El router, el dispositivo más olvidado de casa
El router se enchufa, se configura una vez y ahí queda, y si no se pierde el internet, no se nota jamás!. El problema es que mientras tanto el firmware firmware El software interno que hace funcionar el router. Viene grabado de fábrica y los fabricantes lanzan actualizaciones para corregir fallos de seguridad, pero casi nadie las instala. acumula fallos sin parchear, los ajustes de fábrica siguen activos tal como salieron, y hay bots automatizados escaneando internet de forma continua buscando routers con exactamente esas condiciones.
No es algo que me esté inventando yo. En 2024, la botnet botnet Un conjunto de dispositivos infectados (routers, cámaras, ordenadores) que un atacante controla de forma remota y coordina a la vez, sin que sus dueños lo sepan. TheMoon infectó más de 40.000 routers domésticos e IoT IoT Internet of Things: teles, cámaras, bombillas, enchufes y demás dispositivos conectados a la red de casa. en 88 países, aprovechando servicios de gestión expuestos a internet. En una sola campaña de marzo de ese año comprometió más de 6.000 routers Asus en menos de 72 horas. Los dispositivos infectados acabaron funcionando como proxies proxies Intermediarios por los que pasa el tráfico de otro. Si tu router funciona como proxy de un atacante, este navega usando tu conexión y tu IP. Cualquier rastro apunta a ti. , o con los DNS DNS Domain Name System: la agenda de contactos de internet. Traduce nombres como tu-banco.com a la dirección del servidor real. Si alguien los manipula, escribes la web correcta pero acabas en una copia falsa. modificados para redirigir a los usuarios a páginas falsas sin que tocaran nada.
Los bots no son inteligentes y no eligen sus objetivos. Escanean todo lo que tiene cara a internet y prueban vulnerabilidades conocidas de forma automática, a TO DO kiski.
Los routers que dan los operadores suelen ser especialmente problemáticos porque están configurados para simplificar el soporte técnico, se actualizan tarde o nunca, y en algunos casos mantienen accesos de gestión del propio operador que el usuario desconoce.
La parte buena es que los fallos más comunes tienen solución en diez minutos. Solo hace falta entrar al panel de administración, que la mayoría de la gente no ha vuelto a abrir desde el día de la instalación y ni eso.
Cómo entrar al panel del router
Abre el navegador y escribe 192.168.1.1 o 192.168.0.1 en la barra de direcciones. Si ninguna funciona, la dirección correcta suele estar en la pegatina de la parte inferior del router.
Para entrar necesitas el usuario y la contraseña de administración. No es la contraseña del WiFi, son dos cosas completamente distintas. Si nunca las has cambiado, prueba con las que figuran en la pegatina del router. Si funcionan, ese ya es el primer problema que vas a resolver.
AdvertenciaLa contraseña del WiFi y la del panel de administración del router son dos llaves distintas. Puedes tener una contraseña WiFi de 30 caracteres y aun así tener el panel con
admin / admin. Cualquiera conectado a tu red puede entonces entrar a la configuración y modificar lo que quiera.
Los cinco fallos más comunes
Si nunca cambiaste el usuario y contraseña del panel de administración, siguen siendo los de fábrica. En muchos modelos es admin/admin, o las que figuran en la pegatina. Es suficiente para que cualquiera en tu red entre a configurarlo.
Wi-Fi Protected Setup permite emparejar dispositivos pulsando un botón, sin escribir contraseña. Su PIN de 8 dígitos se valida en dos mitades, lo que reduce drásticamente las combinaciones posibles. El ataque Pixie Dust aprovecha que muchos chips generan números aleatorios predecibles y calcula el PIN en segundos de forma offline, sin necesidad de probarlo por fuerza bruta.
El firmware es el software interno del router y tiene fallos como cualquier otro software. Los fabricantes los parchean con actualizaciones. Si no se instalan, los agujeros conocidos siguen ahí. Hay cientos de CVE documentados en routers domésticos de uso masivo.
WEP, WPA, WPA2 y WPA3 son los protocolos de cifrado del WiFi, del más antiguo al más moderno. Cifran el tráfico para que nadie sin contraseña pueda leerlo. WEP tiene vulnerabilidades conocidas desde 2001 y se crackea en minutos. WPA tiene problemas similares. El mínimo aceptable hoy es WPA2-AES; lo recomendable es WPA3. Si el router solo ofrece WEP o WPA, lo razonable es reemplazarlo.
ImportanteSobre el WPS: el ataque clásico de fuerza bruta del PIN hoy lo frenan bastantes routers modernos con bloqueo tras varios intentos fallidos. El que sigue siendo el más efectivo es Pixie Dust Pixie Dust Un ataque al WPS que, en vez de probar miles de PINs, calcula el correcto aprovechando que muchos chips generan números aleatorios predecibles. No prueba: deduce. Y lo hace offline, sin tocar el router. : calcula el PIN sin necesidad de enviar miles de peticiones, y un estudio de 2025 encontró que la mayoría de los dispositivos probados seguían siendo vulnerables. La conclusión práctica es siempre la misma: desactiva el WPS y listo.
Y el quinto fallo, que es el más peligroso porque expone el router directamente a internet:
5. Administración remota abierta
Muchos routers traen activada por defecto una opción que permite acceder al panel de administración desde cualquier punto de internet, no solo desde la red de casa. Para un usuario doméstico esto no tiene ninguna utilidad real, y para un atacante es exactamente la puerta que busca.
Cuando el panel de administración está expuesto a internet con las credenciales de fábrica sin cambiar, cualquier bot que escanee esa dirección IP puede entrar. No hace falta saber quién eres ni dónde vives.
