Las redes WiFi se han labrado un hueco importante en nuestros hogares y empresas. Llevan con nosotros pocos años, pero en ese tiempo se han vuelto casi imprescindibles en múltiples actividades cotidianas que van más allá de la conectividad con Internet, ya que además nos permiten manejar todo tipo de gadgets y dispositivos a distancia.
A pesar de su creciente importancia, muchos usuarios apenas prestan atención a la configuración de su red inalámbrica. Simplemente enchufan el router de la operadora y ya está, a empezar a navegar. En general no debería haber mayor problema, pero si no tomamos unas ciertas precauciones, puede que algún intruso entre en nuestra red y nos ocasione más de un quebradero de cabeza.
Normalmente no se tratará de espías o hackers malvados como los que aparecen en las películas que tratan por todos los medios de aprovecharse de nuestra WiFi para cometer delitos, aunque haberlos haylos. Lo habitual es que sea algún vecino el que intenta colarse en nuestra red para ahorrase la conexión, haciéndonos de paso responsables en primera instancia de las páginas que visite.
¿Cómo evitar estas intrusiones no deseadas en nuestra WiFi? Pues aunque la seguridad total no existe (para eso tendríamos que apagar la red, claro), podemos seguir una serie de consejos y trucos, tanto sencillos como algo más complejos, que pasamos a explicar a continuación.
Blinda el acceso a tu router
En primer lugar, tenemos que asegurarnos de que nadie ajeno a nosotros va a poder acceder al router para controlar nuestra WiFi. De lo contrario, todo lo que hagamos no servirá de nada, ya que podrán entrar y revertirlo o incluso denegarnos el acceso a nuestra propia red.
Por ello, el primer paso consiste en actualizar el firmware del router a la última versión disponible para corregir posibles vulnerabilidades que se hayan detectado, proceso que dependerá de cada marca y modelo concreto, y después comenzaremos por cambiar la contraseña de acceso por defecto que normalmente viene dada por el fabricante o por la operadora.
No dejes que la puerta a tu centro de conexiones del hogar se abra con el clásico 1234/1234 o admin/admin. Busca un nombre de usuario y una clave personalizada que recuerdes bien o que puedas dejar apuntados en algún lugar que conozcas por si los olvidas.
También puede ser útil cambiar la dirección IP por defecto del router. Normalmente suele ser 192.168.1.1, primeras cifras que todo usuario ávido de piratear tu WiFi tecleará en su navegador. Simplemente cambiando la última cifra podrás lograr retrasar o echar para atrás a los hackers menos experimentados o a ese vecino gorrón que quiere aprovecharse de tu conexión.
Cambia el nombre de la SSID
La SSID (Service Set Identifier) o identificador de la red inalámbrica sirve precisamente para eso, para identificarla entre otras muchas. Lo habitual es que por defecto venga dado por la operadora que nos proporciona el router, mostrando a veces más información de la que debería sobre el tipo de router que tenemos y sus posibles vulnerabilidades.
Lo ideal es que usemos un nombre sencillo de recordar o al que le encontremos alguna relación personal pero que no haga referencia a nosotros directamente ni a nuestra vivienda. Podemos ser todo lo creativos que queramos, incluso ocultar del todo la SSID si el router lo permite o crear varias con diferentes permisos de acceso para invitados.
Pero nunca le pongamos nuestro nombre, nick o dirección física (WiFi del 4º B) o de correo electrónico (sí, parece absurdo pero pasa), ya que estaremos dando pistas innecesarias sobre de quién es la red.
Elige el mejor sistema de cifrado y cambia la clave por defecto
Un aspecto básico de la seguridad en las redes inalámbricas es el cifrado de los datos que se van a transmitir por ellas. Existen principalmente tres sistemas o protocolos diferentes que podemos encontrar en la mayoría de routers modernos: WEP, WPA y WPA2.
WEP es el más básico de los tres, proporciona un cifrado de nivel 2 y ha quedado obsoleto al poderse romper la protección con un ordenador o dispositivo de potencia media en pocos minutos. La siguiente opción es WPA, que nace justo como solución a las vulnerabilidades más obvias de WEP. Sus siglas significan algo como “Acceso Protegido Wi-Fi” y es un sistema mucho más seguro ante los ataques de contraseñas no estando tan limitado en el número de caracteres que podemos introducir.
