La seguridad de la red no es sólo para los profesionales de TI. Incluso los usuarios domésticos necesitan mantener sus redes seguras para evitar que personas no autorizadas, por ejemplo, acaparen su banda ancha, instalen malware que convierta los dispositivos conectados en robots en botnets y espíen lo que usted y su familia están haciendo.
En el pasado, la red interna se consideraba segura y la protección contra las amenazas de Internet era lo más importante, pero hoy en día los expertos en seguridad recomiendan utilizar conexiones cifradas tanto como sea posible, incluso dentro de la red local.
Puede parecer complicado, pero con conocimientos básicos y la configuración correcta en tu enrutador, llegarás muy lejos.
Otras lecturas: 4 pasos preventivos para evitar un desastre en la red doméstica
La seguridad de la red comienza con la configuración correcta del enrutador
La seguridad de su red se basa en el hecho de que sólo usted, los miembros de su familia y los visitantes deben tener acceso a ella, mientras que todos los demás quedan excluidos. Un requisito básico para esto es que su enrutador esté configurado para que solo usted pueda cambiar la configuración y su red inalámbrica para que nadie pueda conectarse sin obtener su contraseña.
Cambie la contraseña tanto en el inicio de sesión del enrutador como en la red Wi-Fi
Antes de hacer cualquier otra cosa, asegúrese de haber cambiado la contraseña tanto del panel de administración del enrutador como de la red Wi-Fi. La mayoría de los enrutadores Wi-Fi actuales tienen contraseñas aleatorias, pero se ha descubierto que varios fabricantes tienen algoritmos inseguros y no recomiendo confiar en ellos. Además, es muy fácil tomar rápidamente una fotografía de la parte inferior del enrutador donde generalmente está impresa la contraseña predeterminada. Para la contraseña de Wi-Fi, están bien tres o cuatro palabras aleatorias sin números ni caracteres especiales, ya que es mucho más fácil escribirlas a mano que una cadena de caracteres incomprensible.
Desactivar funciones innecesarias
Muchos enrutadores, especialmente los más antiguos, tienen dos funciones inseguras habilitadas de forma predeterminada que debes desactivar si no estás seguro de necesitarlas: UPnP y WPS. El primero puede ser necesario para algunos programas que desean recibir tráfico entrante, pero es mejor tenerlo apagado y encenderlo si luego descubres que lo necesitas que dejarlo encendido por si acaso. WPS es una forma de conectar rápidamente un producto que no tiene una entrada simple como un teclado a la red inalámbrica, pero es una tecnología insegura y no es necesaria hoy en día. Los dispositivos modernos utilizan códigos QR, aplicaciones móviles y otros métodos para conectarlos de forma segura a la red.
Desactivar el inicio de sesión remoto
Afortunadamente, el inicio de sesión en el panel de administración del enrutador desde Internet normalmente está desactivado de forma predeterminada, pero aún así es mejor verificarlo y desactivarlo si todavía está activado.
Mejor DNS que el de tu ISP
Si no cambia ninguna configuración, su enrutador normalmente enviará todas las consultas de nombres de dominio al servidor DNS de su ISP, pero existen mejores opciones. Puede elegir uno de los grandes y conocidos servidores DNS habituales, como el 1.1.1.1 de Cloudflare, o DNS cifrado si su enrutador lo admite. Con DNS cifrado, su ISP no puede ver a qué sitios se están conectando usted y todos sus dispositivos.
Los filtros MAC son inútiles
Cuando las redes domésticas eran nuevas, era común aconsejar a los usuarios que limitaran el acceso a la red a direcciones MAC seleccionadas (direcciones de hardware). Dado que es muy fácil copiar la dirección MAC de otro dispositivo, esto en realidad no aumenta la seguridad y es más que nada una molestia ya que hay que autorizar manualmente cada dispositivo nuevo. Si tiene el filtro de direcciones MAC ejecutándose, apáguelo y déjelo apagado.
Asus
Utilice https para la configuración del enrutador
Si alguien de alguna manera obtuvo acceso a su red, puede monitorear todo el tráfico. Si se conecta al panel de administración del enrutador e inicia sesión con una conexión no cifrada (http://), el hacker obtendrá los detalles de inicio de sesión. Por lo tanto, siempre es mejor conectarse al enrutador de forma cifrada.
