Cómo asegurar tu router para evitar la próxima caída de Internet
Introducción
El mes pasado, un ataque de denegación de servicio distribuido contra el proveedor de DNS Dyn dejó inaccesibles sitios y apps populares para millones de usuarios. Muchos de los dispositivos que contribuyeron a ese ataque fueron aparatos cotidianos conectados a Internet, como cámaras inteligentes, CCTV y frigoríficos con funciones en red.
Hoy en día la mayoría de los hogares están rodeados por pequeños ordenadores conectados a la red. Muchos usuarios no saben que estos aparatos necesitan configuraciones de seguridad. Afortunadamente, hay medidas sencillas que puedes aplicar desde el router para reducir el riesgo de que tus dispositivos sean secuestrados y usados con fines maliciosos.
Qué significa DDoS y por qué los dispositivos IoT son un riesgo
DDoS: ataque de denegación de servicio distribuido. Consiste en saturar un servicio con tráfico desde muchas fuentes para hacerlo inaccesible.
IoT: dispositivos de Internet de las cosas. Son aparatos con conectividad que a menudo usan firmware limitado y configuraciones por defecto.
Los dispositivos IoT suelen tener diseños simples y, en algunos casos, contraseñas por defecto conocidas o servicios abiertos. Si un atacante encuentra muchos dispositivos inseguros, puede comandarlos a la vez y lanzar un ataque coordinado.
Configuraciones del router que debes cambiar ahora mismo
A continuación se detallan medidas prácticas y cómo aplicarlas. Muchas de ellas se realizan desde la página de administración del router o la app del fabricante.
Cambia el usuario y la contraseña por defecto
Muchos routers y dispositivos vienen con credenciales conocidas que aparecen en internet. Accede a la interfaz de administración del router y crea un usuario y una contraseña nuevos, robustos y distintos de los que usas en otros servicios. Usa un gestor de contraseñas si es posible.
Consejos para una contraseña fuerte:
- Al menos 12 caracteres. Combina mayúsculas, minúsculas, números y símbolos.
- Evita palabras completas y datos personales.
- Utiliza frases largas modificadas si prefieres memorizarlas.
Exige contraseña para la Wi Fi y usa cifrado fuerte
Activa WPA2 o, si tu router y dispositivos lo permiten, WPA3. No uses WEP ni redes abiertas. Elige una clave de acceso única para la red principal y otra para invitados.
Nota: algunos dispositivos muy antiguos pueden no soportar WPA2. Valora sustituirlos o aislarlos en una red separada.
Cambia el nombre de la red (SSID)
No uses nombres que revelen el modelo del router o el operador. Un SSID genérico y neutro dificulta el trabajo de atacantes automáticos que buscan modelos vulnerables.
Actualiza el firmware del router y los dispositivos IoT
Revisa periódicamente las actualizaciones de firmware. Habilita la actualización automática si tu router ofrece esa opción. Si no, programa una revisión mensual o trimestral. Antes de actualizar, haz copia de seguridad de la configuración del router.
Pasos básicos:
- Entra en la interfaz web del router.
- Busca la sección de firmware o actualizaciones.
- Comprueba la versión y aplica la actualización si existe.
- Reinicia y verifica la conectividad.
Desactiva UPnP salvo que lo necesites
UPnP permite abrir puertos de forma automática. Es cómodo, pero puede exponer servicios internos si un dispositivo compromete la red. Desactívalo salvo que sepas exactamente por qué lo necesitas.
Desactiva la gestión remota
Si no necesitas gestionar el router desde fuera de la red doméstica, apaga la administración remota. Esto obliga a que cualquier cambio de configuración se haga con acceso físico o desde dentro de la red.
Crea una red de invitados y aísla los IoT
Configura una red para invitados o VLAN separada para cámaras, TV inteligentes y otros IoT. Mantén tu equipo principal (ordenador, móvil, NAS) en otra red con acceso restringido a los dispositivos IoT.
Beneficio: si un IoT se compromete, el atacante no tendrá acceso directo a tus archivos o a tus equipos personales.
Comprobaciones y compras informadas
Verifica problemas conocidos del fabricante
Consulta reseñas, foros y sitios de protección al consumidor para ver si hay demandas, retiradas o quejas recurrentes contra un fabricante. Busca la política de privacidad y la política de divulgación responsable en la web del proveedor.
Comprueba vulnerabilidades públicas
Busca el nombre del producto y el fabricante en bases de datos de vulnerabilidades como CVE Details. Si un producto tiene vulnerabilidades sin parchear, evítalo.
Investiga antes de comprar
Compra routers y dispositivos que hayan considerado la seguridad desde el diseño. Lee reseñas técnicas que evalúen actualizaciones de firmware y facilidad de configuración.
Qué hacer si crees que un dispositivo está comprometido
Playbook rápido de respuesta:
- Aísla el dispositivo: desconéctalo o apágalo la interfaz inalámbrica. Si es posible, mueve el equipo a la red de invitados y corta su acceso a otros recursos.
- Cambia contraseñas: modifica las credenciales del router y de la consola del dispositivo.
