que llaman a casa. Si tiene este tipo de dispositivos, considere bloquear todo el tráfico de Internet de ellos.

Desactive los servicios de red no utilizados, especialmente uPnP. Existe una vulnerabilidad ampliamente conocida al utilizar el servicio uPnP. Otros servicios probablemente innecesarios: Telnet, FTP, SMB (Samba / intercambio de archivos), TFTP, IPv6

Cierre la sesión de la página de administración cuando haya terminado. El simple hecho de cerrar la página web sin cerrar la sesión puede dejar una sesión autenticada abierta en el enrutador.

Compruebe la vulnerabilidad del puerto 32764. Que yo sepa, algunos enrutadores producidos por Linksys (Cisco), Netgear y Diamond se ven afectados, pero puede haber otros. Se lanzó un firmware más nuevo, pero es posible que no parchee completamente el sistema.

Verifique su enrutador en: https://www.grc.com/x/portprobe=32764

Encienda el registro. Busque actividad sospechosa en sus registros de forma regular. La mayoría de los enrutadores tienen la capacidad de enviarle los registros por correo electrónico a intervalos establecidos. También asegúrese de que el reloj y la zona horaria estén configurados correctamente para que sus registros sean precisos.

Para los que realmente se preocupan por la seguridad (o tal vez simplemente paranoicos), los siguientes son pasos adicionales a considerar

Cambiar el nombre de usuario administrador. Todo el mundo sabe que el valor predeterminado suele ser admin.

Configurar una red de ‘invitados’. Muchos enrutadores más nuevos son capaces de crear redes de invitados inalámbricas independientes. Asegúrese de que solo tenga acceso a Internet y no a su LAN (intranet). Por supuesto, utilice el mismo método de cifrado (WPA2-Personal) con una frase de contraseña diferente.

No conecte el almacenamiento USB a su enrutador. Esto habilita automáticamente muchos servicios en su enrutador y puede exponer el contenido de esa unidad a Internet.

Utilice un proveedor de DNS alternativo. Lo más probable es que esté utilizando la configuración de DNS que le proporcionó su ISP. El DNS se ha convertido cada vez más en un objetivo de ataques. Hay proveedores de DNS que han tomado medidas adicionales para proteger sus servidores. Como beneficio adicional, otro proveedor de DNS puede aumentar su rendimiento en Internet.

Cambie el rango de direcciones IP predeterminado en su red LAN (interna). Todos los enrutadores de nivel de consumidor que he visto usan 192.168.1.xo 192.168.0.x, lo que facilita la creación de un script de ataque automatizado.
Los rangos disponibles son:
Cualquier 10.xxx
Cualquier 192.168.xx
172.16.xx a 172.31.xx

Cambiar la dirección LAN predeterminada del enrutador. Si alguien obtiene acceso a su LAN, sabrá que la dirección IP del enrutador es xxx1 o xxx254; no se lo ponga fácil.

seguridad-inalámbrica-5

Deshabilitar o restringir DHCP. Desactivar DHCP no suele ser práctico a menos que se encuentre en un entorno de red muy estático. Prefiero restringir DHCP a 10-20 direcciones IP a partir de xxx101; esto facilita el seguimiento de lo que sucede en su red. Prefiero poner mis dispositivos ‘permanentes’ (computadoras de escritorio, impresoras, NAS, etc.) en direcciones IP estáticas. De esa manera, solo las computadoras portátiles, tabletas, teléfonos e invitados usan DHCP.

seguridad-inalambrica-6

Deshabilitar el acceso de administrador desde la red inalámbrica. Esta funcionalidad no está disponible en todos los enrutadores domésticos.

Desactivar la transmisión SSID. Esto no es difícil de superar para un profesional y puede convertirlo en una molestia para permitir visitantes en su red WiFi.

Usar filtrado MAC. Lo mismo que arriba; inconveniente para los visitantes.

Algunos de estos elementos entran en la categoría de ‘Seguridad por oscuridad’, y hay muchos profesionales de TI y seguridad que se burlan de ellos, diciendo que no son medidas de seguridad. En cierto modo, son absolutamente correctos. Sin embargo, si hay pasos que puede tomar para hacer más difícil comprometer su red, creo que vale la pena considerarlo.

Una buena seguridad no es «configurarlo y olvidarlo». Todos hemos oído hablar de las numerosas infracciones de seguridad en algunas de las empresas más importantes. Para mí, la parte realmente irritante es cuando ustedes aquí han estado comprometidos durante 3, 6, 12 meses o más antes de que se descubriera.

Tómese el tiempo para revisar sus registros. Escanee su red en busca de dispositivos y conexiones inesperados.

A continuación se muestra una referencia autorizada: