WiFi: cómo asegurar su red doméstica

Las redes WiFi se han convertido en la norma, pero plantean una serie de problemas de seguridad: pueden permitir que un intruso acceda a su red personal, a las máquinas conectadas a ella y a su tráfico. Una persona malintencionada puede llevar a cabo su ataque a distancia, con toda discreción. Sin embargo, reforzar la seguridad de su red WiFi no consiste únicamente en cambiar la clave de la red. He aquí algunos consejos para mejorar la protección de su red contra posibles intrusiones;

Comentarios

WiFi: seguridad limitada, haga lo que haga

El primer consejo es no creer que será posible hacer que su red WiFi sea totalmente impermeable a los ataques. La tecnología tiene varios defectos. En primer lugar, se basa en las ondas que atraviesan las paredes: la señal es, por tanto, accesible en toda la casa, lo que es especialmente cierto cuando se vive en un apartamento en la ciudad.

El segundo problema es que el cifrado ya no es una seguridad absoluta. Los fallos conocidos y bien documentados (especialmente el WPS) permiten acceder a las redes inalámbricas sin ni siquiera intentar adivinar la clave en algunos routers no actualizados, por ejemplo. El cifrado WEP y WPA es ahora muy fácil de descifrar. Y desde el año pasado, la seguridad del cifrado WPA2 también ha sido descifrada.

Desde entonces, la WiFi Alliance ha anunciado el cifrado WPA3, que debería permitir recuperar un poco de ventaja sobre los hackers. Pero los routers y, en general, los dispositivos compatibles con WPA3 siguen siendo escasos. Y en fin, esperamos que en cualquier caso los hackers acaben encontrando una nueva forma…

Por lo tanto, la primera forma de reforzar la seguridad de su red WiFi es reforzar la seguridad de lo que corre más riesgo de ser pirateado, es decir, la seguridad de los dispositivos conectados a su red. De ahí la relevancia, por ejemplo, de un cortafuegos directamente en el ordenador en lugar de depender del que hay en el router.

Contraseña, seguridad…: consejos básicos

Empecemos con algunos consejos de sentido común que, por desgracia, no siempre se respetan. Si ya los conoces, pasa directamente a los consejos más avanzados, y/o a los métodos que no recomendamos.

Elija una contraseña segura para su red WiFi

En general, tu red WiFi está gestionada por la caja de tu operador. Esto significa que, en general, su operador ya le ha asignado una clave de conexión muy compleja que no tiene que cambiar. Excepto si tu caja está en zonas comunes y quieres evitar que alguien se conecte con el código pegado en la etiqueta de la caja.

En cualquier caso, si lo cambias, elige algo que sea a la vez mnemotécnico y seguro. En este artículo te damos algunos consejos para elegir mejores contraseñas. Una de ellas es construir tus contraseñas como frases (cadenas de palabras que se pueden pronunciar) en lugar de una serie de números, letras y caracteres especiales.

Elige el cifrado más potente compatible con tus dispositivos

En general, todos los routers ofrecen estos métodos de cifrado (en negrita los más seguros de la lista):

• WEP de 64 bits
• WEP de 128 bits
• WPA-PSK (TKIP)
• WPA-PSK (AES)
• WPA2-PSK (TKIP)
• WPA2-PSK (AES)*
• WPA/WPA2-PSK (TKIP+AES)

* el cifrado más fuerte en la mayoría de los routers es él, no el que está justo después como muchos usuarios lamentablemente creen…

Más recientemente, algunos dispositivos también ofrecen este método:

• WPA3

WEP (Wired Equivalent Privacy) es el más antiguo de los métodos de encriptación – y ahora es casi tan recomendable como dejar la red sin contraseña (ya sea en su versión de 64 o 128 bits). Es un método que debe evitarse en todos los casos.

WPA(Wi-Fi Protected Access) es una serie de estándares diseñados para mejorar la seguridad. WPA I fue rápidamente suplantado por WPA2, y más recientemente, tras descubrirse fallos críticos en el protocolo, la WiFi Alliance lanzó WPA3. El problema es que esta última tecnología aún tarda en democratizarse.

TKIP es el antiguo método de cifrado utilizado por el protocolo WPA.

