6 consejos para evitar que tu router forme parte de una botnet como Mirai

router_seguridad

Con todas las noticias recientes de botnets como Mirai infectando dispositivos del Internet de las cosas para lanzar ataques de denegación de servicio (DDoS) más de un usuario se estará preguntando como proteger sus dispositivos para evitar que sean utilizados por los ciberdelincuentes con estos propósitos.

Además de ser algo con el que la gran mayoría de los usuarios cuenta en su domicilio, los routers son uno de los dispositivos más atacados y vulnerables que existe. Eso lo saben muy bien los delincuentes y, para comprobarlo, solo hace falta echar un vistazo a la investigación que hizo nuestro buen amigo Fran monitorizando la actividad de un router doméstico durante 24 horas.

Por eso es recomendable administrar la seguridad de nuestros routers de la misma forma que hacemos con otros dispositivos conectados a Internet, y para ello ofrecemos los siguientes 6 consejos:

1.- Cambia las credenciales que vienen por defecto

Cuando conectamos el router a nuestra red lo normal es que accedamos a él para proporcionarle los datos de nuestro proveedor de Internet. Este acceso al router suele realizarse a través de un portal web introduciendo la dirección IP del dispositivo en nuestra red (p.ej. 192.168.1.1)en el navegador de Internet. Lo normal es que se nos pida un usuario y contraseña que vienen preestablecidos y que suelen ser fáciles de adivinar, como “admin” o “1234”.

Esto es así porque los fabricantes confían en que el usuario va a cambiar estas credenciales una vez haya realizado la configuración necesaria pero, por desgracia, eso no es así en demasiadas ocasiones. De esta forma, un atacante que esté buscando dispositivos vulnerables conectados a Internet puede acceder a una gran cantidad de ellos con las contraseñas por defecto que tienen establecidas.

Por eso, nuestro primer consejo es cambiar las credenciales de acceso al router y utilizar una contraseña robusta que impida averiguarla con un ataque de fuerza bruta.

2.- Utiliza un cifrado fuerte en la red Wi-Fi

La mayoría de nosotros utilizamos nuestro router como un punto de acceso Wi-Fi al que conectarnos desde cualquier parte de nuestro hogar. No hay duda de que esta funcionalidad es muy útil y facilita mucho las cosas, sobre todo con la cantidad de dispositivos inalámbricos de los que solemos disponer hoy en día.

Los routers suelen ofrecer diferentes tipos de cifrados para las conexiones Wi-Fi, dependiendo del nivel de seguridad que deseemos utilizar. Sin embargo, si utilizamos un cifrado débil como WEP estamos exponiendo nuestra red y los datos que viajan a través de ella. Cualquier atacante o vecino gorrón puede averiguar la contraseña en un par de minutos utilizando incluso sencillas aplicaciones para móviles.

Por eso recomendamos utilizar los cifrados más seguros como WPA2 y protegerlo también con una contraseña robusta, para evitar que nuestros datos sean espiados o algún vecino listillo utilice Internet sin pagar la conexión.

3.- No difundas tu red públicamente

Toda red Wi-Fi tiene una especie de “matrícula” que permite reconocerla cuando buscamos señales disponibles desde un dispositivo. Esta matrícula es conocida como SSID y todos los routers tienen una predeterminada por el fabricante.

Sin embargo, este SSID puede servirnos para identificar un modelo de router en concreto y qué proveedor de Internet se está usando, información muy útil para saber qué vulnerabilidades se pueden utilizar para comprometer la seguridad del dispositivo u obtener acceso a la red Wi-Fi.

Es recomendable, por tanto, cambiar el SSID de nuestro router por otro de nuestra elección y ocultarlo para que no sea visible a todos los dispositivos que estén buscando una red Wi-Fi a la que conectarse. Tendremos que configurar la conexión de forma manual en todos nuestros dispositivos, pero ganaremos bastante en la seguridad de nuestra red.

4.- Desactiva opciones que no vayas a usar

La mayoría de routers incorporan una serie de opciones que permiten, por ejemplo, que los dispositivos se conecten más fácilmente a la red inalámbrica utilizando la funcionalidad WPS sin conocer la contraseña de la Wi-Fi. Esto que puede parecer algo muy cómodo también representa un peligro puesto que hay ataques que permiten explotar vulnerabilidades en la implementación de WPS.

De la misma forma, el uso del protocolo Universal Plug and Play (UPnP) también se ha extendido entre los principales fabricantes de routers. Si bien puede resultar bastante cómodo a la hora de descubrir otros dispositivos conectados a la red, si no sabemos configurarlo de forma adecuada o no vamos a utilizarlo siempre será mejor desactivarlo para evitar que usuarios in autorización puedan conectarse a nuestra red.

Por último, la mayoría de routers permiten el acceso remoto para poder gestionarlo desde fuera de nuestra red. No obstante, muy pocos usuarios necesitarán utilizar esta funcionalidad por lo que lo mejor es desactivarla y evitar así que alguien intente acceder a nuestro router remotamente y sin nuestro permiso.

5.- Vigila quién se conecta a tu red

Igual que tu red inalámbrica dispone de una “matrícula”, los dispositivos que se conectan a ella también cuentan con un identificador único que se conoce como dirección MAC. Conociendo este identificador podemos filtrar, utilizando el menú de configuración del router, a qué dispositivos queremos permitir el acceso a nuestra red, dejando fuera de ella aquellos que sean desconocidos y no se encuentren en la lista de permitidos.

Para realizar este análisis de nuestra web podemos utilizar herramientas gratuitas como Wireless Network Watcher y así ver que otros dispositivos están conectados a nuestra red. Además, la nueva solución de seguridad ESET Smart Security Premium te permite, no solo revisar los dispositivos conectados a nuestra red si no también comprobar si nuestro router está debidamente actualizado o presenta alguna vulnerabilidad conocida.

6.- Actualiza o cambia el firmware de tu router para una protección adicional

Los routers son dispositivos que también cuentan con su sistema operativo (firmware) y, como tal, también aparecen vulnerabilidades para ellos. Sin embargo, la mayoría de usuarios se olvida de actualizar estos dispositivos o son los propios fabricantes quienes abandonan modelos que consideran obsoletos, dejando a los usuarios que aún los utilizan vulnerables a ataques.

Conviene revisar periódicamente la web del fabricante de nuestro router para buscar posibles actualizaciones de su firmware y, en caso de tener instalado un firmware vulnerable, siempre podemos optar por alguno de los firmwares de código abierto disponibles. Estas versiones suelen ser más seguras que las proporcionadas por los fabricantes e incluso algunas pueden proporcionar funciones adicionales a nuestro router.

Algunas de los firmwares alternativos más conocidos son:

Conclusión

Con estos consejos habremos conseguido mejorar considerablemente la seguridad de nuestro router y la de la información que pase a través de él, pero hemos de tener en cuenta de que ninguna medida de las que hemos comentado es completamente infranqueable ante atacantes experimentados.

Es por eso que, como usuarios, debemos preocuparnos de estar al día en lo que a seguridad de este tipo de dispositivos se refiere y aplicar las medidas adecuadas cuando sea necesario. Además, los routers son solo uno de los muchos dispositivos conectados existentes hoy en día y, aunque algunos consejos pueden servirnos para otros dispositivos, cada uno de ellos dispondrá de diferentes medidas de seguridad que conviene revisar.

Josep Albors

Cifrando, que es gerundio (y van dos)