Proteger correctamente la seguridad de una Red WiFi

Para obtener la mejor seguridad, rendimiento y confiabilidad, recomendamos esta configuración para routers Wi-Fi, ya que vemos que todavía hay gente que cree erróneamente que el filtrado MAC o ocultar el SSID (Nombre) de la Red sirve para algo. Por último recomendamos el uso de una VPN gratuita tipo WARP para conectarnos a una red Wireless pública.

Proteger Red Wireless

Proteger correctamente seguridad WiFi:

✅ Cambiar SSID 

✅ Desactivar WPS

✅ Cifrado WPA2 AES o superior WPA3

✅ Cambiar contraseña por defecto

✅ Actualizar firmware

✅ Desactivar acceso remoto

No sirve para nada:

❌ Ocultar SSID 

❌ Filtrado MAC

Vamos a explica sobre todo estas dos últimas opciones. porque vemos que todavía hay mucha confusión.

Medidas que NO funcionan para proteger el Wifi:

• Cifrado WEP: es de sobra conocido que este tipo de cifrado se ha quedado totalmente obsoleto.

• Filtrado MAC: restringir la navegación a las direcciones MAC de tus ordenadores puede parecer una solución, pero no es efectiva. Con las direcciones detectadas por el intruso y utilidades como MacMakeUp, que cambian la dirección del dispositivo, el mac-spoofing se lleva a cabo en un segundo.
• Ocultar el SSID: ocultar el nombre de la red inalámbrica es como caminar detrás de una puerta y pretender que nadie te ve. Sí es interesante, por otra parte, cambiar el nombre del SSID por algo que no se parezca al nombre por defecto o se pueda relacionar con tu ubicación. Por ejemplo cambiar el nombre del Wifi te tu compañía: MOVISTAR_XXX, MiFibra_XXX, WLAN_XXX, JAZZTEL_XXX,  VODAFONE_XXXX, ADAMO_XXX,TELMEX, INFINITUM

Medidas efectivas para proteger y asegurar nuestro Wifi contra intrusos:

• Cifrado WPA2: la tecnología de cifrado WPA, compatible con adaptadores 802.11g o superiores, es mucho más fuerte que WEP. Cualquier router actual dispone de WPA-AES; puedes usar una frase de contraseña  (que debería ser resistente a ataques de diccionario). Mejor usar si tu router mínimo WPA2-AES o superior (WPA3)

• Cambiar la contraseña por defecto del router: es lo primero que debes hacer. El hipotético intruso querrá abrir puertos en el router para usar su programa P2P favorito u ocultar sus movimientos. Cambia la contraseña del router para tener la última palabra sobre la conexión.
• Mantener el firmware del punto de acceso actualizado: Las vulnerabilidades de cada punto de acceso se publican periódicamente en internet y por lo tanto, a nosotros nos compete el mantener actualizado el mismo o cambiarlo si tenemos fuertes sospechas de que puede ser fácilmente atacable.
• Desactivar el acceso remoto al router: El 99% de los usuarios domésticos no necesita esta función que permite acceder al router desde cualquier punto con acceso a Internet. Denegar acceso desde Wan (Disable wan access)
• Deshabilita WPS si el router dispone del mismo. El protocolo WPS (WiFi Protected Setup), que permite conectar los dispositivos utilizando un PIN en lugar de la clave WPA, es vulnerable, se ha demostrado que un atacante podría obtener el PIN.  Por este motivo, te recomendamos que lo deshabilites.
• Cambiar el nombre de la WiFi o SSID: Normalmente el SSID o nombre de la red viene definido por defecto. Éste debe ser sustituido por uno que no sugiera cuál es nuestro operador y que no guarde relación con la contraseña de acceso a la red.
• Activar PMF (Protected Management Frames): cifra la información del tráfico de gestión, haciendo que los clientes descarten las tramas que no vienen del router legítimo. Para que PMF haga su trabajo deben soportarlo tanto el router como el cliente. Para evitar incompatibilidades con dispositivos antiguos muchos routers lo traen inactivo por defecto.

Cifrado seguro WPA2 AES o superior: WPA3

• WPA3 Personal es el protocolo más nuevo y seguro actualmente disponible para dispositivos Wi-Fi. Funciona con todos los dispositivos compatibles con Wi-Fi 6 (802.11ax) y algunos dispositivos más antiguos.
• WPA2/WPA3 Transitional es un modo mixto que usa WPA3 Personal con dispositivos que admiten ese protocolo, mientras que permite que los dispositivos más antiguos usen WPA2 Personal (AES) en su lugar.

• WPA2 Personal (AES) es apropiado cuando no puede usar uno de los modos más seguros. En ese caso, elija también AES como tipo de cifrado o cifrado, si está disponible.

Configuración de seguridad débil para evitar en el router

No crees ni te unas a redes que utilicen protocolos de seguridad antiguos y obsoletos. Estos ya no son seguros, reducen la confiabilidad y el rendimiento de la red:

Evitar:

• Modos mixtos WPA/WPA2
• Personal WPA
• WEP, incluidos WEP abierto, WEP compartido, WEP de red de seguridad de transición o WEP dinámico (WEP con 802.1X)
• TKIP, incluida cualquier configuración de seguridad con TKIP en el nombre

Ocultar SSID 

•  Establecer en Deshabilitado

Un router se puede configurar para ocultar su nombre de red (SSID).Pero no significa "oculto" y a que sigue "transmitiendo".

