Probablemente no lo pienses a menudo, pero tu router es uno de los dispositivos más importantes de tu hogar. Sin él no hay wifi para todos esos portátiles, teléfonos y demás elementos conectados a internet. Como tal, es también uno de los más peligrosos y de los más vulnerables.

Advertisement

Todo lo que entra y sale de la red local de tu casa pasa a través del router. Es como un puesto de control en una frontera, con tráfico hacia una dirección y hacia otra. Necesita estar bien defendido, no solo para dejar a visitantes no solicitados fuera, sino también para asegurarse que nadie haya establecido un sistema de vigilancia en esa frontera que espíe a los coches (los datos) que entran y que salen (dicho de otro modo, tu historial de navegación).

La pésima seguridad general de los routers

Considerando que el router está encargado del acceso a la red de tu hogar (u oficina), uno pensaría que la seguridad es la máxima prioridad para los fabricantes. La realidad es que nuevas vulnerabilidades aparecen casi todos los días y a menudo son ignoradas por completo.

Advertisement

Un informe de 2014 encontr√≥ que 20 routers de los 25 m√°s vendidos de Amazon para hogar y peque√Īa oficina ten√≠an problemas de seguridad documentados p√ļblicamente en internet para un tercio de los casos. En septiembre de este a√Īo, un investigador de seguridad expuso 10 vulnerabilidades graves en un router de D-Link.

Solo el pasado mes, una forma conocida de malware fue capaz de aprovecharse de casi 100.000 routers de ZyXEL y destinarlos a construir una botnet, todo gracias a una pobre configuración por defecto de un proveedor de internet argentino. Si quieres saber cómo de grande el problema es realmente, esta página lista todos los bugs y vulnerabilidades conocidos hoy en día.

Advertisement

Luego está KRACK, el error fatal en el protocolo de seguridad wifi que la amplia mayoría de routers usan hoy en día. Hasta que tu fabricante concreto saque un parche de seguridad, pone a tu red local bajo amenaza de cualquiera que esté en su rango de alcance.

Aunque es cierto que los hackers no van a escabullirse a la parte trasera de tu casa para poder robarte un poco de ancho de banda y ver Netflix, con una combinación de malware y un router mal configurado, tu red puede ser accedida remotamente, usada en una botnet o ser espiada por gobiernos extranjeros. Si quieres que tu red local y los dispositivos que se conectan a ella estén a salvo, todo empieza por tu router.

Advertisement

Cómo funciona un router

T√©cnicamente hablando, un router conecta todos los dispositivos de tu hogar y les da acceso a un modem, que es el que en realidad hace el trabajo de conectarlos con la world wide web. Hoy en d√≠a, en cambio, la mayor√≠a de unidades combinan las funcionalidades de router y modem en uno, conservando √ļnicamente el nombre de ‚Äúrouter‚ÄĚ. A veces se les llama ‚Äúpuertas de acceso‚ÄĚ, dependiendo de la ubicaci√≥n.

Advertisement

Los routers manejan los paquetes de datos, que son exactamente lo que su nombre indica. Todos los 1 y 0 que conforman tu perfil de Facebook o tu llamada de Skype se empaquetan en bloques para transmitirlos junto a marcadores para identificarlos, verificaci√≥n de errores y etiquetas. Es como un inmenso almac√©n de Amazon, con los paquetes circulando a toda velocidad y dirigidos a alg√ļn lugar de la web (los que salen) o un dispositivo de tu casa (los que entran).

Imagen: Netgear

El router recibe su nombre porque ‚Äúenruta‚ÄĚ todos estos datos al lugar correcto, bien porque alguien est√° viendo Netflix en el piso de abajo o porque t√ļ est√°s usando Spotify en el dormitorio. Mantener los datos separados y evitar que se mezclen unos con otros, de manera deliberada o no, son dos de los trabajos clave que tiene que realizar un router.

Advertisement

Cuanto mejor sea tu router, mejor puede hacer malabares con toda esta cantidad de datos, y m√°s dispositivos pueden funcionar a velocidad √≥ptima al mismo tiempo. Pero, como hemos mencionado, tambi√©n necesita estar ajustado en t√©rminos de los datos que permiten circular por la red y en el n√ļmero de usuarios y dispositivos que est√°n conectados.