Muchos enrutadores modernos tienen automáticamente un certificado SSL/TLS autogenerado y puede conectarse simplemente agregando https:// delante de la dirección, por ejemplo https://www.asusrouter.com:8443 en enrutadores Asus. Desafortunadamente, no todos los fabricantes han habilitado el soporte para https, y si le importa mucho la seguridad, podría valer la pena considerar la actualización si su enrutador actual ni siquiera tiene la opción de habilitarlo en la configuración.
En los routers más sofisticados también puedes activar un certificado emitido por el servicio gratuito Vamos a cifrar. Esto requiere que tengas un nombre de dominio, ya sea uno que hayas comprado o uno obtenido a través de un servicio DNS dinámico. Asus es un modelo a seguir aquí, con soporte integrado para varios servicios, incluido el suyo propio, que le da a la red un dominio del formato sunombredered.asuscomm.com. Luego puede habilitar la función Let’s Encrypt, que obtiene automáticamente un certificado, y luego acceder a la configuración del enrutador a través de https://tunombredered.asuscomm.com (instrucciones aquí).
Tener un nombre de dominio y un certificado no significa que cualquiera pueda intentar iniciar sesión desde Internet; normalmente, debe configurar el enrutador para que solo acepte conexiones al panel de administración a través de la red local.
Si tiene un dispositivo NAS o cualquier otro servidor en la red con una interfaz de administración basada en web, también debe conectarse mediante https. Algunos fabricantes, como Asus, han pensado en esto y lo han puesto fácil. Por ejemplo, Synology tiene instrucciones aquí.
TP-Link
Mantenga su enrutador y dispositivos actualizados
Casi tan importante como no tener “contraseña” como contraseña es mantener actualizados tanto el enrutador como los dispositivos conectados. Todo el tiempo se descubren nuevos fallos de seguridad y, si no actualiza, deja sus dispositivos expuestos a ataques.
Lo mejor es que tantos dispositivos como sea posible tengan actualizaciones automáticas del sistema, pero para aquellos que no tengan dicha función, puede ser una buena idea configurar un recordatorio o una actividad recurrente en el calendario para buscar actualizaciones, por ejemplo una vez al mes.
Firewall – en el enrutador y en cada computadora
Un firewall, en el contexto de las redes, es un programa que controla todo el tráfico de la red hacia y desde un dispositivo y permite o bloquea el tráfico según reglas preestablecidas. Windows, Mac OS y la mayoría de las variantes de Unix y Linux tienen un firewall incorporado. En Windows, se incluye en Seguridad de Windows, en Firewall y Protección de red.
No hay muchas configuraciones aquí, pero en la parte inferior encontrará una lista de accesos directos a funciones adicionales. Permitir una aplicación en el firewall es una herramienta para agregar excepciones para programas individuales o cambiar reglas existentes. Seleccione Configuración avanzada para abrir los controles completos del firewall, que se encuentran en una interfaz antigua como el Administrador de dispositivos.
En las últimas versiones de Windows, el firewall se activa automáticamente y rara vez es necesario realizar ninguna configuración, pero no ocurre lo mismo con todos los enrutadores. Verifique su propio enrutador iniciando sesión en el panel de administración y buscando un firewall o firewall. Busque en línea si no puede encontrarlo. Activa el cortafuegos.
Un consejo si tiene un Pi-hole (ver más abajo) es bloquear el tráfico en el puerto 53 (DNS) a todas las direcciones excepto Pi-holes. Esto evitará que los dispositivos utilicen otros servidores DNS no seguros. Se puede evitar con DNS cifrado, pero detenerlo es mucho más complicado.
Fundición
Pi-hole detiene la publicidad y el seguimiento para todos los dispositivos
Si desea llevar su resistencia al seguimiento de anuncios al siguiente nivel, eche un vistazo a Pi-hole, un servidor DNS con capacidades de filtrado que puede ejecutar en una Raspberry Pi, por ejemplo (de ahí el nombre). Con un Pi-hole en su red y configuraciones inteligentes en su enrutador, puede asegurarse de que todos los dispositivos en su red, incluidos televisores y dispositivos domésticos inteligentes, estén protegidos contra el seguimiento.
Pi-hole utiliza listas de filtros importadas y bloquea las conexiones al no responder con una dirección IP cuando un dispositivo intenta buscar un nombre de dominio. Si un sitio web no funciona correctamente, puede deberse a que un dominio que utiliza esté en sus listas de filtros. Luego puede incluir ese dominio en la lista blanca para permitirlo independientemente de lo que digan las listas de filtros.