Ocultar el nombre de la red no oculta la detección de la red ni la protege contra accesos no autorizados. Y debido a la forma en que los dispositivos buscan y se conectan a las redes Wi-Fi, el uso de una red oculta puede exponer información que se puede usar para identificarte a ti y las redes ocultas que usas, como tu red doméstica.

 

Filtrado de direcciones MAC

Hay otras configuraciones del router que, si bien parecen recomendables, a nivel de seguridad no son efectivas:

• Habilitar restricción MAC (o dirección física). Una de las características de seguridad que nos permiten los routers es la restricción del acceso a la red tan solo a aquellos equipos o dispositivos con una dirección MAC concreta.

  La MAC es el identificador único de cada dispositivo de red. Podemos averiguar en cada uno de ellos su MAC y añadirlo en el router como dispositivo seguro, impidiendo así el acceso de cualquier otro dispositivo no memorizado.

  Es decir, es posible configurar el router para que filtre por direcciones MAC, para que sólo los dispositivos que deseemos se conecten a nuestra red WiFi. Sin embargo, a día de hoy, con los conocimientos necesarios, es posible falsear esa dirección para ponerse una permitida. ¿Cómo? Mirando por ejemplo, la dirección MAC que tienen los dispositivos conectados en un momento dado. Por tanto, aunque aplicar esta medida es bueno, no es una garantía de seguridad.

•  Establecer en Deshabilitado

Cuando esta característica está habilitada, su router puede configurarse para permitir que solo los dispositivos que tienen direcciones MAC (control de acceso a medios) especificadas se unan a la red.

Pero no debes confiar en esta función para evitar el acceso no autorizado a tu red, por las siguientes razones:

•  No impide que los observadores de la red controlen o intercepten el tráfico en la red.
•  Las direcciones MAC se pueden copiar, falsificar (suplantar) o cambiar fácilmente.
•  Para ayudar a proteger la privacidad del usuario, algunos dispositivos Apple y Android usan una dirección MAC diferente para cada red Wi-Fi.

Actualizaciones automáticas de firmware

•   Establecer en Habilitado

Si es posible, configura tu enrutador para que instale automáticamente las actualizaciones de software y firmware a medida que estén disponibles. Las actualizaciones de firmware pueden afectar la configuración de seguridad disponible para ti  y brindan otras mejoras importantes en la estabilidad, el rendimiento y la seguridad del router.

Desactivar o deshabilitar WPS

Además de la seguridad WiFi, las funciones que los routers inalámbricos incorporan también han evolucionado con el objetivo de hacernos la vida más cómoda. Y con esta idea en mente, los routers más actuales incorporan una nueva funcionalidad llamada WPS o WiFi Protected Setup.

El WPS es un mecanismo creado para facilitar la conexión de dispositivos a nuestra WiFi. Existen varios métodos mediante los cuales un dispositivo puede unirse a una red inalámbrica mediante WPS pero el más extendido y que a su vez es el que se usa en las redes domésticas, es el intercambio de PIN. El dispositivo debe transmitir un código numérico al router y a cambio este último le envía los datos para acceder a la red.

Es decir, si nuestro router tiene habilitada la funcionalidad WPS y queremos acceder a nuestra WiFi, simplemente tenemos que enviarle un código PIN de 8 dígitos para que el router nos permita acceder a la red inalámbrica. Habitualmente, este código PIN viene escrito en la parte inferior, pero existen maneras alternativas de averiguarlo.

El inconveniente de esta funcionalidad, es que ofrece una nueva opción para un ciberdelincuente interesado en acceder a una red inalámbrica, ya que el tiempo que el ciberdelincuente necesita para averiguar un PIN de 8 dígitos es mucho menor que el que necesita para averiguar la contraseña WPA2 configurada en la red.

Para mantener nuestra red WiFi segura, debemos renunciar a la comodidad de conectarnos mediante esta utilidad e introducir la contraseña WPA2 cada vez que queramos conectar un nuevo dispositivo a nuestra red.

Para desactivarlo debemos acceder a la página de configuración de nuestro router:

• La dirección de acceso por defecto suele ser la 192.168.1.1 o 192.168.0.1
• Introducir el usuario y la contraseña de acceso. Si no las hemos cambiado suelen estar escritas en la parte posterior del router y en el manual del dispositivo, aunque es muy recomendable cambiar las credenciales por defecto.
• Y deshabilitar la opción de WPS

Estos pasos son válidos para la mayor parte de los dispositivos pero podrían variar en función del modelo de router utilizado.

Una vez desactivada la funcionalidad de WPS, lo correcto sería cambiar la contraseñaWPA2 AES y también podemos aprovechar para cambiar el nombre de usuario y la contraseña por defecto.

¿Cómo detectar si hay un intruso en mi red Wifi?

Fuentes:
https://support.apple.com/en-us/HT202068

https://www.osi.es/es/protege-tu-wifi