Cómo es la seguridad básica de un router

En el nivel m√°s b√°sico, tu ruter mejora la seguridad presentando una direcci√≥n IP √ļnica al mundo, algo parecido a tu direcci√≥n postal en internet, y puede manejar a su vez las direcciones IP individuales de cada uno de los dispositivos. Si los ‚Äútipos malos‚ÄĚ que acechan en la web solo pueden ver la puerta que da a una urbanizaci√≥n con varias casas en lugar de las puertas de cada una de las casas, es m√°s dificil que hagan m√°s da√Īo... aunque siempre es posible que alguno consiga su objetivo.

Advertisement

Tu router ofrece un cortafuegos b√°sico en contra del tr√°fico no solicitado procedente de las tierras salvajes del internet. Lo hace principalmente a trav√©s de lo que se conoce como NAT (Network Address Translation), enrutando y filtrando por puertos. El enrutamiento por NAT es esencialmente lo que ya hemos mencionado: esconder la IP de todos tus dispositivos bajo una √ļnica direcci√≥n.

Imagen: Linskys

Cualquier paquete de datos que llegue a tu router ha de haber sido solicitado específicamente por tu teléfono, tu portátil o cualquier otro dispositivo. Si no, se bloquea y descarta. El enrutamiento por NAT hace esto comprobando qué paquetes van a dónde y quién los solicita, si no tienen una dirección válida para uno de tus dispositivos, son descartados.

Advertisement

Por decirlo de otro modo, es como tener a mensajeros (los paquetes de datos) en la recepción de una oficina (tu router). Si el paquete ha sido solicitado específicamente y tiene el nombre y los detalles de contacto de alguien en el edificio, pasan y son redirigidos. Si el paquete no está bien etiquetado o dirigido vagamente a alguien que trabaja allí, se detiene.

Imagen: Netgear

Abrir puertos y problemas de seguridad

Este sistema de protección básico en tu router es correcto y bueno desde el punto de vista de la seguridad, pero puede fallar ocasionalmente, como sabrás si has intentado utilizar una aplicación o servicios que necesita privilegios especiales. Dos casos clásicos con los clientes de torrent y los videojuegos.

Advertisement

En un intento de hacer la vida un poco más fácil para aplicaciones y servidores, tenemos lo que se conoce como abrir puertos: esto relaja las reglas un poco, así que las peticiones genuinas que llegan a los diferentes puerto pueden ser dirigidos automáticamente al sitio correcto. En teoría, implica menos dolores de cabeza cuando estás haciendo tareas como acceder a tu PC de casa desde el trabajo, algo que de otro modo requeriría una considerable cantidad de trabajo manual.

Imagen: Netgear

Una de las herramientas que se utilizan para manejar la apertura de puertos es UPnP, o Universal Plug and Play, disponible en la mayoría de routers modernos. De nuevo, la idea es hacer más fácil para las consolas de videojuegos y para la televisiones inteligentes abrir puertos y configurarlos sin demasiada interacción por parte del usuario, pero a menudo se utiliza por parte de malware para apagar las medidas de seguridad más importantes del router.

Advertisement

La mayoría de expertos hoy en día recomiendan apagar UPnP por completo a menos que lo necesites específicamente. La mayoría de dispositivos inteligentes conectados del hogar son además infamemente conocidos por usar el protocolo para dejarse a sí mismos expuestos a ataques, que es el motivo por el que deberías comprobar y recomprobar que tus dispositivos no estén interfiriendo con tu router en modos que no deberían, algo que procedemos a detallar en los párrafos siguientes.

Protegiendo tu red local

Esas son las medidas generales en las que tu router protege tu red local de ataques externos pero, ¬Ņqu√© ocurre con los dispositivos internos? Aqu√≠, la principal barrera es la contrase√Īa wifi de tu router, que impide que cualqueira se conecte a tu red.

Advertisement

La mayoría utiliza un protocolo conocido como WPA2 o Wireless Protected Access 2 (si tu router utiliza protocolos antiguos como WEP o WAP actualiza a WPA2 tan pronto como puedas). A pesar a los eventos recientes que lo ponen en duda, es de momento la opción más segura para mantener tu router limpio de visitantes no solicitados.

