Tu Wi-Fi doméstico está conectado, pero ¿es realmente seguro?

Tu Wi-Fi doméstico está conectado. Configuraste una contraseña hace años. Eso debe significar que es seguro, ¿verdad? En realidad, un router con su configuración de fábrica es un objetivo prioritario para los atacantes.

En 2023, el NICT (Instituto Nacional de Tecnologías de la Información y las Comunicaciones de Japón) observó que aproximadamente el 30% de todo el tráfico de ciberataques se dirigía a dispositivos IoT y routers. Los atacantes escanean sistemáticamente direcciones IP en toda la internet, descubriendo automáticamente routers vulnerables. La IP global que se muestra en IP確認さん es la dirección externa de tu propio router.

Los riesgos del Wi-Fi público se discuten ampliamente, pero sorprendentemente pocas personas revisan sistemáticamente la seguridad de su Wi-Fi doméstico. Este artículo cubre los puntos de verificación clave y los pasos concretos para fortalecer tu red doméstica.

Estándares de cifrado - Comparación entre WEP, WPA, WPA2 y WPA3

El cifrado Wi-Fi es la defensa más fundamental contra las escuchas. Aquí tienes una comparación de los principales estándares de cifrado en uso actualmente.

Estándar Cifrado Seguridad Notas
WEP RC4 Roto Se puede descifrar en minutos. Obsoleto desde 2004
WPA (TKIP) RC4 + TKIP Obsoleto Un parche provisional para WEP. Existen vulnerabilidades conocidas
WPA2 (AES) AES-CCMP Estándar Ratificado en 2004. Todavía ampliamente desplegado
WPA3 AES-GCMP / SAE Óptimo Ratificado en 2018. El handshake SAE resiste ataques de diccionario

Cómo comprobar tu cifrado actual

En Windows, haz clic derecho en el icono de Wi-Fi en la barra de tareas y selecciona "Propiedades" para ver el campo "Tipo de seguridad". En macOS, mantén pulsada la tecla Option y haz clic en el icono de Wi-Fi para revelar el campo "Seguridad" que muestra tu estándar de cifrado.

Si ves WEP o WPA (TKIP), cambia a WPA2 (AES) o superior inmediatamente. Si tu router soporta WPA3, migrar a WPA3 es lo ideal. Para dispositivos antiguos que no pueden conectarse a WPA3, usa el Modo de Transición WPA2/WPA3 para mantener la compatibilidad.

Seguridad del panel de administración del router

El panel de administración de tu router es el centro de control de la seguridad de tu Wi-Fi. Si un atacante obtiene acceso, puede cambiar la configuración de cifrado, manipular la configuración DNS o instalar firmware malicioso.

Acceder al panel de administración

Escribe 192.168.1.1 o 192.168.0.1 en la barra de direcciones de tu navegador (el valor predeterminado varía según el fabricante). Netgear normalmente usa 192.168.1.1, TP-Link usa 192.168.0.1 y ASUS usa 192.168.1.1 o router.asus.com. La dirección exacta suele estar impresa en una etiqueta en la parte inferior o lateral de tu router.

Configuraciones que debes cambiar

  • Contraseña de administrador: las credenciales predeterminadas (admin/password, admin/admin) están catalogadas en bases de datos de atacantes. Cámbiala por una contraseña de al menos 12 caracteres con una mezcla de letras, números y símbolos
  • Desactiva la gestión remota: desactiva el acceso al panel de administración desde el lado WAN (internet). Cuando está habilitado, cualquier persona en internet puede intentar iniciar sesión
  • Desactiva UPnP: UPnP (Universal Plug and Play) permite que los dispositivos de tu LAN abran puertos automáticamente en el router. El malware puede explotar esto para abrir agujeros en tu firewall. Desactívalo a menos que tengas una necesidad específica

Actualizaciones de firmware - El paso crítico más olvidado

El firmware del router es esencialmente el sistema operativo que se ejecuta dentro de tu router. Cuando se descubren vulnerabilidades, los fabricantes publican parches, pero los routers sin capacidad de actualización automática requieren intervención manual.

