Partamos de la base de que nada es seguro completamente, si alguien se empeña en meterse en tu red wifi seguramente lo consegurá, pero se lo podemos complicar bastante con algunas medidas técnicas y algunas “caseras” voy a ordenarlas por dificultad y nivel de seguridad, entre todas conseguirás proteger tu red o al menos se lo pondrás muy dificil a los vecinitos gorrones.

Estas son las técnicas que tenemos a nuestra disposición en la mayoría de routers, tanto domésticos como profesionales y que aumentarán sin duda el nivel de seguridad de cualquier red wifi, la mayoría de atacantes no busca un objetivo concreto sino el más débil a su alcance para aprovecharse de su conexión y con estas medidas seguramente no seamos un objetivo fácil y nos dejen tranquilos.

Todas las siguientes configuraciones son independientes podemos utilizar una, dos, varias o todas, a vuestra elección obviamente cuantas más utilicemos mejor seguridad obtendremos pero menor comodidad para conectarnos.

ANTES DE NADA

Toda la configuración de seguridad se realiza desde la página de administración del router, para acceder tenemos que estar conectados a la red wifi, abriremos el navegador de internet e introducimos la dirección de acceso que se indica en el manual del router o en una pegatina por debajo de él, sino lo encontramos podemos utilizar esté método: http://wiki.bandaancha.st/Averiguar_la_IP_del_router al acceder se nos solicitará un usuario y una contraseña sino lo encontramos (ni en el manual ni en la pegatina) podemos buscarlo en los siguientes sitios web:

Cuando estemos dentro podremos ver algo similar a esto:

Administracion router ASUS

Empecemos con la securización.

LA CONFIGURACIÓN POR DEFECTO ES INSEGURA

Normalmente todos los router que nos instalan los proveedores de internet traen un nombre de red por defecto, una encriptación por defecto y una contraseña por defecto. Todos estos datos vienen habitualmente indicados en una pegatina por debajo del router, esto es COMPLETAMENTE INSEGURO, se puede calcular automáticamente la contraseña a partir del nombre de la red como por ejemplo hace esta app de este OTRO post.

Por lo tanto lo primero que haremos será cambiar la encriptación, la contraseña y el nombre de la red (SSID) todo ello desde la página de configuración del router.

  • Cambiar nombre por defecto de la red (SSID): el nombre de la red por defecto da unas cuantas pistas a nuestro atacante, por ejemplo si es ORANGE_XXXX o si es JAZTEL_XX, etc el atacante ya sabrá que tipo de red tenemos y que router utilizamos y podrá atacar nuestra red con más garantías, lo mejor es ocultar el nombre de la red o ponerle un nombre que no de pistas como por ejemplo: Wireless1, Router66, Homewifi, etc.
    Desactivar SSID
  • La encriptación que se solía utilizar WEP es muy insegura tanto si tenemos la contraseña por defecto como si la hemos cambiado, un atacante puede capturar nuestro tráfico y en unas horas (o segundos) conseguir nuestra clave, por lo tanto no usaremos esa encriptación, usaremos WPA2 si es posible con TKIP.
    Captura2
  • La contraseña, al final es lo que todo atacante busca por eso es una pieza clave, lo mejor es quitar la contraseña que viene por defecto en el router y utilizar una contraseña creada por nosotros que alterne letras y números y que no pueda ser atacada mediante diccionario, por ejemplo nos inventaremos una o varias palabras de unos 16 caracteres y las modificaremos con numeros y si queremos tambien cambiando su orden, por Ej:Nos inventaremos una frase de 16 caracteres, nosotros partimos de la clave: BLOGLOSTINTHENET  y  ahora podemos hacerla aún más segura intercalando números, por ejemplo: B1OGLO3TINTH3N3T esa clave sería suficiente para complicar mucho las cosas a un vecino gorrón o un atacante más experimentado.

SE DEBE DESACTIVAR WPS (una mejora si pero insegura).

En los últimos tiempos los router con encriptación WEP por defecto se están extinguiendo por su inseguridad y la mayoría ya viene con WPA por defecto PERO como la contraseña WPA suele ser larga y compleja (aunque insegura) y nosotros somos un poco reaceos (vaguetes) a escribirla casi todos los fabricantes de routers decidieron implementar el llamado sistema WPS para facilitar la conexión.

