Cómo proteger su red doméstica

¿Cómo se utilizan los enrutadores en su red doméstica?

Los routers domésticos se han convertido en una parte integral de nuestra huella de las comunicaciones globales ya que el uso de Internet ha crecido para incluir las empresas en el hogar, teletrabajo, trabajo escolar, redes sociales, entretenimiento y gestión financiera personal.

Los routers facilitan esta conectividad ampliada. La mayoría de estos dispositivos están preconfigurados en fábrica y están preparados para Internet para su uso inmediato.

Después de instalar routers, los usuarios a menudo se conectan inmediatamente a Internet sin realizar ninguna configuración adicional. Los usuarios pueden no estar dispuestos a agregar salvaguardas de configuración porque la configuración parece demasiado difícil o los usuarios son reacios a pasar el tiempo con la configuración avanzada.
Desafortunadamente, la configuración predeterminada de la mayoría de routers domésticos ofrece poca seguridad y deja a las redes domésticas vulnerables al ataque. Las pequeñas empresas y organizaciones a menudo utilizan estos mismos enrutadores domésticos para conectarse a Internet sin implementar precauciones de seguridad adicionales y exponer a sus organizaciones a atacar.

¿Por qué proteger su enrutador doméstico?

Los enrutadores domésticos son accesibles directamente desde Internet, son fácilmente detectables, suelen estar continuamente encendidos y frecuentemente son vulnerables debido a su configuración predeterminada.

Estas características ofrecen a un intruso el objetivo perfecto para obtener datos personales o empresariales de un usuario. Las características inalámbricas incorporadas en muchos de estos dispositivos agregan otro objetivo vulnerable.

¿Cómo puede evitar el acceso no autorizado a su red doméstica?

Los pasos preventivos enumerados a continuación están diseñados para aumentar la seguridad de los routers domésticos y reducir la vulnerabilidad de la red interna contra ataques de fuentes externas.

Cambie el nombre de usuario y la contraseña predeterminados : Estos nombres de usuario y contraseñas predeterminados están disponibles en diferentes publicaciones y son bien conocidos por los atacantes; Por lo tanto, deben cambiarse inmediatamente durante la instalación inicial del enrutador.

Lo mejor es utilizar una contraseña segura, que conste de letras, números y caracteres especiales que suman al menos 14 caracteres. Los fabricantes establecen nombres de usuario y contraseñas predeterminados para estos dispositivos en la fábrica para su comodidad en la solución de problemas.

Además, cambie las contraseñas cada 30 a 90 días.

Cambiar el SSID predeterminado: Un identificador de conjunto de servicios (SSID) es un nombre único que identifica una red de área local inalámbrica en particular (WLAN).

Todos los dispositivos inalámbricos de una WLAN deben utilizar el mismo SSID para comunicarse entre sí. Los fabricantes establecen un SSID predeterminado de fábrica, y este SSID normalmente identifica al fabricante o al dispositivo real.

Un atacante puede usar el SSID predeterminado para identificar el dispositivo y explotar cualquiera de sus vulnerabilidades conocidas.

Los usuarios a veces establecen el SSID con un nombre que revela su organización, su ubicación o su propio nombre.

Esta información facilita que el atacante identifique la red comercial o doméstica específica basada en un SSID que muestra explícitamente el nombre de la organización, la ubicación de la organización o el nombre propio de una persona. Por ejemplo, un SSID que difunde un nombre de empresa es un objetivo más atractivo que una difusión SSID “ABC123”.

El uso de SSID predeterminados o bien conocidos también hace que los ataques de fuerza bruta contra las claves WPA2 sean más fáciles.

Al elegir un SSID, haga el SSID único y no atado a su identidad personal o de negocio.
No permanezca conectado al sitio web de administración de su enrutador: Los routers generalmente proporcionan un sitio web para que los usuarios configuren y administren el enrutador. No permanezca conectado a este sitio web, como defensa contra ataques de falsificación de solicitudes cruzadas (CSRF).

En este contexto, un ataque CSRF transmitiría comandos no autorizados de un atacante al sitio web de administración del enrutador.
Configurar Wi-Fi Protected Access 2 (WPA2) – Estándar de cifrado avanzado (AES) para la confidencialidad de los datos : Algunos routers domésticos siguen utilizando WEP (Wired Equivalent Privacy), que no se recomienda. De hecho, si su enrutador o dispositivo sólo admite WEP, pero no otros estándares de cifrado, debe actualizar su dispositivo de red. [1]

Un estándar más reciente, WPA2-AES, encripta la comunicación entre el enrutador inalámbrico y el dispositivo de computación inalámbrico, proporcionando autenticación y autorización más fuertes entre los dispositivos.

