Todo el mundo usa WiFi. Es un hecho de la vida moderna, pero viene con algunos riesgos y preocupaciones de seguridad graves. El WiFi doméstico puede ser la parte más insegura de su conexión a Internet. Potencialmente lo expone a ataques desde Internet, así como desde la puerta de al lado.
Si bien ninguna medida de seguridad es perfecta, existen algunos pasos simples que puede seguir para mejorar la seguridad de la red WiFi de su hogar y dificultar el acceso de los atacantes.
Cambiar el nombre (SSID)
Éste es muy simple. Cambia el nombre de tu red. Los atacantes conocen los nombres predeterminados que usan los fabricantes de enrutadores y los ISP. Si pueden averiguar qué tipo de enrutador está utilizando con solo mirar el nombre de su red, pueden adaptar su ataque a su enrutador exacto mucho más fácilmente. Les ahorra tiempo y esfuerzo.
Además, este tipo de información abre la puerta a exploits más sofisticados que atacan el firmware específico de su enrutador. Un atacante puede explotar ese firmware directamente y potencialmente obtener aún más acceso de manera más discreta que si solo fuera para averiguar su contraseña.
Cambiar el nombre de usuario y la frase de contraseña del administrador
La lógica aquí sigue la misma línea que la sección anterior. Debe cambiar el nombre de usuario y la contraseña de su usuario administrador de red.
Los atacantes conocen los valores predeterminados y los probarán primero. No piense que es inteligente simplemente cambiando la contraseña o cambiándola para que tenga un carácter diferente. Los atacantes tienen una herramienta que puede probar miles de posibles combinaciones de contraseña y nombre de usuario muy rápidamente.
Cambie el nombre de usuario del administrador a algo algo difícil de adivinar. La contraseña debe ser una frase de contraseña. Eso significa que debe ser una frase corta que contenga al menos una palabra oscura más. También debe hacer uso de mayúsculas, números y un par de caracteres especiales.
Usar cifrado fuerte
Si no está utilizando el cifrado en su red inalámbrica, lo está haciendo mal, a lo grande. En realidad, si tu son usando el cifrado, es posible que aún lo estés haciendo mal. No todo el cifrado se crea igual. Asegúrate de haber elegido la configuración correcta.
Elija «WPA2 Personal» para su red. Si puede configurar la versión empresarial y sabe cómo, es un poco mejor, pero realmente no es fácil a menos que ya tenga algo de experiencia con ella.
Para el algoritmo de cifrado en sí, elija AES. No haga incluye TKIP. AES proporciona un cifrado mucho más fuerte y es mucho más difícil de explotar. TKIP solo se incluye como una opción de compatibilidad con versiones anteriores, y ahora, si realmente necesita TKIP, actualice sus dispositivos.
Elija una mejor frase de contraseña
La frase de contraseña que usa para iniciar sesión en su red también debe ser segura y debe ser diferente a la de su cuenta de administrador. Elige algo de varias palabras. Incluya al menos una palabra de uso menos frecuente y algunos números y caracteres especiales. Su frase de contraseña debe tener al menos quince caracteres.
Rota tu frase de contraseña WiFi
Incluso si su frase de contraseña WiFi es increíblemente fuerte, debe cambiarla. Al igual que con cualquier frase de contraseña, es una buena idea alternar nuevas de vez en cuando. Eso no significa que deba cambiar su frase de contraseña cada dos días, pero cada dos meses es una buena idea.
Deshabilite su red de invitados
Las redes de invitados pueden ser un arma de doble filo. Claro, sus invitados no se registran ni obtienen acceso a toda su red, y no usan su frase de contraseña. Sin embargo, si su red de invitados no tiene una contraseña, todavía se está abriendo a cualquiera quien quiere conectarse. Esencialmente, le estás dando a los atacantes un pie en la puerta.
La única excepción aquí es si puede crear una frase de contraseña de invitado separada para su red de invitados. Si su red de invitados tiene el mismo nivel de seguridad que su red principal, está bien. De lo contrario, desactívelo y, si no confía en sus amigos, cambie la frase de contraseña cuando se vayan.
Habilitar un cortafuegos
No todos los enrutadores tienen un firewall incorporado, pero si el suyo lo tiene, actívelo. Un firewall puede servir como su primera línea de defensa. Están diseñados específicamente para administrar y filtrar el tráfico que ingresa y sale de su red y pueden bloquear los intentos de obtener acceso a través de puertos no utilizados.
Incluso si tiene firewalls habilitados en sus dispositivos, es una buena idea agregar una segunda capa de seguridad. ¿Realmente quiere arriesgarse a que un intruso ingrese a su red solo para intentar detenerlo después? Es mucho más fácil para un intruso lanzar un ataque desde el interior de su red que desde el exterior. Además, pueden monitorear su tráfico.