Por último tenemos WPA2, la evolución de WPA y que ofrece el nivel más alto de protección de los tres. Siempre que podamos deberemos elegirlo, aunque hay que tener cuidado de que todos los equipos de la red lo soporten (los más antiguos puede que no sean compatibles) o si no, no podrán comunicarse.
Por supuesto, elijamos el que elijamos, debemos poner una clave lo suficientemente compleja como para que nadie pueda o por lo menos le resulte cómodo asaltarla por fuerza bruta, pero que nos sea relativamente fácil de recordar, sobre todo si vamos a querer usar nuevos dispositivos con frecuencia que requerirán de la inserción de la clave al conectarse por primera vez. Tampoco está de más cambiar esta contraseña de vez en cuando para evitar posibles intrusiones con ataques de fuerza bruta.
Utiliza el filtrado MAC
Otra medida de seguridad que puede resultar útil es el llamado filtrado MAC (no se trata de no dejar conectarse a los equipos de Apple, no). Las direcciones MAC o también llamadas direcciones físicas son las que tiene asignada cada tarjeta de red grabada directamente en su hardware y que la identifican unívocamente del resto. Es algo así como una dirección IP pero de más bajo nivel y sólo se utiliza dentro de la misma subred.
El filtrado MAC te permite crear una especie de lista de equipos de red permitidos
Está compuesta por 48 bits y se representa en 6 grupos de números hexadecimales separados por dos puntos o guiones. Es algo como esto: 01:23:45:67:89:AB o bien expresado como 01-23-45-67-89-AB.
¿Donde la encuentro? Pues depende del dispositivo y del sistema operativo que utilicemos. Incluso en algunos gadgets la podemos ver en una pegatina o en la propia caja del aparato. En este artículo tenéis varios ejemplos sobre dónde y cómo buscarla.
El filtrado MAC va a consistir en crear una especie de lista de equipos de red permitidos para conectarse a nuestra WiFi. Para ello deberemos entrar a la opción correspondiente del router e introducir las direcciones que deseemos autorizar en nuestra red. Dependiendo del modelo, también podremos hacer listas negras de equipos bloqueados, impidiendo así el acceso a dispositivos que sepamos a ciencia cierta son intrusos o gorrones de nuestra WiFi. En este artículo tenéis más detalles sobre cómo realizar correctamente este filtrado MAC con un caso concreto.
Reduce los rangos de direcciones IP permitidas
Si siempre vamos a tener los mismos equipos conectados a la red, podemos utilizar la opción de deshabilitar el funcionamiento automático del servicio DHCP (Dynamic Host Configuration Protocol) en el router que se encarga de asignar direcciones IP a cada equipo conectado a la red.
Esto nos obligará a tener que configurar los valores de forma manual en todos los dispositivos que tengamos en casa, pero puede aportar un grado más de seguridad. También podemos jugar con el rango de direcciones IP permitidas y restringirlo hasta los valores que queramos evitando que queden multitud de direcciones libres.
Es muy sencillo de hacer. Solo hay que buscar en el router la opción dentro de la configuración de la LAN en la que ponga algo como Start IP Address/End IP Address y ahí especificar los valores deseados (por ejemplo de la 192.168.1.33 a la 192.168.1.35, lo que nos permitiría conectar tres equipos a la red). Si además el router nos permite cambiar el tiempo de validez de esta asignación, podemos también indicarle una cifra muy alta y así no dejar ninguna disponible para un intruso, ya que no quedarán huecos libres.
Limita la potencia de emisión de las antenas
Simulación de la potencia radiada por una señal WiFi
Puede parecer obvio, pero es el método más eficaz para evitar una intrusión o el uso no permitido de tu red inalámbrica. Si no llega la señal, difícilmente alguien podrá localizar tu red y mucho menos conectarse a ella.
La mayoría de los routers permiten gestionar de algún modo la potencia emitida por las antenas y así manejar el radio de cobertura de la red de forma aproximada. Lo habitual es que nos encontremos con alguna opción en la que se nos permita variar el porcentaje de nivel de señal o la potencia transmitida.
