Las redes WiFi se han labrado un hueco importante en nuestros hogares y empresas. Llevan con nosotros pocos años, pero en ese tiempo se han vuelto casi imprescindibles en múltiples actividades cotidianas que van más allá de la conectividad con Internet, ya que además nos permiten manejar todo tipo de gadgets y dispositivos a distancia.
A pesar de su creciente importancia, muchos usuarios apenas prestan atención a la configuración de su red inalámbrica. Simplemente enchufan el router de la operadora y ya está, a empezar a navegar. En general no debería haber mayor problema, pero si no tomamos unas ciertas precauciones, puede que algún intruso entre en nuestra red y nos ocasione más de un quebradero de cabeza.
Normalmente no se tratará de espías o hackers malvados como los que aparecen en las películas que tratan por todos los medios de aprovecharse de nuestra WiFi para cometer delitos, aunque haberlos haylos. Lo habitual es que sea algún vecino el que intenta colarse en nuestra red para ahorrase la conexión, haciéndonos de paso responsables en primera instancia de las páginas que visite.
¿Cómo evitar estas intrusiones no deseadas en nuestra WiFi? Pues aunque la seguridad total no existe (para eso tendríamos que apagar la red, claro), podemos seguir una serie de consejos y trucos, tanto sencillos como algo más complejos, que pasamos a explicar a continuación.
Blinda el acceso a tu router
En primer lugar, tenemos que asegurarnos de que nadie ajeno a nosotros va a poder acceder al router para controlar nuestra WiFi. De lo contrario, todo lo que hagamos no servirá de nada, ya que podrán entrar y revertirlo o incluso denegarnos el acceso a nuestra propia red.
Por ello, el primer paso consiste en actualizar el firmware del router a la última versión disponible para corregir posibles vulnerabilidades que se hayan detectado, proceso que dependerá de cada marca y modelo concreto, y después comenzaremos por cambiar la contraseña de acceso por defecto que normalmente viene dada por el fabricante o por la operadora.
No dejes que la puerta a tu centro de conexiones del hogar se abra con el clásico 1234/1234 o admin/admin. Busca un nombre de usuario y una clave personalizada que recuerdes bien o que puedas dejar apuntados en algún lugar que conozcas por si los olvidas.
También puede ser útil cambiar la dirección IP por defecto del router. Normalmente suele ser 192.168.1.1, primeras cifras que todo usuario ávido de piratear tu WiFi tecleará en su navegador. Simplemente cambiando la última cifra podrás lograr retrasar o echar para atrás a los hackers menos experimentados o a ese vecino gorrón que quiere aprovecharse de tu conexión.
Cambia el nombre de la SSID
La SSID (Service Set Identifier) o identificador de la red inalámbrica sirve precisamente para eso, para identificarla entre otras muchas. Lo habitual es que por defecto venga dado por la operadora que nos proporciona el router, mostrando a veces más información de la que debería sobre el tipo de router que tenemos y sus posibles vulnerabilidades.
Lo ideal es que usemos un nombre sencillo de recordar o al que le encontremos alguna relación personal pero que no haga referencia a nosotros directamente ni a nuestra vivienda. Podemos ser todo lo creativos que queramos, incluso ocultar del todo la SSID si el router lo permite o crear varias con diferentes permisos de acceso para invitados.
Pero nunca le pongamos nuestro nombre, nick o dirección física (WiFi del 4º B) o de correo electrónico (sí, parece absurdo pero pasa), ya que estaremos dando pistas innecesarias sobre de quién es la red.
Elige el mejor sistema de cifrado y cambia la clave por defecto
Un aspecto básico de la seguridad en las redes inalámbricas es el cifrado de los datos que se van a transmitir por ellas. Existen principalmente tres sistemas o protocolos diferentes que podemos encontrar en la mayoría de routers modernos: WEP, WPA y WPA2.
WEP es el más básico de los tres, proporciona un cifrado de nivel 2 y ha quedado obsoleto al poderse romper la protección con un ordenador o dispositivo de potencia media en pocos minutos. La siguiente opción es WPA, que nace justo como solución a las vulnerabilidades más obvias de WEP. Sus siglas significan algo como “Acceso Protegido Wi-Fi” y es un sistema mucho más seguro ante los ataques de contraseñas no estando tan limitado en el número de caracteres que podemos introducir.
Por último tenemos WPA2, la evolución de WPA y que ofrece el nivel más alto de protección de los tres. Siempre que podamos deberemos elegirlo, aunque hay que tener cuidado de que todos los equipos de la red lo soporten (los más antiguos puede que no sean compatibles) o si no, no podrán comunicarse.
Por supuesto, elijamos el que elijamos, debemos poner una clave lo suficientemente compleja como para que nadie pueda o por lo menos le resulte cómodo asaltarla por fuerza bruta, pero que nos sea relativamente fácil de recordar, sobre todo si vamos a querer usar nuevos dispositivos con frecuencia que requerirán de la inserción de la clave al conectarse por primera vez. Tampoco está de más cambiar esta contraseña de vez en cuando para evitar posibles intrusiones con ataques de fuerza bruta.