AES es un fuerte estándar de encriptación utilizado por los militares, entre otros.

El modo WPA/WPA2-PSK (TKIP+AES)no es, en contra de la creencia popular, el modo más seguro disponible en su router. En realidad, se trata de un modo híbrido que mezcla las dos versiones de WPA y los protocolos de encriptación (TKIP y AES) para que sean compatibles. Sin embargo, permite que los hackers se aprovechen de las vulnerabilidades del protocolo WPA I, sabiendo que el protocolo WPA 2 es ahora también vulnerable. Y también permite explotar  TKIP, un cifrado menos seguro que AES.

Por eso, si tus dispositivos lo permiten, te recomendamos que elijas el modo WPA2-PSK (AES) en tu router/. Dado que WPA3 aún tarda en aparecer.

Cambiar el nombre de su red SSID

Por defecto, su buzón de Internet emite un nombre que delata su origen. Por ejemplo, si tienes un Livebox, tu nombre de red WiFi por defecto será algo así como Livebox-F986. Cada operador tiene su propio nombre, lo que da una indicación importante a un posible hacker que intente explotar un fallo en su hardware: si se trata de un Bbox, Livebox, Freebox o SFRbox, sólo queda probar las vulnerabilidades de los modelos más recientes.

Pero, ¿por qué no intentar confundir a todo el mundo? Elija un nombre diferente, ya sea algo que no tenga nada que ver o, por qué no, un nombre que suene a la caja de otro operador. No mejorará realmente su seguridad, pero sin duda hará perder algo de tiempo a un posible hacker.

Mantenga su router actualizado

Ni que decir tiene que si hay fallos, los fabricantes tienden a corregirlos y ofrecen actualizaciones periódicas. Pero la actualización no siempre es automática en todos los modelos. Así que tienes que conectarte a tu espacio de administración.

Cómo hacerlo: conéctese a la interfaz de administración de su router

Más consejos avanzados para asegurar su red WiFi

Además de los consejos básicos, algunas acciones le permitirán elevar la seguridad unos cuantos niveles para disminuir cualquier riesgo de ataque.

Desactivar WPS

WPS, por Wi-Fi Protected Setup, es una tecnología lanzada por la Wi-Fi Alliance para simplificar la conexión de un dispositivo a una red Wi-Fi. Consiste en ofrecer un botón físico en el router que basta con pulsar para validar el emparejamiento de un dispositivo a la red WiFi, sustituyendo la contraseña. Pero hay varios métodos de conexión WPS. Uno de ellos se basa en un código PIN de ocho dígitos -configurado en fábrica-, a veces se encuentra el 12345678 en los modelos más antiguos.

Pero existen otras vulnerabilidades en modelos más nuevos con otros modos de conexión WPS. Por ejemplo, un ataque  del protocolo había sido demostrado en 2017 en el Livebox 2 y 3 y Neufbox 4, 6 y 6V. El fallo era bastante preocupante, ya que al atacante le bastaba con enviar un código PIN vacío para iniciar la conexión. En resumen, si no la utilizas -muchos usuarios ni siquiera saben que esta función existe en su router- desactívala a través de la interfaz de gestión de tu caja.

Ocultar SSID

Para ir más allá puedes optar por una estrategia para que tu red sea lo más discreta posible en un entorno ya saturado de muchas redes WiFi. Uno de los consejos para esto es ocultar el nombre de la red SSID. Esto significa que ya no aparecerá en la lista de redes inalámbricas de los ordenadores, smartphones y tabletas.

Todavía es posible descubrir la presencia de una red oculta a través de herramientas especializadas, pero esto añade una dificultad para penetrar en su red inalámbrica, ya que para conectarse a ella es absolutamente necesario conocer el nombre de la red y la clave. De nuevo, esto no debe considerarse como una verdadera medida de seguridad. En el mejor de los casos es un obstáculo que hará perder un poco de tiempo a un hacker.

Para conectarse a su red, ahora tendrá que introducir manualmente su nombre,  norma de seguridad y clave.

