Todo el mundo usa WiFi. Es un hecho de la vida moderna, pero conlleva algunos riesgos y preocupaciones de seguridad graves. El WiFi doméstico puede ser la parte más insegura de su conexión a Internet. Potencialmente lo expone a ataques desde Internet, así como desde la puerta de al lado.
Si bien ninguna medida de seguridad es perfecta, existen algunos pasos simples que puede tomar para mejorar la seguridad de su WiFi doméstico y dificultar el acceso de los atacantes.
Cambiar el nombre (SSID)
Éste es muy simple. Cambie el nombre de su red. Los atacantes conocen los nombres predeterminados que utilizan los fabricantes de enrutadores y los ISP. Si pueden averiguar qué tipo de enrutador está utilizando con solo mirar el nombre de su red, pueden adaptar su ataque a su enrutador exacto mucho más fácilmente. Les ahorra tiempo y esfuerzo.
Además, este tipo de información abre la puerta a exploits más sofisticados que atacan el firmware específico de su enrutador. Un atacante puede explotar ese firmware directamente y potencialmente obtener incluso más acceso de manera más discreta que si solo fuera para averiguar su contraseña.
Cambiar el nombre de usuario y la frase de contraseña del administrador
La lógica aquí sigue la misma línea que la sección anterior. Debe cambiar el nombre de usuario y la contraseña de su usuario administrador de red.
Los atacantes conocen los valores predeterminados y los probarán primero. No crea que es inteligente simplemente cambiando la contraseña o cambiándola para que tenga un carácter. Los atacantes tienen una herramienta que puede probar miles de posibles combinaciones de contraseña y nombre de usuario muy rápidamente.
Cambie el nombre de usuario del administrador por algo algo difícil de adivinar. La contraseña debe ser una frase de contraseña. Eso significa que debe ser una frase corta que contenga al menos una palabra oscura más. También debe utilizar mayúsculas, números y un par de caracteres especiales.
Utilice cifrado fuerte
Si no está utilizando cifrado en su red inalámbrica, lo está haciendo mal, a lo grande. En realidad, si está utilizando cifrado, es posible que aún lo esté haciendo mal. No todo el cifrado es igual. Asegúrese de haber elegido la configuración correcta.
Elija “WPA2 Personal” para su red. Si puede configurar la versión empresarial y sabe cómo, eso es un poco mejor, pero en realidad no es fácil a menos que ya tenga algo de experiencia con ella.
Para el algoritmo de cifrado en sí, elija AES. No incluya TKIP. AES proporciona un cifrado mucho más fuerte y es mucho más difícil de explotar. TKIP solo se incluye como una opción para compatibilidad con versiones anteriores, y ahora, si realmente necesita TKIP, actualice sus dispositivos.
Elija una frase de contraseña mejor
La frase de contraseña que utiliza para iniciar sesión en su red también debe ser sólida y debe ser diferente a la de su cuenta de administrador. Elija algo de varias palabras. Incluya al menos una palabra de uso menos común y algunos números y caracteres especiales. Su frase de contraseña debe tener al menos quince caracteres.
Rote su contraseña de WiFi
Incluso si su frase de contraseña de WiFi es increíblemente sólida, debe cambiarla. Al igual que con cualquier frase de contraseña, es una buena idea alternar con otras nuevas de vez en cuando. Eso no significa que deba cambiar su frase de contraseña cada dos días, pero cada dos meses es una buena idea.
Desactiva tu red de invitados
Las redes de invitados pueden ser un arma de doble filo. Claro, sus invitados no se registran ni obtienen acceso a toda su red, y no están usando su frase de contraseña. Sin embargo, si su red de invitados no tiene contraseña, aún se está abriendo a cualquiera que quiera conectarse. Básicamente, les está dando a los atacantes un pie en la puerta.
La única excepción aquí es si puede crear una frase de contraseña de invitado separada para su red de invitados. Si su red de invitados tiene el mismo nivel de seguridad que su red principal, está bien. De lo contrario, desactívelo y, si no confía en sus amigos, cambie la frase de contraseña cuando se vayan.
Habilitar un firewall
No todos los enrutadores tienen un firewall incorporado, pero si el tuyo lo tiene, habilítalo. Un firewall puede servir como su primera línea de defensa. Están diseñados específicamente para administrar y filtrar el tráfico que ingresa y sale de su red y pueden bloquear los intentos de obtener acceso a través de puertos no utilizados.
