Configura tu router para blindarlo de ataques externos
Cambios inmediatos. Si tienes ligeras sospechas de que ya has sufrido la intrusión en tu red:
1. Desconecta el cable de entrada de tu router.
2. Haz un factory reset al router.
1. Primer paso. Una vez reseteado el router a la configuración original, seguimos con los siguientes pasos que son los mismos que deben utilizar todos para blindar su router independientemente de que tuvieras ligeras sospechas o necesites blindar tu red doméstica, y que serían los cambios más prioritarios:
1.1. Conéctate al router por cable o Wi-Fi.
1.2. En el navegador, escribe la IP de acceso (normalmente una de estas):
192.168.0.1
192.168.1.1
192.168.100.1
1.3. Ingresa con tus credenciales. Si nunca las cambiaste, hazlo inmediatamente.
Muchos routers traen por defecto, usuario: admin y contraseña: admin o tienes esos datos disponibles en la etiqueta del router.
Cambia las credenciales del router (usuario y contraseña de administrador). No uses “admin/admin”. No uses el mismo usuario/contraseña para todos los dispositivos.
• Usa una contraseña única y larga (mínimo 16 caracteres, mezcla mayúsculas/minúsculas, números y símbolos). Ejemplo de requisito: 16+ caracteres, sin palabras del diccionario, como: Jm#8t@2025$WiFi.
• Si el router soporta usuario distinto al admin por defecto, créalo y desactiva el usuario por defecto.
2. Actualiza firmware. Actualiza el firmware del router a la última versión oficial (o a OpenWrt/DD WRT/Tomato si tu modelo lo soporta).Busca en el menú Administration / Firmware Update.
• Busca en la interfaz del router la sección Firmware / System / Actualización y aplica la última versión disponible.
• Si el fabricante no ofrece actualizaciones frecuentes, considera cambiar por un modelo con mejor soporte o instalar firmware como OpenWrt / DD WRT (requiere conocimientos y puede anular garantía).
• Instala la última versión del firmware del fabricante.
2.1 Firmware alternativo y paquetes:
• OpenWrt: firmware comunitario muy configurable; permite instalar arpwatch, Snort/Suricata, collectd, luci-app-nlbwmon (monitor de tráfico), packages para enviar notificaciones.
• DD WRT / Tomato: ofrecen más control que firmware stock en muchos routers.
Sólo cambiar la contraseña del Wi Fi no es suficiente si el router tiene acceso remoto abierto o firmware vulnerable.
3. Desactiva administración remota (Remote Management / WAN access). Si la necesitas, restringe por IP o usa VPN.
Cierra puertos que no uses. Revisa reglas NAT/Port Forwarding y elimina redirecciones innecesarias.
4. Activa el cifrado Wi Fi moderno: preferiblemente WPA3; si no está, WPA2 AES (no TKIP).
• Tipo de cifrado: usa WPA3 si está disponible; si no, WPA2 AES (no uses WEP ni WPA TKIP). Usa WPA3 si tu router lo soporta; si no, WPA2-AES.
• Ejemplo: Security Mode: WPA2-PSK (AES) o WPA3-SAE.
• Habilita WPA2/WPA3 Enterprise (RADIUS) para autenticación robusta — ideal para empresas, más complejo.
5. Usa una contraseña de Wi Fi larga y única (frase de paso > 12–16 caracteres con mezcla).
• Contraseña de Wi Fi (PSK): larga y única (mínimo 12 16 caracteres). No reutilices contraseñas. Usa una contraseña Wi-Fi larga (mínimo 16 caracteres aleatorios).
El problema: si alguien adivina tu contraseña o explota una vulnerabilidad, puede controlar completamente tu red.
• También existen listas de los routers, users y password de fábrica circulando por ahí, que están incluidas en muchas bases de datos de programas para descubrir la contraseña, motivo por el cual verás a alguno con el móvil pasando la mañana sentado contra la pared, para pillar buen Wifi, de algún vecino de tu urbanización. (Mientras esa persona no cometa un ilícito legal no habría ningún problema judicial, simplemente te ralentizaría tu red, pero si encima cometiera un ilícito legal, el responsable sería el dueño de la línea hasta que se demostrara lo contrario)
• Sólo cambiar la contraseña del Wi Fi no es suficiente si el router tiene acceso remoto abierto o firmware vulnerable.
6. Desactiva WPS (es inseguro).
7. Desactiva UPnP en el router a menos que lo necesites y entiendas los riesgos. UPnP posibilita abrir puertos automáticamente — útil pero peligroso.
8. Cambia el SSID por defecto (no pongas datos personales, no uses tu nombre o dirección). Oculta, pero no confíes en “ocultar SSID” como protección principal, solamente. Ocultar SSID (broadcast off) no es una defensa real (es "obscurity"). Continúa configurando tu router para tu máxima seguridad y para los tuyos que usan la misma red doméstica.
9. Desactiva
servicios inseguros: Telnet, SSH, SNMP público, FTP sin TLS, TR-069. (Estas funciones permiten que otros accedan o configuren tu router desde fuera). Si necesitas acceso remoto, usa VPN o una IP de confianza.