Aquí debemos procurar bajar la intensidad para que sigamos pudiendo conectarnos a la red dentro de casa, pero para que la potencia decaiga mucho fuera de ella. Podemos ir comprobándolo simplemente moviéndonos con el móvil por la casa y sus alrededores y viendo qué cobertura WiFi tenemos.
¿Cuánto tengo que disminuirla? Pues todo lo que puedas mientras no te perjudique ni se te corte la conexión. También puede resultar útil orientar las antenas del router, si es que nos permite hacerlo, hacia el interior de casa para ofrecer la máxima potencia dentro y que salga la menos posible hacia el exterior y ya si somos algo paranoicos utilizar algún reflector metálico para modificar la dirección del haz de energía o incluso usar algún tipo de pintura anti-radiación electromagnética en alguna de las paredes por donde no queramos que salga la señal WiFi.
Resumiendo
Aunque la seguridad total no existe, siguiendo los sencillos consejos comentados anteriormente podrás mantener un buen grado de privacidad en tu red inalámbrica que seguro echará para atrás a la mayoría de vecinos y posibles espías. ¿Qué pasos tienes que seguir? Aquí tienes un resumen:
- Blinda el acceso a tu router cambiando las contraseñas y su dirección IP por defecto
- Cambia el nombre de la SSID o bien ocúltalo por completo
- Elige el sistema de cifrado WPA o mejor aún WPA2 y una calve alfanumérica larga
- Utiliza el filtrado MAC y crea una lista de equipos permitidos en tu red
- Reduce los rangos de direcciones IP admitidas en tu red local
- Limita la potencia de emisión de las antenas hacia el exterior de casa
En Xataka | Quiero mejorar la red WiFi de casa, esto es lo que debo saber
Ver 55 comentarios
55 comentarios
mosskis.knf
yo he puesto 3 condones, uno en cada antena de mi router y así estoy protegido.
salsasan
Que necedad la de ustedes de tratar de convencer a mi vecino que me cambie la clave, no se vale, ya no hay moral.
velocidad
"Pues aunque la seguridad total no existe..."
entonces deberíais cambiar el título del artículo.
danynab
Os ha faltado mencionar el desactivar WPS. Hay varios algoritmos que atacan por ese camino.
carlossevi
Punto positivo a danynab por comentar la desactivación del WPS.
Por otro lado se confunde el rango de direcciones IP que puede asignar el servidor DHCP con "reducir los rangos de direcciones IP admitidas en la red local".
Aunque el rango se reduzca a 3 posibles IP, siempre se le podrá asignar manualmente una configuración al supuesto equipo intruso y éste funcionará sin problemas. En ningún momento esta configuración se corresponde con una restricción sobre el número de direcciones admitidas.
ericmosvel
Buen artículo
hckrew
excelente, me gustan estos articulos y que en la pagina no nadamas haya noticias de celulares nuevos que no puedo comprar $
adiazdd
Yo uso el filtrado MAC y funciona perfectamente. No se cuela nadie.
Guybrushh
Nose porque no puedo acceder al router de mi red, que podra ser?
alvargutierrez
Al final, lo más sencillo es cambiar la contraseña del wifi y el nombre de la red. Porque si quien se mete es tu vecino, como mucho utilizará un programa que trata de saber tu clave en base al modelo de router que tienes (el nombre de red) y si no le funciona, se pasará a otra a ver si cuela.
El resto es ya para defenderse de gente que realmente quiere ir a por ti, y esa gente siempre encontrará algún modo de pillarte, por lo que lo único que haces es retrasarlo (y por ende, aumentar su curiosidad sobre qué tendrás escondido para guardarlo con tanto celo)
cs122
¡Pol dió! Y luego tienen 30 puertas traseras para la compañía... ¿Por qué no enseñan a poner OpenWRT?
michalack
sumaria a la lista ocultar la red
gallifrey
Mientras entre las opciones este lo de poner las MAC de los dispositivos es que es un artículo copy&paste porque esta más que demostrado que lo de la MAC no sirve PARA NADA.
houk
Lo más efectivo a día de hoy, una contraseña de WPA2 que combine minúsculas, mayúsculas y números de mínimo 12 caracteres y WPS desactivado. Lo demás es opcional.