Incluso si tiene firewalls habilitados en sus dispositivos, es una buena idea agregar una segunda capa de seguridad. ¿Realmente quiere arriesgarse a que un intruso ingrese a su red solo para intentar detenerlo después? Es mucho más fácil para un intruso lanzar un ataque desde dentro de su red que desde fuera. Además, pueden monitorear su tráfico.
Usa una VPN
No evitará que sus vecinos entren en su red con una VPN, pero de esa manera puede ayudar a detener los ataques desde fuera de su área inmediata.
Cuando utilice una VPN, conéctese primero al servidor VPN y luego a Internet externo. Todo su tráfico parece provenir de la VPN. Eso incluye cualquier información sobre su red local porque las VPN crean redes locales virtuales. Mientras está conectado a ellos, su computadora está tanto en su red local física como en la virtual. Internet solo puede ver el virtual.
Las VPN tienen el beneficio adicional de anonimizar parcialmente su tráfico. No, una VPN por sí sola no lo hará completamente anónimo en línea, pero ciertamente ayuda.
Desactivar WPS
WPS son las siglas de Wifi Protected Setup. Es un sistema para conectarse a una red WiFi encriptada sin ingresar una contraseña. Hay algunas implementaciones diferentes, pero todas hacen relativamente lo mismo.
Si bien WPS puede sonar bien en papel, no es tan bueno en la práctica. WPS tiene exploits y agujeros de seguridad conocidos. Lo que es peor, está habilitado de forma predeterminada en la mayoría de los enrutadores. Si puede realizar un seguimiento de nuestra frase de contraseña, no hay necesidad de WPS. Deshabilítelo y cierre esos agujeros de seguridad.
Administre el firmware de su enrutador
Al igual que su computadora, su enrutador tiene un sistema operativo. A diferencia de su computadora, las actualizaciones de seguridad no se envían automáticamente. Necesita actualizarlo manualmente.
Algunos enrutadores pueden descargar sus actualizaciones de firmware de Internet. Para otros, debe descargarlos y cargarlos en el enrutador manualmente desde su computadora. De cualquier manera, debes mantenerte al tanto.
Al igual que con las computadoras, las actualizaciones suelen incluir importantes correcciones de seguridad. Si deja su enrutador sin esas correcciones, es posible que esté permitiendo que su enrutador y su red permanezcan abiertos a exploits probados.
No tienes que hacer esto muy a menudo. Solo busque actualizaciones cada mes y podrá mantenerse a la vanguardia.
Si tiene más habilidades técnicas, es posible que desee considerar el uso de firmware de enrutador de código abierto personalizado. Hay algunos firmwares de posventa realmente geniales que puede cargar en su enrutador, y tienden a ver actualizaciones más rápidas y muchas más funciones. Si nunca ha hecho este tipo de cosas antes, tenga cuidado. Puede destruir su enrutador.
Deshabilitar la administración remota / servicios innecesarios
Muchos enrutadores tienen servicios de administración remota. En algunos enrutadores, esos servicios están habilitados de forma predeterminada. No se equivoque aquí. Esta no es la interfaz web que se utiliza para administrar el router desde dentro de la red. Los servicios remotos le permiten administrarlo externamente . Eso significa que un atacante de la Internet abierta puede obtener acceso a la interfaz de administración de su enrutador.
No hay muchas razones prácticas por las que le gustaría poder administrar su enrutador desde fuera de su red, por lo que no se perderá mucho al deshabilitar este servicio potencialmente peligroso.
Hay otros servicios con los que vienen los enrutadores que no son estrictamente necesarios. Por ejemplo, algunos enrutadores vienen con SSH o Telnet menos seguro habilitado de forma predeterminada. No hay ninguna razón para eso, especialmente porque puede usar la interfaz web de su enrutador.
Algunos enrutadores incluso tienen FTP y Samba habilitados de forma predeterminada para compartir archivos. Ambos se han ganado con creces su notoriedad por ser fáciles de explotar. Si los tiene, apáguelos.
Pensamientos finales
Si presta atención a los temas de seguridad o ha leído un artículo como este en el pasado, es posible que se pregunte por qué no se tratan algunas cosas. Hay una muy buena razón.
Se omitieron las direcciones IP estáticas, el filtrado MAC y la ocultación de su SSID porque se ha demostrado que no funcionan. Claro, es posible que pueda desalentar algunas intromisiones menores, pero contra las herramientas adecuadas, ninguna de estas tácticas es efectiva. Es mejor invertir su tiempo y esfuerzo en lo que cuenta, como el cifrado y las frases de contraseña seguras.
Su red doméstica es la barrera entre el contenido de sus computadoras y el resto del mundo. Sea inteligente y haga todo lo posible para asegurarse de que su enrutador lo esté protegiendo.