Usa una VPN
No evitará que sus vecinos ingresen a su red con una VPN, pero de esa manera puede ayudar a detener los ataques desde fuera de su área inmediata.
Cuando utilice una VPN, conéctese primero al servidor VPN y luego a Internet exterior. Todo su tráfico parece provenir de la VPN. Eso incluye cualquier información sobre su red local porque las VPN crean redes locales virtuales. Mientras está conectado a ellos, su computadora está tanto en su red local física como en la virtual. Internet solo puede ver el virtual.
Las VPN tienen el beneficio adicional de anonimizar parcialmente su tráfico. No, una VPN por sí sola no lo hará completamente anónimo en línea, pero ciertamente ayuda.
Deshabilitar WPS
WPS significa Configuración Protegida Wifi. Es un sistema para conectarse a una red WiFi encriptada sin ingresar una frase de contraseña. Hay algunas implementaciones diferentes, pero todas hacen relativamente lo mismo.
Si bien WPS puede sonar bien en papel, no es tan bueno en la práctica. WPS tiene exploits y agujeros de seguridad conocidos. Lo que es peor, está habilitado de forma predeterminada en la mayoría de los enrutadores. Si puede realizar un seguimiento de nuestra frase de contraseña, no hay necesidad de WPS. Desactívelo y cierre esos agujeros de seguridad.
Administre el firmware de su enrutador
Al igual que su computadora, su enrutador tiene un sistema operativo. A diferencia de su computadora, las actualizaciones de seguridad no se envían automáticamente. Necesitas actualizarlo manualmente.
Algunos enrutadores pueden descargar sus actualizaciones de firmware de Internet. Para otros, debe descargarlos y cargarlos en el enrutador manualmente desde su computadora. De cualquier manera, debes estar al tanto.
Al igual que con las computadoras, las actualizaciones a menudo incluyen correcciones de seguridad importantes. Si deja su enrutador sin esos arreglos, es posible que esté permitiendo que su enrutador y su red permanezcan abiertos a vulnerabilidades probadas.
No tienes que hacer esto muy a menudo. Simplemente verifique las actualizaciones cada mes y podrá mantenerse a la vanguardia.
Si tiene más conocimientos técnicos, es posible que desee considerar el uso de firmware de enrutador de código abierto personalizado. Hay algunos firmwares del mercado de accesorios realmente geniales que puede cargar en su enrutador, y tienden a ver actualizaciones más rápidas y muchas más funciones. Si nunca has hecho este tipo de cosas antes, ten cuidado. Puedes destruir tu enrutador.
Deshabilitar la administración remota/servicios innecesarios
Muchos enrutadores tienen servicios de administración remota. En algunos enrutadores, esos servicios están habilitados de manera predeterminada. No se equivoque aquí. Esta no es la interfaz web que usa para administrar su enrutador desde dentro de Tu red. Los servicios remotos te permiten gestionarlo externamente. Eso significa que un atacante de Internet abierto puede obtener acceso a la interfaz de administración de su enrutador.
No hay muchas razones prácticas por las que le gustaría poder administrar su enrutador desde fuera de su red, por lo que no se perderá mucho al deshabilitar este servicio potencialmente peligroso.
Hay otros servicios que vienen con los enrutadores que no son estrictamente necesarios. Por ejemplo, algunos enrutadores vienen con SSH o el Telnet menos seguro habilitado de manera predeterminada. No hay razón para ninguno de los dos, especialmente porque puede usar la interfaz web de su enrutador.
Algunos enrutadores incluso tienen FTP y Samba habilitados de forma predeterminada para compartir archivos. Ambos tienen más que ganado su notoriedad por ser fáciles de explotar. Si los tiene, apáguelos.
Pensamientos finales
Si presta atención a los temas de seguridad o ha leído un artículo como este en el pasado, es posible que se pregunte por qué algunas cosas no están cubiertas. Hay una muy buena razón.
Se omitieron las direcciones IP estáticas, el filtrado MAC y la ocultación de su SSID porque se ha demostrado que no funcionan. Claro, es posible que pueda desalentar algunas intromisiones menores, pero con las herramientas adecuadas, ninguna de estas tácticas es efectiva. Es mejor que invierta su tiempo y esfuerzo donde cuenta, como el cifrado y frases de contraseña seguras.
Su red doméstica es la barrera entre el contenido de sus computadoras y el resto del mundo. Sea inteligente y haga todo lo posible para asegurarse de que su enrutador lo esté protegiendo.