[Esta historia se publicó originalmente en julio de 2014 y desde entonces se ha actualizado con nueva información].

La mayoría de los enrutadores de puerta de enlace utilizados por los clientes domésticos son profundamente inseguros. Algunos enrutadores son tan vulnerables a los ataques que deberían descartarse, dijo un experto en seguridad en la conferencia de hackers HOPE X en Nueva York.

  • Los mejores enrutadores Wi-Fi para su hogar u oficina pequeña
  • los mejor antivirus software para mantener su PC limpia
  • Módem vs. enrutador: en qué se diferencian y qué hacen

"Si un enrutador se vende en [una conocida cadena minorista de productos electrónicos], no querrá comprarlo", dijo el consultor informático independiente Michael Horowitz en una presentación.

"Si su proveedor de servicios de Internet [ISP] le proporciona el enrutador, tampoco desea usarlo, porque regalan millones de ellos, y eso los convierte en un objetivo principal tanto para las agencias de espionaje como para los chicos ".

Horowitz recomendó que los consumidores preocupados por la seguridad se actualicen a enrutadores comerciales destinados a pequeñas empresas, o al menos separen sus módems y enrutadores en dos dispositivos separados. (Muchas unidades de "puerta de enlace", a menudo suministradas por ISP, actúan como ambas). Al fallar cualquiera de esas opciones, Horowitz dio una lista de precauciones que los usuarios podían tomar.

  • UNA enrutador VPN es la mejor manera de proteger su Wi-Fi en casa

Problemas con los enrutadores de consumo

Los enrutadores son los caballos de batalla esenciales pero poco conocidos de las redes informáticas modernas, pero pocos usuarios domésticos darse cuenta de que, de hecho, son computadoras en toda regla, con sus propios sistemas operativos, software y vulnerabilidades.

"Un enrutador comprometido puede espiarte", dijo Horowitz, explicando que un enrutador bajo el control de un atacante puede ataque man-in-the-middle, alterar los datos no cifrados o enviar al usuario a sitios web "gemelos malvados" que se hacen pasar por portales de correo web o de banca en línea de uso frecuente.

Muchos dispositivos de puerta de enlace domésticos de nivel de consumidor no notifican a los usuarios si hay actualizaciones de firmware disponibles y cuándo están disponibles, a pesar de que esas actualizaciones son esenciales para reparar los agujeros de seguridad, señaló Horowitz. Algunos otros dispositivos no aceptarán contraseñas de más de 16 caracteres.

Millones de enrutadores en todo el mundo tienen habilitado el protocolo de red Universal Plug and Play (UPnP) en los puertos conectados a Internet, lo que los expone a ataques externos.

"UPnP fue diseñado para LAN [redes de área local] y, como tal, no tiene seguridad. En sí mismo, no es tan importante ", dijo Horowitz. Pero, agregó, "UPnP en Internet es como ir a una cirugía y hacer que el médico trabaje en la pierna equivocada".

Otro problema es el Protocolo de administración de red doméstica (HNAP), una herramienta de administración que se encuentra en algunos enrutadores más antiguos para consumidores que transmite información confidencial sobre el enrutador a través de la Web en http://[router Dirección IP] / HNAP1 /, y otorga control total a los usuarios remotos que proporcionan nombres de usuario administrativos y contraseñas (que muchos usuarios nunca cambian de los valores predeterminados de fábrica).

En 2014, un gusano enrutador llamado TheMoon utilizó el protocolo HNAP para identificar enrutadores vulnerables de la marca Linksys a los que podría propagarse. (Linksys emitió rápidamente un parche de firmware.)

"Tan pronto como llegas a casa, esto es algo que quieres hacer con todos tus enrutadores", dijo Horowitz a la multitud de expertos en tecnología. "Vaya a / HNAP1 / y, con suerte, no obtendrá respuesta, si eso es lo único bueno. Francamente, si recibes alguna respuesta, descartaría el enrutador ".

La amenaza WPS

Lo peor de todo es la configuración protegida de Wi-Fi (WPS), una función fácil de usar que permite a los usuarios evitar la red. contraseña y conecte dispositivos a una red Wi-Fi simplemente ingresando un PIN de ocho dígitos que está impreso en el enrutador. Incluso si se cambia la contraseña o el nombre de la red, el PIN sigue siendo válido.

"Este es un enorme problema de seguridad eliminado por improperios", dijo Horowitz. "Ese número de ocho dígitos le permitirá acceder al [enrutador] pase lo que pase. Entonces, un plomero se acerca a su casa, le da la vuelta al enrutador, toma una foto de la parte inferior y ahora puede conectarse a su red para siempre ".

Ese PIN de ocho dígitos ni siquiera es realmente de ocho dígitos, explicó Horowitz. En realidad, son siete dígitos, más un dígito de suma de verificación final. Los primeros cuatro dígitos se validan como una secuencia y los últimos tres como otra, lo que da como resultado solo 11.000 códigos posibles en lugar de 10 millones.