WPS es un sistema que traen los router para conectarse a la red sin clave pulsando un botón en el router y a su vez conectando el dispositivo, es muy cómodo pero también muy inseguro; Las encriptaciones WPA son bastante robustas asique si WPS está activado seguramente el atacante atacará al servicio WPS de nuestro router en vez de intentar conseguir la contraseña por tanto si queremos utilizarlo conectaremos los dispositivos que necesitemos y después procederemos a desactivarlo desde la página de configuración del router.

Captura3

OCULTAR EL NOMBRE DE LA RED (SSID)

Esta es una medida más para proteger nuestro wifi, podemos ocultar el nombre de nuestra red despues de conectar todos nuestros dispositivos para no perder comodidad, normalmente nadie ataca un objetivo que no ve (aunque un experto podría detectar la red) todos los router incluyen esta opción, recomendada!!

Ocultar SSID

Con eso ya estaríamos bastante seguros pero por ahora cualquier equipo que consiga la contraseña y el nombre de nuestra red podría conectarse por eso podemos añadir una capa más de seguridad llamada “Filtrado por MAC”.

FILTRADO POR MAC

Cada dispositivo con capacidad para conectarse a una red wifi tiene asignado un número único llamado MAC, todos, tanto los smartphones Android, como los Tablet, iPod, iPad, iPhone, SmartTV, Portatiles, MacBook, etc

En primer lugar tenemos que hacer un listado de las MAC de todos los dispositivos que queremos conectar a nuestro router, para saber la MAC de cada uno podemos hacerlo AQUÍ para un dispositivo Android (tablet o smarphone), en la web http://wiki.bandaancha.st/Averiguar_la_IP_del_router en las capturas podemos ver la MAC del PC en el campo Direccion física tenemos la MAC para los portátiles o PC Windows, y AQUÍ podemos ver como saber la MAC  asignada a un iPad, iPhone o iPod.

Después accederemos a la página de configuración del router, suele haber un apartado dentro de Wireless -> filtrado MAC o por ejempo en los router ASUS, el filtrado MAC se encuentra en Firewall pestaña Filtrado MAC

proteger red wifi

Lo que tenemos que hacer es una “lista blanca” pondremos el filtro a modo “Aceptar” para que acepte todas las MAC que introduzcamos, después introduciremos todas las MAC de nuestros dispositivos. Con esta configuración por defecto el router rechazará la conexión de todo dispositivo que no esté incluido en esta lista.

MEDIDA ADICIONAL: CAMBIAR CONTRASEÑA CONFIGURACION ROUTER

Por si acaso no fuera suficiente y alguien muy aplicado se colara en nuestra red podemos (y debemos) cambiar la configuración de acceso a la página de configuración de nuestro router, pues si alguien se cuenla en nuestra red y tenemos los accesos por defecto podría copiar nuestras MAC y nos complicaría mucho la vida tanto para detectarlo como para explusarlo.

CONCLUSIÓN:

Todas las medidas tomadas tienen sus debilidades y para TODAS existen técnicas que permiten saltarse los filtros, pero todas juntas componen una barrera de seguridad suficiente en la mayoría de los casos pero además voy a dar unos consejos para mejorar aún más la seguridad de nuestro red.

CONSEJOS

Además de estas medidas técnicas podemos seguir una serie de consejos para evitar que alguien utilice nuestra red aunque solo sea por “incomodidad”

  • Apagar el router siempre que no lo estemos utilizando, a medio día, por la noche, etc o también podemos conectarle un “reloj” que corte la conexión eléctrica y que el router se apague a ciertas horas, por ejemplo mientras estamos  en el trabajo, por la noche, etc.
    En los router nuevos ya viene esta opción, por ejemplo en los router ASUS encontramos esta opción en la seccion “Inalámbrico -> Profesional” aquí vemos una captura:
    Captura4
  • Apagar el router si vamos a estar unos dias fuera de nuestro domicilio o mejor (y para no dar pistas de que no estamos a los amigos de lo ajeno) dejar el router encendido pero quitarle el cable telefónico, la conexion al router estará disponible pero no proveerá internet.
  • Y por último vigilar regularmente que no hay nadie desconocido conectado como podemos aprender a hacer en ¿Cómo saber si me roban wifi?.
  • Procurar que el rango de nuestra red wifi se limite lo más posible a nuestro domicilio local u oficina, para eso debemos colocar el router lo mas centrado posible o sino modificar la direccion de la señal con antenas direccionales. ¿Si la señal no va más allá de nuestras paredes es más dificil que nos la roben no?