Cómo: conectarse a la interfaz de administración de su router

Reducir la intensidad de la señal y, por tanto, su alcance

Por desgracia, no todos los routers lo permiten, pero una de las mejores maneras de hacer que su red sea menos vulnerable a los ataques es reducir la intensidad de la señal WiFi. Esto hace que sea mucho más difícil conectarse fuera de sus muros, ya que la conexión es más débil.

En la misma línea, opta, si tus dispositivos son compatibles, por una única red WiFi de 5GHz (y desactiva la de 2,4 GHz): cuanto más alto sea el espectro de ondas de radio, más fácil será que la señal sea detenida por las paredes. También te aconsejamos que desactives la red WiFi si es posible cuando salgas de casa durante periodos prolongados, por ejemplo, cuando te vayas de vacaciones.

Cómo: conectarse a la interfaz de administración de su router

Echa un vistazo a la lista de clientes conectados de vez en cuando

De vez en cuando vaya a las páginas de administración de su router para comprobar la lista de dispositivos conectados. Intenta comprobar que todos los dispositivos están entre los permitidos. Para ello, puede utilizar, entre otras cosas, la dirección MAC de sus dispositivos para adivinar la marca del aparato. Este sitio permite encontrar mucha información a partir de las direcciones MAC:

• macvendors.com

Elija un nombre de usuario / contraseña diferente para la administración de su router

Imagínese que un intruso consigue entrar en su red sin que usted lo sepa y cambia la configuración de su router para reducir los riesgos de ser descubierto, o para llevar a cabo un ataque. Por ello, se recomienda encarecidamente cambiar el nombre de usuario y la contraseña por defecto del router, incluso si su interfaz de gestión sólo es accesible desde su red. Si el nombre de usuario/contraseña en cuestión es Admin/Contraseña (suele ser eso o algo parecido, por desgracia), cámbialo urgentemente.

Cómo hacerlo: conéctese a la interfaz de administración de su router

Métodos complicados que no recomendamos (y por qué)

Además de eso, hay métodos que hemos leído en otros lugares de la red, y que hay que evitar, porque complican innecesariamente el uso de la red WiFi (y por lo tanto es probable que se abandonen muy rápidamente) y/o porque no mejoran realmente la seguridad de tu red WiFi, además de hacer que tu conexión sea menos estable.

Filtrado de direcciones del Mac: probarlo es odiarlo

A menudo se recomienda el filtrado de direcciones Mac, pero debería evitarse por dos razones. La primera, y probablemente la más importante, es que es posible manipular esta dirección, que inicialmente fue diseñada como una especie de tatuaje electrónico. Por tanto, un intruso podría utilizar la fuerza bruta para encontrar las direcciones Mac autorizadas y hacerse pasar por un dispositivo válido.

La segunda es que cada vez que tengas invitados, tendrás que conseguir su dirección mac y ponerlos en la lista de dispositivos autorizados para conectarlos al WiFi. Apostamos a que no te divertirás más de dos minutos.

Instala una VPN en tu router doméstico

Hemos visto en otros archivos sobre el tema algunos consejos para configurar una VPN en su router. Creemos que este consejo es una distorsión de otro, que en realidad es sabio: usar una VPN cuando se conecta a redes WiFi públicas. La idea es encriptar el tráfico entre tu máquina y el resto de la red, dificultando los ataques de tipo man-in-the-middle.

Sin embargo, estás hablando de una red privada, un lugar donde el riesgo que supone este tipo de ataque es muy bajo (sobre todo si sigues los consejos anteriores). Además, aparte de ayudarte a conectarte a Netflix US en todos tus dispositivos en casa, configurar una red VPN en tu router (en lugar de tus dispositivos) no añadirá absolutamente nada de seguridad a tu red WiFi.

Finalmente haber probado la cosa en varios modelos de routers (en particular Netgear con firmware Voxel o DD-WRT…), que tiende a hacer la conexión inestable con cortes, bastante frecuentes, pudiendo durar varios minutos cada vez. Puede que entonces seas una de las personas más odiadas de tu casa, identificada como «la que siempre estropea la conexión a Internet con sus trucos» y eso, francamente, créeme, no mola (¡yo sé algo de eso!).

¿Conoces algún otro consejo para hacer más segura tu red WiFi? Comparta su opinión en los comentarios.