Una vulnerabilidad de 2023 en la serie TP-Link Archer (CVE-2023-1389) permitió que los routers sin parchear fueran reclutados en la botnet Mirai. La solución estaba disponible en una actualización de firmware, pero los usuarios que no la habían aplicado se convirtieron en víctimas.

Procedimiento básico de actualización

  1. Inicia sesión en el panel de administración de tu router
  2. Navega a "Actualización de firmware", "Actualización del sistema" o un menú similar
  3. Si tu router soporta actualizaciones en línea, un solo clic inicia el proceso
  4. Para actualizaciones manuales, descarga el firmware más reciente del sitio web oficial del fabricante y súbelo a través del panel de administración

Nunca apagues el router durante una actualización de firmware. Interrumpir el proceso de escritura puede inutilizar permanentemente el dispositivo, dejándolo sin posibilidad de arranque.

Elegir un router con soporte de actualización automática (disponible en modelos recientes de ASUS, Netgear y otros) reduce drásticamente el riesgo de ejecutar firmware desactualizado.

Configuración del SSID y redes de invitados

Nombrar tu SSID

Tu SSID (nombre de red) es visible para todos dentro del alcance de tu señal Wi-Fi. Nunca incluyas información personal identificable como tu nombre, número de apartamento o dirección. Un SSID como "García-Casa" o "Apto-301" da a los atacantes una pista sobre tu ubicación física.

Ocultar tu SSID (modo sigiloso) es ineficaz como medida de seguridad. Los SSIDs ocultos aún pueden detectarse mediante solicitudes de sondeo enviadas por los dispositivos conectados. Peor aún, algunos dispositivos experimentan problemas de conectividad con redes ocultas.

Uso de redes de invitados

Evita compartir la contraseña de tu Wi-Fi principal con visitantes. La funcionalidad de red de invitados proporciona una red Wi-Fi separada y aislada para los invitados.

  • Los usuarios de la red de invitados no pueden acceder a dispositivos de tu red principal como unidades NAS o impresoras
  • Puedes rotar la contraseña de invitados sin afectar las credenciales de tu red principal
  • Aislar los dispositivos IoT (altavoces inteligentes, cámaras de seguridad) en la red de invitados limita el radio de impacto si un dispositivo IoT es comprometido. Para una mirada más profunda a los riesgos de privacidad que introducen estos dispositivos, consulta nuestra guía sobre privacidad del hogar inteligente

Combinado con una configuración adecuada de canales Wi-Fi, separar tu red de invitados en un canal diferente reduce las interferencias mientras fortalece la seguridad.

Resumen - Lista de verificación de seguridad Wi-Fi doméstica

La seguridad del Wi-Fi doméstico no es una configuración de una sola vez. Requiere revisión periódica. Usa la siguiente lista de verificación para auditar tu configuración actual.

  • El cifrado está configurado en WPA2 (AES) o superior
  • La contraseña de administrador del router ha sido cambiada del valor de fábrica
  • La gestión remota (acceso desde el lado WAN) está desactivada
  • El firmware está actualizado a la última versión
  • El SSID no contiene información personal
  • Hay una red de invitados configurada para visitantes
  • UPnP está desactivado (a menos que sea específicamente necesario)

Usar una VPN para cifrar tu tráfico también es efectivo, pero una VPN solo protege la ruta de comunicación; no puede parchear vulnerabilidades en el propio router. Incluso quienes comprenden los riesgos del Wi-Fi gratuito a menudo pasan por alto la configuración de su propio router doméstico.

Para una comprensión más profunda de la seguridad Wi-Fi, los libros sobre routers Wi-Fi son un recurso valioso.

Términos del glosario relacionados

Wi-Fi El protocolo estándar de red inalámbrica. Elegir el estándar de cifrado adecuado es la base de la seguridad Wi-Fi. Cifrado WPA2 usa AES-CCMP y WPA3 usa AES-GCMP para proteger las comunicaciones inalámbricas contra escuchas. Router La puerta de enlace de tu red doméstica. La configuración del panel de administración es la clave de la seguridad de la red.