El router es la puerta de entrada a todos los servicios de Internet y, como tal, hay que tener mucho cuidado con qué servicios se permiten. Hay determinados cambios que pueden hacerse para mejorar la seguridad, y aquí detallaremos algunos de los más importantes.
Dependiendo de la operadora con la que hayas contratado tus servicios de Internet, puede variar el método, aunque casi siempre puedes acceder a la configuración introduciendo la dirección 192.168.1.1 en la barra del navegador e iniciando sesión con las credenciales establecidas por defecto. El router también puede incluir la contraseña de login en la parte inferior del aparato.
Qué desactivar y por qué
UPnP (Universal Plug and Play): es un protocolo que permite que los dispositivos en tu red abran puertos automáticamente sin intervención del usuario. Esto puede ser aprovechado por malware para abrir puertos y comunicarse con una red externa sin tu conocimiento ni consentimiento. Esta función ofrece comodidad, ya que hay dispositivos que requieran abrir puertos para su funcionamiento y desactivando la función tendrás que abrirlos manualmente desde la configuración de tu router, pero es, desde luego, un protocolo que se ha utilizado durante años en muchos casos para introducirse en la red de víctimas.
WPS (Wi-Fi Protected Setup): es quizás el protocolo más conocido en Internet cuando hablamos de desactivar funciones del router. Y es que WPS facilita la conexión de dispositivos a la red Wi-Fi mediante un botón o un PIN en el propio router. Sin embargo, es vulnerable a ataques de fuerza bruta, lo que podría permitir a un atacante acceder a tu red. De hecho, no es complicado entrar a conexiones WiFi en determinados casos si éstas tienen el WPS habilitado.
Administración remota del router: dependiendo del modelo del router y compañía, la función aparecerá de manera distinta. Esta característica permite acceder a la configuración del router desde fuera de la red local, útil si quieres configurar tu router cuando no estás en casa. No obstante, si está activada, un atacante podría intentar acceder al router desde fuera de tu red, especialmente si la contraseña no es fuerte.
Ping WAN (WAN Ping Respond): es una medida minoritaria, pero que también puede ayudar a proteger a tu red. Básicamente, permitir que el router responda a pings desde la WAN (Internet) puede revelar la existencia de tu dispositivo a atacantes que realizan escaneos de red, por lo que desactivar esta opción puede aumentar la seguridad de tu red. Por otro lado, desactivar esta función puede dificultar la resolución de problemas si estás intentando diagnosticar problemas de conectividad desde fuera de tu red. No obstante, es una necesidad que no es muy común para usuarios domésticos.
DMZ (Demilitarized Zone): si juegas a videojuegos online quizás hayas oído hablar alguna vez de esta función, sobre todo en tiempos de PlayStation 3 y Xbox 360. Básicamente, la DMZ permite colocar un dispositivo fuera del firewall del router, exponiéndolo a la red externa. Esto solo debe usarse si es absolutamente necesario y con un dispositivo específico que esté bien asegurado. Si desactivamos DMZ, mejoraremos la seguridad de nuestra conexión en caso de que no necesitemos este protocolo para algún dispositivo específico.
Ocultar tu SSID: Si bien desactivar la difusión del SSID no es una medida de seguridad altamente efectiva, puede dificultar a los atacantes la identificación de tu red. Sin embargo, esto no impide que puedan encontrarla mediante otras técnicas. Además, ten en cuenta que, si ocultas tu SSID, tendrás que introducirlo manualmente junto a la contraseña del router en cada dispositivo que quieras conectar a tu red.
El filtrado MAC: Aunque se considera una medida de seguridad, el filtrado MAC puede dar una falsa sensación de seguridad, ya que las direcciones MAC pueden ser falsificadas fácilmente por técnicas sofisticadas. Si no gestionas correctamente esta función, puede acabar dando más incomodidades que soluciones, pues solamente permitirás la entrada a tu conexión de aquellos dispositivos que agregues a la lista con su propia dirección MAC. (DIB con información de Genbeta)