- Actualiza: aplica el firmware más reciente del fabricante.
- Restauración: si los problemas persisten, haz un restablecimiento de fábrica y configura de nuevo desde cero.
- Sustitución: si el fabricante no ofrece parches o soporte, retira el dispositivo de la red y sustitúyelo por uno con soporte activo.
- Notifica: contacta al fabricante y, si procede, a tu proveedor de servicios o a entidades de seguridad.
Importante: guarda registros de tráfico y fechas si sospechas de actividad maliciosa. Pueden ser útiles para investigación posterior.
Listas de verificación rápidas
Lista para aplicar hoy (casa particular):
- Cambiar usuario y contraseña de administrador del router
- Establecer contraseña Wi Fi con WPA2/WPA3
- Desactivar UPnP y administración remota
- Crear red de invitados para IoT
- Comprobar actualizaciones de firmware
Lista para pequeñas empresas:
- Inventariar dispositivos conectados y firmware
- Segmentar redes por función (empleados, invitados, IoT)
- Habilitar registro de eventos y almacenarlo fuera del router
- Revisar políticas de acceso remoto y VPN
Lista antes de comprar un dispositivo IoT:
- ¿Recibe actualizaciones regulares? ¿Con qué frecuencia?
- ¿El fabricante publica políticas de seguridad y divulgación?
- ¿Existen reseñas técnicas y resultados de laboratorio?
- ¿Se puede cambiar la contraseña por defecto y desactivar servicios innecesarios?
Metodología mínima al evaluar seguridad de un dispositivo
- Inventario: lista modelo y versión de firmware.
- Investigación: busca vulnerabilidades, reseñas y políticas del fabricante.
- Pruebas: limita permisos y funcionalidades, observa comportamiento en red.
- Decisión: parchear, aislar o reemplazar según riesgo.
Contraejemplos y cuándo estas medidas no bastan
- Dispositivo sin posibilidad de actualizar firmware: aislar o retirar.
- Fabricante que ha dejado de dar soporte: reemplazar por uno con soporte activo.
- Ataque dirigido y sofisticado contra infraestructuras: en entornos críticos, se requieren controles avanzados como firewalls dedicados, sistemas IDS/IPS y equipos especializados.
Matriz de riesgo simplificada y mitigaciones
- Riesgo alto: dispositivos sin actualizaciones, servicios expuestos - Mitigación: retirar o aislar inmediatamente.
- Riesgo medio: contraseñas débiles, UPnP activo - Mitigación: cambiar credenciales, desactivar UPnP.
- Riesgo bajo: dispositivos actualizados y segmentados - Mitigación: mantenimiento y monitorización regular.
Diagrama de decisión para acciones rápidas
flowchart TD
A[¿Dispositivo tiene conexión pública innecesaria?] -->|Sí| B[Aislar red]
A -->|No| C[¿Tiene actualizaciones disponibles?]
C -->|Sí| D[Actualizar firmware]
C -->|No| E[¿Soporte del fabricante activo?]
E -->|No| B
E -->|Sí| F[Contactar al fabricante y vigilar]
B --> G[Revisar y cambiar credenciales]
D --> G
F --> G
G --> H[Monitorizar tráfico durante 7 días]Roles y responsabilidades rápidas
Para propietarios domésticos:
- Aplicar listas de verificación diarias y mensuales.
- Priorizar la actualización de routers y dispositivos con acceso a cámara o micrófono.
Para administradores de pequeñas empresas:
- Mantener inventario y plan de sustitución.
- Implementar segmentación y VPN para accesos remotos.
Consejos prácticos y atajos (cheat sheet)
- Usa WPA2/WPA3 y una contraseña única por red.
- Habilita la red de invitados y coloca IoT allí.
- Desactiva UPnP y administración remota.
- Programa revisiones de firmware cada 30 o 90 días.
- Sustituye dispositivos sin actualizaciones disponibles.
Resumen final
- Asegurar el router reduce el riesgo de que tus dispositivos sean reclutados en ataques masivos.
- Prioriza cambios sencillos: contraseñas, cifrado Wi Fi, desactivar servicios inseguros y actualizaciones.
- Si un dispositivo está comprometido, aíslalo, actualízalo y, si hace falta, sustitúyelo.
Recursos y búsqueda adicional
- CVE Details para buscar vulnerabilidades conocidas
- Sitio del fabricante para política de privacidad y divulgación responsable
- Foros y reseñas especializadas para experiencia de usuarios y problemas recurrentes
Importante: estas pautas reducen significativamente la probabilidad de compromisos, pero en entornos críticos se requieren controles avanzados y soporte profesional.
Kriterios de aceptación
- Router y dispositivos deben tener contraseñas únicas y robustas
- La red IoT debe estar segmentada o en una red de invitados
- Se deben aplicar actualizaciones de firmware con periodicidad definida
Fin del documento
Materiales similares
Configurar DNS en Windows Server
Expresa tu interés por la tecnología con tu estilo
Mitos de carga y ansiedad por batería
Error 80192EE7 en Microsoft Intune — soluciones
Amenazas en Internet para niños y cómo protegerlos