WPA2 incorpora el cifrado AES (Advanced Encryption Standard) de 128 bits que es recomendado por el Instituto Nacional de Estándares y Tecnología (NIST). WPA2 con AES es la configuración de enrutador más segura para uso doméstico.
Inhabilitar inmediatamente WPS: Wi-Fi Protected Setup (WPS) proporciona mecanismos simplificados para configurar redes inalámbricas moderadamente seguras.

Una falla de diseño que existe en la especificación de WPS para la autenticación de PIN reduce significativamente el tiempo requerido para la fuerza bruta de todo el PIN, ya que permite a un atacante saber cuándo la primera mitad del PIN de 8 dígitos es correcta.

La falta de una política de bloqueo adecuada después de un cierto número de intentos fallidos de adivinar el PIN de muchos enrutadores inalámbricos hace que un ataque de fuerza bruta tenga más probabilidades de ocurrir.
Limitar las emisiones de la señal WLAN: las señales WLAN frecuentemente se transmiten más allá de los perímetros de su hogar u organización. Esta emisión extendida permite escuchas por intrusos fuera del perímetro de su red.

Por lo tanto, es importante considerar la colocación de la antena, el tipo de antena y los niveles de potencia de transmisión.

Las redes de área local (LAN) son inherentemente más seguras que las WLAN porque están protegidas por la estructura física en la que residen. Limite el área de cobertura de difusión cuando proteja su WLAN.

Una antena omnidireccional ubicada en el centro es el tipo más común usado. Si es posible, utilice una antena direccional para restringir la cobertura WLAN sólo a las áreas necesarias.

Experimentar con los niveles de transmisión y la intensidad de la señal también le permitirá controlar mejor la cobertura WLAN.

Tenga en cuenta que una antena sensible puede captar señales de más lejos de lo esperado, un atacante motivado puede todavía ser capaz de alcanzar un punto de acceso que tiene cobertura limitada.
Apague la red cuando no esté en uso: Aunque puede resultar poco práctico encender y apagar los dispositivos con frecuencia, considere este enfoque durante los períodos de viaje o fuera de línea extendidos.

Lo último en medidas de seguridad inalámbrica -conectar la red- evitará definitivamente que los atacantes externos puedan explotar su WLAN.
Deshabilitar UPnP cuando no es necesario : Universal Plug and Play (UPnP) es una característica práctica que permite a los dispositivos en red descubrir y establecer comunicación entre sí en la red.

Aunque la característica UPnP facilita la configuración inicial de red, también es un riesgo para la seguridad. Por ejemplo, el malware dentro de su red podría usar UPnP para abrir un agujero en el firewall de su enrutador para permitir que los intrusos ingresar.

Por lo tanto, deshabilite UPnP a menos que tenga una necesidad específica para ello.
Actualización del Firmware : Al igual que el software de sus computadoras, el firmware del enrutador (el software que lo opera) debe tener actualizaciones y parches actuales.

Muchas de las actualizaciones tratan las vulnerabilidades de seguridad que podrían afectar a la red. Al considerar un enrutador, consulte el sitio web del fabricante para ver si el sitio web proporciona actualizaciones para abordar las vulnerabilidades de seguridad.
Deshabilitar la administración remota: deshabilite esto para evitar que los intrusos establezcan una conexión con el enrutador y su configuración a través de la interfaz de red de área extensa (WAN).

Monitor para conexiones de dispositivos desconocidas: utilice el sitio web de administración de su enrutador para determinar si se han unido o intentado unirse a su red dispositivos no autorizados.

Si se identifica un dispositivo desconocido, se puede aplicar una regla de filtrado de control de acceso a medios o firewall (MAC) en el enrutador.

Para obtener más información sobre cómo aplicar estas reglas, consulte la literatura suministrada por el fabricante o el sitio web del fabricante.
[1] Si debe usar WEP, debe configurarse con la opción de clave de 128 bits y la clave precompartida más larga que el administrador del enrutador puede administrar. Tenga en cuenta que WEP en su versión más fuerte todavía es fácilmente de hackear,

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.