10. Habilita el firewall del router si existe.
Activa el firewall integrado del router. Entra en la sección Security / Firewall y asegúrate de que esté habilitado.
Bloquea respuesta a pings desde WAN (ICMP echo) si no necesitas diagnóstico externo.
Configura reglas para bloquear tráfico saliente sospechoso (si tu router lo permite).
Activa la opción “SPI Firewall” o “Stateful Packet Inspection”.
Bloquea respuestas ICMP (Ping) desde el exterior (“Block WAN Ping”).
11. Segmentación y control de acceso
• Red de invitados para dispositivos de visitas / IoT con acceso a Internet pero sin acceso a la LAN principal. Activa una red de invitados para visitantes e IoT (cámaras, TV, enchufes inteligentes). Esa red debe estar aislada del LAN principal.
Crea una Guest Network separada para visitas o dispositivos IoT.
Limita su acceso solo a Internet, sin permitir acceso a la red principal.
• VLANs para separar IoT, cámaras, invitados y dispositivos personales. Si el router lo permite, usa VLANs para separar dispositivos críticos (PCs, NAS) de IoT.
1. Filtrado por MAC como capa extra (no es infalible — MAC spoofing existe).
Aunque
no es infalible, el filtrado MAC puede servir como una capa extra.
Solo
permite el acceso a las MAC de tus dispositivos de confianza.
2. Limitar el rango DHCP y asignar IPs estáticas a dispositivos críticos.
Usa DHCP pero reduce el rango si quieres más control. Ejemplo: 192.168.1.100–192.168.1.150.
Puedes reservar direcciones (IP reservation) para tus dispositivos y usar access control para identificar intrusos.
MAC filtering: ofrece seguridad marginal (es fácilmente falsificable) — puede usarse como capa adicional pero no confíes solo en eso.
3. Listas blancas (permitir solo dispositivos conocidos) si tu red es pequeña y fija.
12. Detección y monitoreo (alertas)
Registrar logs del router y enviarlos a un servidor syslog local o remoto (p. ej. Raspberry Pi).
Habilitar notificaciones por e mail del router (si soporta) para cambios de configuración o intentos de login.
Monitor de ARP / presence para detectar nuevas MAC o cambios de IP.
Sistema IDS/IPS en la red (Snort o Suricata) para detectar tráfico malicioso.
Herramientas Wi Fi pasivas (Kismet) para detectar redes y clientes que hacen probing o ataques (deautenticación, rogue AP).
Escaneo periódico de la subred para detectar dispositivos nuevos (nmap, arp-scan).
Home Assistant u otros sistemas domóticos pueden notificar cuando aparece un dispositivo desconocido.
Controla los dispositivos conectados
• Verifica en la sección “Attached Devices” o “DHCP Clients” quién está conectado.
• Bloquea dispositivos desconocidos.
• Si tu router lo permite, asigna IPs fijas a tus dispositivos principales.
Registros y monitoreo
• Activa logs del router y revísalos periódicamente: conexiones nuevas, intentos de login, puertos abiertos.
• Mira la lista de dispositivos conectados y verifica nombres/MACs desconocidos.
• Si hay opción, activa notificaciones por email cuando se detecten cambios.
13. Protege dispositivos finales
• Mantén actualizados todos los equipos (Windows, macOS, móviles, cámaras, IoT).
• Usa antivirus/EDR en PC y contraseñas fuertes en dispositivos.
• Deshabilita servicios remotos en dispositivos que no los necesiten.
14. Usa DNS y VPN para mayor seguridad
• Cambia el DNS por uno seguro y filtrante (por ejemplo NextDNS, Cloudflare 1.1.1.1 con filtrado, o Quad9) para bloquear dominios maliciosos a nivel de red.
• Si quieres cifrar todo el tráfico saliente del hogar, instala una VPN en el router (si el firmware lo permite) apuntando a un servidor confiable.
15. Si tienes cámaras, NAS o servicios accesibles desde Internet
• No publiques servicios directamente si no es necesario. Usa VPN para acceso remoto.
• Si expones servicios, usa autenticación fuerte, 2FA y certificados TLS válidos.
15. Limita potencia de transmisión de tu WI-FI si necesitas reducir cobertura fuera del hogar (opcional). Si en vez de ir deprisa y corriendo a todos los lados, te fijas en las personas que están varias horas con el móvil sentadas contra la pared de una urbanización, te darás cuenta que solo hay dos opciones, que a esa persona le guste estar al sol navegando con su red WI-FI o que utilizando los programas que existen esté conectado a la WI-FI de algún vecino de esa urbanización.
Llegados a este extremo, tanto si tuviste ligeras sospechas de una intrusión en tu red como si no, el siguiente paso sería:
1. Revisa todos los dispositivos de la red doméstica en busca de malware.
2. Si es grave o sensible, considera cambiar el router y consultar con un profesional.
Comentarios
Publicar un comentario