Utilice redes de invitados si su enrutador las tiene
Muchos enrutadores tienen una función inteligente llamada red de invitados. Se trata de una red inalámbrica independiente con su propia contraseña que puede proporcionar a los visitantes temporales, permitiéndoles acceder a Internet. La red de invitados no tiene acceso a la red local, por lo que aquellos conectados a ella no pueden intentar conectarse a sus otros dispositivos ni a otros invitados.
Verifique la configuración de su enrutador para ver si admite una red de invitados y habilítela si aún no se está ejecutando. Al igual que con la red Wi-Fi normal, debes elegir una contraseña segura para que sólo puedan conectarse los invitados a los que realmente quieras conectarse.
Cree una red separada para los dispositivos conectados
Detrás de escena, las redes de invitados utilizan una tecnología llamada VLAN para crear redes virtuales separadas, y en algunos enrutadores avanzados usted mismo puede configurar dichas redes adicionales e incluso crear redes Wi-Fi separadas que pertenecen a una VLAN. Los dispositivos en una VLAN tienen diferentes direcciones IP: si su red habitual tiene direcciones entre 192.168.0.1 y 192.168.0.254, puede configurar una VLAN para usar 192.168.100.1-192.168.100.254, por ejemplo.
Un gran uso para una VLAN doméstica es como red doméstica inteligente independiente. Los dispositivos conectados, como timbres con vídeo, luces y refrigeradores, casi no necesitan comunicarse directamente con su computadora y teléfono móvil.
Esto no está incluido en los enrutadores de consumo básicos y es bastante complicado. Si ha instalado software alternativo en su enrutador, como OpenWRT o Tomato, puede buscar guías. Una opción más sencilla es simplemente conectar los dispositivos inteligentes a la red de invitados. Una desventaja de esto es que los dispositivos que quieren comunicarse, por ejemplo, con una aplicación de planchado de su teléfono móvil a través de la red local, pueden fallar.
Otras lecturas: Por qué siempre deberías configurar Wi-Fi para invitados en casa
Realizar un seguimiento de los dispositivos conectados
Puede ser una buena idea comprobar de vez en cuando qué hay conectado a la red, para que al final no hayan entrado dispositivos no autorizados. Algunos enrutadores tienen una función en el panel de administración para enumerar todos los dispositivos conectados (generalmente llamados algo así como «dispositivos conectados»). Si su enrutador no tiene una lista, puede usar un programa para escanear la red en busca de dispositivos conectados.
Desafortunadamente, algunos enrutadores tienen la costumbre de enumerar solo los dispositivos que han recibido automáticamente su dirección IP a través del protocolo DHCP y no los dispositivos que tienen una dirección fija, por lo que usar uno de estos programas puede ser una buena idea.
Para realizar un análisis de red más completo, recomiendo el programa Nmap. Es un poco más complicado que otros programas, pero puede encontrar dispositivos que no responden al ping, por ejemplo. La versión de Windows viene con una interfaz gráfica llamada Zenmap, lo que aún lo hace bastante simple.
Fundición
Una vez que el programa se esté ejecutando, todo lo que tiene que hacer es completar el rango de direcciones en el que desea buscar. Por ejemplo, podría ser 192.168.0.* para direcciones entre 192.168.0.1 y 192.168.0.254. Luego haga clic en Escanear y espere los resultados. En la columna de la izquierda verá los diferentes dispositivos en la red y si hace clic en Detalles del host podrá ver detalles como qué sistema operativo está ejecutando el dispositivo resaltado.
Si encuentra algo que no reconoce, no significa necesariamente que alguien haya accedido a la red o lo haya pirateado. Lo más probable es que se trate de algún gadget en el que no habías pensado. ¿Tiene algún dispositivo doméstico inteligente, electrodomésticos conectados, parlantes inteligentes, televisores modernos o consolas de videojuegos? No es raro tener decenas de dispositivos en la red.
Si encuentra algo que está absolutamente seguro de que no debería estar allí, cambie la contraseña de la red Wi-Fi y reinicie el enrutador para que todos los dispositivos tengan que volver a conectarse. Puede resultar un poco complicado cambiar las contraseñas en algunos dispositivos, pero es mejor que tener a alguien desconocido en la red.
Otras lecturas: 6 grandes errores de Wi-Fi doméstico y cómo solucionarlos
Este artículo fue traducido del sueco al inglés y apareció originalmente en pcforalla.se.