Utiliza el filtrado MAC
Otra medida de seguridad que puede resultar útil es el llamado filtrado MAC (no se trata de no dejar conectarse a los equipos de Apple, no). Las direcciones MAC o también llamadas direcciones físicas son las que tiene asignada cada tarjeta de red grabada directamente en su hardware y que la identifican unívocamente del resto. Es algo así como una dirección IP pero de más bajo nivel y sólo se utiliza dentro de la misma subred.
El filtrado MAC te permite crear una especie de lista de equipos de red permitidos
Está compuesta por 48 bits y se representa en 6 grupos de números hexadecimales separados por dos puntos o guiones. Es algo como esto: 01:23:45:67:89:AB o bien expresado como 01-23-45-67-89-AB.
¿Donde la encuentro? Pues depende del dispositivo y del sistema operativo que utilicemos. Incluso en algunos gadgets la podemos ver en una pegatina o en la propia caja del aparato. En este artículo tenéis varios ejemplos sobre dónde y cómo buscarla.
El filtrado MAC va a consistir en crear una especie de lista de equipos de red permitidos para conectarse a nuestra WiFi. Para ello deberemos entrar a la opción correspondiente del router e introducir las direcciones que deseemos autorizar en nuestra red. Dependiendo del modelo, también podremos hacer listas negras de equipos bloqueados, impidiendo así el acceso a dispositivos que sepamos a ciencia cierta son intrusos o gorrones de nuestra WiFi. En este artículo tenéis más detalles sobre cómo realizar correctamente este filtrado MAC con un caso concreto.
Reduce los rangos de direcciones IP permitidas
Si siempre vamos a tener los mismos equipos conectados a la red, podemos utilizar la opción de deshabilitar el funcionamiento automático del servicio DHCP (Dynamic Host Configuration Protocol) en el router que se encarga de asignar direcciones IP a cada equipo conectado a la red.
Esto nos obligará a tener que configurar los valores de forma manual en todos los dispositivos que tengamos en casa, pero puede aportar un grado más de seguridad. También podemos jugar con el rango de direcciones IP permitidas y restringirlo hasta los valores que queramos evitando que queden multitud de direcciones libres.
Es muy sencillo de hacer. Solo hay que buscar en el router la opción dentro de la configuración de la LAN en la que ponga algo como Start IP Address/End IP Address y ahí especificar los valores deseados (por ejemplo de la 192.168.1.33 a la 192.168.1.35, lo que nos permitiría conectar tres equipos a la red). Si además el router nos permite cambiar el tiempo de validez de esta asignación, podemos también indicarle una cifra muy alta y así no dejar ninguna disponible para un intruso, ya que no quedarán huecos libres.
Limita la potencia de emisión de las antenas
Puede parecer obvio, pero es el método más eficaz para evitar una intrusión o el uso no permitido de tu red inalámbrica. Si no llega la señal, difícilmente alguien podrá localizar tu red y mucho menos conectarse a ella.
La mayoría de los routers permiten gestionar de algún modo la potencia emitida por las antenas y así manejar el radio de cobertura de la red de forma aproximada. Lo habitual es que nos encontremos con alguna opción en la que se nos permita variar el porcentaje de nivel de señal o la potencia transmitida.
Aquí debemos procurar bajar la intensidad para que sigamos pudiendo conectarnos a la red dentro de casa, pero para que la potencia decaiga mucho fuera de ella. Podemos ir comprobándolo simplemente moviéndonos con el móvil por la casa y sus alrededores y viendo qué cobertura WiFi tenemos.
¿Cuánto tengo que disminuirla? Pues todo lo que puedas mientras no te perjudique ni se te corte la conexión. También puede resultar útil orientar las antenas del router, si es que nos permite hacerlo, hacia el interior de casa para ofrecer la máxima potencia dentro y que salga la menos posible hacia el exterior y ya si somos algo paranoicos utilizar algún reflector metálico para modificar la dirección del haz de energía o incluso usar algún tipo de pintura anti-radiación electromagnética en alguna de las paredes por donde no queramos que salga la señal WiFi.
Resumiendo
Aunque la seguridad total no existe, siguiendo los sencillos consejos comentados anteriormente podrás mantener un buen grado de privacidad en tu red inalámbrica que seguro echará para atrás a la mayoría de vecinos y posibles espías. ¿Qué pasos tienes que seguir? Aquí tienes un resumen:
- Blinda el acceso a tu router cambiando las contraseñas y su dirección IP por defecto
- Cambia el nombre de la SSID o bien ocúltalo por completo
- Elige el sistema de cifrado WPA o mejor aún WPA2 y una calve alfanumérica larga
- Utiliza el filtrado MAC y crea una lista de equipos permitidos en tu red
- Reduce los rangos de direcciones IP admitidas en tu red local
- Limita la potencia de emisión de las antenas hacia el exterior de casa
En Xataka | Quiero mejorar la red WiFi de casa, esto es lo que debo saber
Ver 55 comentarios