La clave de WPA 2 es la encriptación: del mismo modo que una encriptación protege los datos de tu iPhone, WPA2 lo utiliza para agitar los datos viajando desde y hacia tu router, así que su disposición deja de tener sentido para cualquiera acechando tu red local desde el exterior. WPA2 utiliza encriptación AES, que utiliza también el Gobierno de Estados Unidos y prácticamente cualquier otro.

Advertisement

Sin la clave de descifrado (la contrase√Īa de tu red wifi), los dispositivos no pueden ver qu√© est√° pasando en la red y no pueden navegar por internet a trav√©s de dicho router. En otras palabras, est√°n totalmente fuera. Este tipo de protecci√≥n puede ser esquivada con una inversi√≥n muy considerable de tiempo y esfuerzo, as√≠ como por comprobaci√≥n a la fuerza bruta de todas las posibles combinaciones para una contrase√Īa, por ejemplo, algo que un vecino que te quiera robar internet claramente no va a hacer, en principio.

Cómo mantener tu router seguro

Puedes, si quieres, dejar la seguridad de tu router completamente en modo automático, pero cualquiera con mínimo conocimiento te recomendará que tomes un papel más proactivo. De hecho, puede que te interese considerar tu router lo primero de todo, los que facilitan la mayoría de operadoras son tan populares que a menudo se convierten en el primer objetivo de los hackers.

Advertisement

Las actualizaciones de firmware de tu router son muy importantes, aunque a menudo los modelos m√°s antiguos no se actualizan autom√°ticamente: puedes encontrar el √ļltimo firmware para tu router en la p√°gina del fabricante. No esperes actualizaciones muy frecuentes, la mayor√≠a de parches salen para un problema de seguridad.

Es tambi√©n una buena idea cambiar el nombre de usuario por defecto que es necesario para acceder a la configuraci√≥n de tu router, son credenciales direcentes a las de la contrase√Īa WPA2 y necesitan ser introducidas cuando se acceder a tu router v√≠a una direcci√≥n IP especial.

Advertisement

Como muchos routers vienen con el nombre de usuario y contrase√Īa por defecto, cualquiera en tu red puede acceder f√°cilmente a todos los ajustes avanzados, como tu contrase√Īa WPA2, la apertura de puertos, UPnP etc. Sin embargo, para eso necesitan acceso previo a la red, algo que en teor√≠a sin acceso previo con contrase√Īa no puede ocurrir.

Hablando de contrase√Īas, tambi√©n es recomendable cambiar la contrase√Īa general de la red cada poco tiempo. Tendr√°s que pasar por el irritante proceso de reconectar de nuevo todos tus dispositivos pero merece la pena porque es un m√©todo efectivo de bloquear de golpe a cualquiera que haya conseguido acceso a tu red sin tu consentimiento.

Advertisement

Si tu router tiene cualquier característica relacionada con el acceso remoto, desactívalas si no vas a usarlas. En teoría deberían ser seguras de utilizar, pero en un extremo no son más que una vía adicional para los hackers que intenten acceder a tu red.

Por √ļltimo, es buena idea apagar WPS o Wi-Fi Protected Setup. Es una caracter√≠stica dise√Īada para que sea m√°s sencillo conectar nuevos dispositivos, con un PIN de 8 d√≠gitos y apretando un bot√≥n, pero por supuesto tambi√©n hace que sea mucho m√°s sencillo establecer un acceso no autorizado a tu red. Realizar un ataque por fuerza bruta a un n√ļmero PIN de 8 d√≠gitos es mucho m√°s simple que con una contrase√Īa larga y alfan√ļmerica.

Advertisement

La mayor√≠a de fabricantes de routers han abandonado el uso de WPS limitando el n√ļmero de intentos fallidos con n√ļmero PIN antes de bloquearlo, por ejemplo, pero si puedes encontrar la opci√≥n en los ajustes de tu router, la mejor idea es desactivarlo.


Esta historia ha sido producida con el apoyo de la Fundación Mozilla como parte de su misión para educar en el uso, seguridad y privacidad de la red.