"Si WPS está activo, puede ingresar al enrutador", dijo Horowitz. "Solo necesita hacer 11.000 suposiciones", una tarea trivial para la mayoría de las computadoras y teléfonos inteligentes modernos.

Luego, está el puerto de red 32764, que el investigador de seguridad francés Eloi Vanderbeken descubrió en 2013 que se había dejado silenciosamente abierto en los enrutadores de puerta de enlace vendidos por varias marcas importantes. Usando el puerto 32764, cualquier persona en una red local, que incluye el ISP de un usuario, podría tomar el control administrativo total de un enrutador e incluso realizar un restablecimiento de fábrica, sin una contraseña.

El puerto se cerró en la mayoría de los dispositivos afectados tras las revelaciones de Vanderbeken, pero luego descubrió que podría reabrirse fácilmente con un paquete de datos especialmente diseñado que podría enviarse desde un ISP.

"Esto, obviamente, lo hace una agencia de espionaje, es asombroso", dijo Horowitz. "Fue deliberado, sin duda alguna".

  • Lee mas: los mejor VPN de Dubai puede eludir las draconianas leyes de Internet de los EAU

Cómo bloquear el enrutador de su hogar

El primer paso hacia la seguridad del enrutador doméstico, dijo Horowitz, es asegurarse de que el enrutador y el cable módem no sean un solo dispositivo. Muchos ISP alquilan estos dispositivos a los clientes, pero tendrán poco control sobre sus propias redes. (Si necesita obtener su propio módem, consulte nuestras recomendaciones para mejor cable módem.)

"Si le dieran una sola caja, que la mayoría de la gente creo que llama puerta de enlace", dijo, "debería poder contactar al ISP y hacer que simplifiquen la caja para que actúe como un módem. Luego, puede agregarle su propio enrutador ".

A continuación, Horowitz recomendó que los clientes compren un enrutador Wi-Fi / Ethernet comercial de gama baja, como el Pepwave Surf SOHO, que se vende por alrededor de $ 200 (aunque tenga cuidado con los aumentos de precios), en lugar de un enrutador amigable para el consumidor que puede costar tan solo $ 20.

Es poco probable que los enrutadores comerciales tengan UPnP o WPS habilitados. El Pepwave, señaló Horowitz, ofrece características adicionales, como reversiones de firmware en caso de que una actualización de firmware salga mal.

Independientemente de si un enrutador es de grado comercial o de consumo, hay varias cosas, que varían de fácil a difícil, que los administradores de redes domésticas pueden hacer para asegurarse de que sus enrutadores sean más seguro:

Arreglos fáciles

Cambiar las credenciales administrativas del nombre de usuario y la contraseña predeterminados. Son las primeras cosas que intentará un atacante. El manual de instrucciones de su enrutador debería mostrarle cómo hacer esto. Si no es así, entonces búscalo en Google.

Haga que la contraseña sea larga, segura y única, y no la convierta en nada parecido a la contraseña normal para acceder a la red Wi-Fi.

Cambiar el nombre de la red o SSID, desde "Netgear", "Linksys" o lo que sea el predeterminado, hasta algo único, pero no le dé un nombre que lo identifique.

"Si vive en un edificio de apartamentos en un apartamento 3G, no llame a su SSID 'Apartamento 3G'", bromeó Horowitz. "Llámalo 'Apartamento 5F'".

Activar las actualizaciones automáticas de firmware si están disponibles. Los enrutadores más nuevos, incluida la mayoría de los enrutadores de malla, actualizarán automáticamente el firmware del enrutador.

Habilitar WPA2 inalámbrico cifrado para que solo los usuarios autorizados puedan conectarse a su red. Si su enrutador solo es compatible con el antiguo estándar WEP, es hora de instalar un enrutador nuevo.

Habilite el nuevo estándar de cifrado WPA3 si el enrutador lo admite. Sin embargo, a mediados de 2020, pocos enrutadores y dispositivos cliente (PC, dispositivos móviles, dispositivos domésticos inteligentes) lo hacen.

Desactivar la configuración protegida de Wi-Fi, si su enrutador le permite.

Configurar una red Wi-Fi para invitados y ofrecer su uso a los visitantes, si su enrutador tiene dicha característica. Si es posible, configure la red de invitados para que se apague automáticamente después de un período de tiempo establecido.

"Puede encender su red de invitados y configurar un temporizador, y tres horas después, se apaga solo", dijo Horowitz. "Esa es una característica de seguridad realmente agradable".

Si tiene muchos hogares inteligentes o Dispositivos de Internet de las cosas, es probable que muchos de ellos no sean terriblemente seguros. Conéctelos a su red Wi-Fi para invitados en lugar de a su red principal para minimizar el daño resultante de cualquier posible compromiso de un dispositivo IoT.

No utilice la gestión de enrutadores basada en la nube si el fabricante de su enrutador lo ofrece. En su lugar, averigüe si puede desactivar esa función.

"Es una muy mala idea", dijo Horowitz. "Si su enrutador ofrece eso, no lo haría, porque ahora está confiando en otra persona entre usted y su enrutador".