Charles
Creo que cambiar la contraseña de acceso a la conf es recomendable, cambiar la contraseña del la red, filtrado por mac y lo que no mencionaron es ocultar la red, solo esta última para una persona normal es suficiente para que digan que no hay conexión.
supercrash10
Ocultar SSID y WPA2 (si es con símbolos mejor, pero no imprescindible). Simplemente con eso, en el 99% de casos debería servir.
jsaval
Enhorabuena por el artículo, generalmente las webs que hacen recomiendaciones para proteger WiFi no dan tantos detalles ni tan bien comentados.
Añadiría una defensa básica, desactivar el sistema WPS, algunos routers nuevos no lo traen activado por defecto, pero depende del modelo y es una "protección" extremadamente desfavorable para el dueño.
miguelabellan nosoye
La premisa con la que empieza este articulo es errónea:
"En primer lugar, tenemos que asegurarnos de que nadie ajeno a nosotros va a poder acceder al router para controlar nuestra WiFi. De lo contrario, todo lo que hagamos no servirá de nada, ya que podrán entrar y revertirlo o incluso denegarnos el acceso a nuestra propia red."
Antes de poder acceder al router hay que conseguir acceder a la red, a no ser que algún irresponsable, bien sea la compañía por dejar la opción habilitada por defecto o el propio usuario, haya habilitado el acceso al router desde fuera. Lo cual implicaría que cualquiera que sepa nuestra IP pública podría acceder a nuestro router (La verdad que no se porque existe esa opción, pero yo la vi en algún modelo de router). El filtrado MAC es bastante molesto si traes visitas a casa y quieres darles acceso a tu wifi. Bueno y lo de bajar la intensidad de la señal no lo recomiendo para nada, en un hogar promedio la señal apenas llega de una punta a otra, y si solo accedes tu... Pues podrías plantearte de desactivar Wifi directamente e ir por cable, a menos que necesites tu wifi para smartphones u otros gadgets
leviatangt
Aircrack + Wireshark; vamos vecino, solo dejame ver 5.000 paquetes con una entrada a youtube
gonariocabiddu
Buen artículo pero se te ha olvidado un fallos de seguridad que según mi punto de vista es bastante importante! Desactivad cualquier opción de WPS porque con un cualquier programa de fuerza bruta o el famoso jumpstart sacan las claves en segundos! Si luego uno intenta con wifislax ya ni te digo en cuanto entra en tu red! Luego wireshark y está en tu router si no está configurado para https de gestión!!!
Saludos
aaron89
El artículo está muy bien, pero veo que les falta tan sólo una cosa y que es una vulnerabilidad grave: desactivar el WPS.
j_silva_l
Excelente artículo, y complementado con los serios comentarios de otros que ya gastaron su tiempo en pruebas de el tema, super.
j_silva_l
Felicidades por el artículo, y gracias a los que aportan sus horas de experimentación sobre el tema
samirh
Buenos tips a la hora de proteger cualquier wifi ;)
Usuario desactivado
Pero qué de paranoias hay por ahí.
Personalmente recomiendo como suficiente:
1- Fuera admin/admin - 1234/1234
2- Fuera WPS.
3- SSID de la competencia. Vamos, si tienes Movistar pon una Ono, por ejemplo.
4- LIMITAR LA POTENCIA DE LA RED. Muy útil y muy desconocido.
5- Contraseñas:
- Una frase que te guste. Tres idiomas y con faltas de ortografía. Las "o" con cero, las "a" con @/å, las "i" o las "l" con pipeline (|).
- Ejemplo: quiero esas jodidas galletas. | B€ux €sås Fukc|ng J@yëtàs.
- Otra solución: Frase normal y corriente añadiendo un par o 4 de caracteres ascii concretos.
Un tío en 1 hora no va a conseguir nada y el vecino ya fijo que se queda anclado en. "Su puta madre, si es de Movistar porque no me sirve este crack de las narices" jjj.
Fuera WPS y modulad la intensidad. Eso, para mí, básico.