Cómo arreglarlo
Entra al panel del router (192.168.1.1 o 192.168.0.1) y revisa estos puntos:
Credenciales de administración. Busca la sección de administración o sistema y cambia el usuario y contraseña por algo único que no uses en ningún otro sitio. No tiene que ser imposible de recordar, pero sí diferente a las credenciales de fábrica.
Protocolo WiFi. En los ajustes inalámbricos, busca el tipo de seguridad o cifrado y comprueba que está en WPA2-AES o WPA3. Si aparece WEP o WPA a secas, cámbialo. Si el router no ofrece WPA2, considera reemplazarlo.
WPS. En los ajustes inalámbricos, busca WPS y desactívalo. No hay motivo para mantenerlo activo en un entorno doméstico.
Administración remota. En la sección de administración o gestión, busca “administración remota”, “remote management” o “acceso desde WAN” y desactívalo.
UPnP. UPnP UPnP Universal Plug and Play. Permite que los dispositivos de la red abran puertos en el router de forma automática, sin que el usuario lo sepa. Cómodo para ciertos programas, pero una superficie de ataque innecesaria en la mayoría de casos. permite que los dispositivos abran puertos de forma automática sin que el usuario lo sepa ni lo apruebe. Si no sabes si lo necesitas, lo más seguro es desactivarlo.
Firmware. En la sección de administración o actualización, busca actualizaciones e instálalas. Algunos routers lo hacen de forma automática si lo configuras; en otros hay que hacerlo manualmente cada cierto tiempo.
Contraseña WiFi. Si llevas usando la misma desde que instalaron el router, cámbiala. El siguiente apartado explica por qué esto es especialmente importante en España.
ConsejoSi tu router solo te permite elegir WEP o WPA (sin el 2), no merece la pena seguir configurándolo. Ese router tiene más de una década de antigüedad tecnológica. Por unos 50 euros se encuentra algo decente con WPA3.
Un caso muy español: las redes WLAN_XXXX
Durante años los routers de los operadores españoles — WLAN_XXXX, JAZZTEL_XXXX, MOVISTAR_XXXX, Orange-XXXX — generaban la contraseña WiFi de fábrica con un algoritmo predecible a partir del nombre de la red y la dirección física del router.
Eso significa que esa contraseña que viene en la pegatina y parece completamente aleatoria, en muchos modelos se podía calcular sin crackear nada. Existen diccionarios y aplicaciones que, solo con ver el nombre de tu red, devuelven la contraseña por defecto. Si sigues usando la clave de fábrica, no tienes una contraseña fuerte: tienes una contraseña que está en una lista.
PeligroPor eso la recomendación no es “cambia la clave si lleva mucho tiempo”. Es cambiar siempre la clave WiFi de fábrica en cuanto se instala el router, venga del operador que venga. Y cambiar también el nombre de la red: un
WLAN_A4F2por defecto indica la marca y el modelo del router a cualquiera que lo vea, lo que facilita saber qué vulnerabilidades conocidas probar.
La red de invitados
Casi todos los routers modernos permiten crear una red WiFi separada y aislada de la principal. Es una de las medidas más útiles y más ignoradas.
- Teles, cámaras, altavoces inteligentes y cualquier dispositivo IoT (suelen tener seguridad débil y pocas actualizaciones)
- Los móviles de las visitas
- Cualquier dispositivo del que no estés seguro
- Tu portátil y móvil de trabajo
- El NAS o disco de red con tus archivos
- Los dispositivos con información que te importa proteger
El aislamiento de la red de invitados significa que un dispositivo comprometido, como una cámara o una tele con firmware sin actualizar, no puede comunicarse con el resto de dispositivos de tu red. No llega al portátil, no llega al NAS. A esto se le llama segmentación segmentación Dividir la red en zonas aisladas para que un dispositivo comprometido no pueda alcanzar al resto. .
NotaNo todas las redes de invitados aíslan los dispositivos entre sí por defecto. Algunas solo separan de la red principal pero dejan que los dispositivos invitados se vean entre ellos. Busca en la configuración una opción llamada “aislamiento de cliente” o “client isolation” y actívala.
Lo que no aporta seguridad real
Dos medidas que circulan como consejos de seguridad y que en la práctica no sirven para lo que prometen:
El SSID es el nombre de tu red WiFi, el que aparece en la lista de redes disponibles. Ocultarlo no hace la red invisible: cualquier herramienta de análisis de redes la detecta en cuanto un dispositivo legítimo se conecta. Es una molestia para el usuario y no supone ningún obstáculo real para alguien que sepa lo que hace.
La dirección MAC es el identificador único de cada dispositivo de red. Permitir solo ciertas MACs parece una buena idea hasta que se sabe que esa dirección se transmite en claro en las redes WiFi. Un atacante puede ver qué MACs están autorizadas y copiar una. Se hace con dos comandos.
Estas medidas no hacen daño en sí mismas, pero generan una sensación de seguridad que no corresponde con la realidad. El tiempo que se invierte en configurarlas es mejor gastarlo en los puntos que sí mueven la aguja.
En resumen
Los problemas de seguridad más comunes en un router doméstico son siempre los mismos: credenciales de fábrica sin cambiar, WPS activo, firmware sin actualizar, administración remota expuesta y cifrado WiFi obsoleto. Todos tienen solución en el panel de configuración del router y no requieren conocimientos técnicos especiales.
ImportanteCambia las credenciales de administración. Cambia la contraseña WiFi de fábrica. Desactiva WPS. Desactiva la administración remota. Desactiva UPnP si no lo usas. Actualiza el firmware. Comprueba que usas WPA2-AES o WPA3. Activa la red de invitados y mete ahí los dispositivos IoT.
Con eso, la red de casa queda considerablemente mejor que la media sin necesitar conocimientos avanzados.
Nos vemos en los bares! 🍻