Muchos sistemas de "enrutadores de malla", como Google Wifi y Eero, dependen completamente de la nube y pueden interactuar con el usuario solo a través de aplicaciones para teléfonos inteligentes basadas en la nube.

Si bien esos modelos ofrecen mejoras de seguridad en otras áreas, como con actualizaciones automáticas de firmware, Podría valer la pena buscar un enrutador de estilo malla que permita el acceso administrativo local, como el Netgear Orbi.

Moderadamente difícil

Instalar nuevo firmware cuando esté disponible, así es como los fabricantes de enrutadores instalan los parches de seguridad. Inicie sesión en la interfaz administrativa de su enrutador de forma rutinaria para verificar.

Con algunas marcas, es posible que deba consultar el sitio web del fabricante para obtener actualizaciones de firmware. Pero tenga a mano un enrutador de respaldo si algo sale mal. Algunos enrutadores también le permiten hacer una copia de seguridad del firmware actual antes de instalar una actualización.

Configure su enrutador para usar la banda de 5 GHz para Wi-Fi en lugar de la banda más estándar de 2,4 GHz, si es posible, y si todos sus dispositivos son compatibles.

"La banda de 5 GHz no viaja tan lejos como la banda de 2,4 GHz", dijo Horowitz. "Entonces, si hay algún tipo malo en su vecindario a una o dos cuadras de distancia, es posible que vea su red de 2.4 GHz, pero es posible que no vea su red de 5 GHz".

Deshabilitar el acceso administrativo remotoy deshabilitar el acceso administrativo a través de Wi-Fi. Los administradores deben conectarse a los enrutadores a través de Ethernet por cable únicamente. (Nuevamente, esto no será posible con muchos enrutadores de malla).

Consejos avanzados para usuarios más expertos en tecnología

Cambiar la configuración de la interfaz web administrativa, si su enrutador lo permite. Idealmente, la interfaz debería imponer una conexión HTTPS segura a través de un puerto no estándar, de modo que la URL para el acceso administrativo sea algo así como, para usar el ejemplo de Horowitz, " https://192.168.1.1:82" en lugar del más estándar " http://192.168.1.1", que de forma predeterminada utiliza el puerto 80 estándar de Internet.
Usar el modo privado o incógnito del navegador al acceder a la interfaz administrativa para que su nueva URL no se guarde en el historial del navegador.

Deshabilite PING, Telnet, SSH, UPnP y HNAP, si es posible. Todos estos son protocolos de acceso remoto. En lugar de configurar sus puertos relevantes en "cerrados", configúrelos en "sigilo" para que no se dé respuesta a comunicaciones externas no solicitadas que puedan provenir de atacantes que exploran su red.

"Cada enrutador tiene la opción de no responder a los comandos PING", dijo Horowitz. "Es absolutamente algo que desea activar, una gran característica de seguridad. Te ayuda a esconderte. Por supuesto, no te esconderás de tu ISP, pero te esconderás de algún tipo en Rusia o China ".

Cambiar el sistema de nombres de dominio (DNS) del enrutador servidor del propio servidor del ISP a uno mantenido por OpenDNS (208.67.220.220, 208.67.222.222), DNS público de Google (8.8.8.8, 8.8.4.4) o Cloudflare (1.1.1.1, 1.0.0.1).

Si está utilizando IPv6, las direcciones OpenDNS correspondientes son 2620: 0: ccc:: 2 y 2620: 0: ccd:: 2, las de Google son 2001: 4860: 4860:: 8888 y 2001: 4860: 4860:: 8844, y los de Cloudflare son 2606: 4700: 4700:: 1111 y 2606:4700:4700::1001.

Utilizar un red privada virtual (VPN) enrutador para complementar o reemplazar su enrutador existente y cifrar todo el tráfico de su red.

"Cuando digo enrutador VPN, me refiero a un enrutador que puede ser un cliente VPN", dijo Horowitz. "Luego, te registras con alguna empresa de VPN y todo lo que envías a través de ese enrutador pasa por su red. Esta es una excelente manera de ocultar lo que está haciendo a su proveedor de servicios de Internet ".

Muchos enrutadores Wi-Fi domésticos se pueden "flashear" para ejecutar firmware de código abierto, como el Firmware DD-WRT, que a su vez admite el protocolo OpenVPN de forma nativa. La mayoría de mejor VPN Los servicios también admiten OpenVPN y proporcionan instrucciones sobre cómo configurar los enrutadores de código abierto para usarlos.

Finalmente, utilizar Shields Up de Gibson Research Corp. servicio de escaneo de puertos en https://www.grc.com/shieldsup. Probará su enrutador en busca de cientos de vulnerabilidades comunes, la mayoría de las cuales pueden ser mitigadas por el administrador del enrutador.

  • ¿Vale la pena correr el riesgo de las VPN gratuitas? Los expertos dicen que no
  • ¿Qué es un enrutador en malla? ¿Necesita uno?
  • Los mejores extensores de Wi-Fi