La mayoría de nosotros cuando contratamos una línea de ADSL o de fibra no solemos tocar para nada las configuraciones que trae el router, tal vez lo más que llegamos hacer es cambiar la contraseña que viene por defecto en el Wi-Fi. Además de cambiar dicha clave podemos hacer algo más para mejorar sustancialmente la seguridad de nuestra red Wi-Fi, que si bien trastear con el router no es de lo más sencillo tampoco es exclusivamente para  informáticos pirados o frikis tecnológicos.

Lo primero es saber la clave de acceso a nuestro router, en los últimos que está suministrando Movistar (más o menos todos funcionan igual aunque la interfaz gráfica si que varía más) viene una etiqueta en la parte de abajo con el nombre de la red Wi-Fi, la clave de esta red y la clave de acceso al router. Ya tenemos la clave, ahora en nuestro navegador escribimos en la barra de direcciones la IP 192.168.1.1 (en otros routers la IP es 192.168.0.1) y damos Intro para acceder a la pantalla de inicio del router que nos pide la clave.

router
Pantalla de inicio de los últimos router de movistar (MitraStar DSL-110HN-T1), fijaros en la flecha roja de arriba, esa es la barra de direcciones donde tenéis que escribir la dirección IP.

 

Una vez dentro lo primero que vemos son las configuraciones del Wi-Fi y os voy a mostrar los parámetros en los que la mayoría de los expertos de seguridad coinciden en que hay que realizar cambios y son: el identificador de red inalámbrica, la contraseña del Wi-Fi, el tipo de cifrado y la encriptación. El identificador de red es el nombre de la red Wi-Fi cuando lo buscamos con el móvil y si no lo cambiamos podemos dar pistas del tipo de router que tenemos y de nuestra operadora, a la hora de cambiarlo no usemos tampoco por ejemplo wificasa/oficina o pongamos nuestro nombre… no ayudemos a los posibles atacantes dando pistas, uno de los métodos que utilizan los hackers para recopilar información es la ingeniería social que consiste en aprovecharse de todos esos datos que vamos dejando despreocupadamente en nuestras redes sociales, fotos de perfiles, nombres de perfiles, correos, redes Wi-Fi.

La contraseña, esta debe ser lo más larga posible y utilizar letras (tanto minúsculas como mayúsculas), números y símbolos. Esto hace que para saltarse vuestra contraseña por ataques de fuerza bruta o de diccionario (es decir utilizando un programa que va buscando combinaciones de palabras y/o números) sea muy laborioso (vamos que necesite mucho tiempo). Una opción a tener en cuenta en este apartado es la utilización de una passphase (en vez de una palabra contraseña usamos una frase) que son más largas y suelen ser más fáciles de recordar pero ojo no pongáis algo muy conocido del tipo enunlugardelamancha.

El tipo de cifrado a utilizar es el WPA2-PSK que de momento es el más seguro (aunque el año pasado se detectó la vulnerabilidad KRACK que ya ha sido solventada en su mayoría con parches de seguridad) hasta que los fabricantes empiecen a implementar el recientemente creado WPA3 y finalizamos con la encriptación AES (superior a la otra opción TKIP) que utiliza un algoritmo para proteger los datos enviados o recibidos en nuestros dispositivos.

Sin título
Si no vamos a usar el Wi-Fi lo podemos deshabilitar en la primera casilla (Estado de la conexión inalámbrica), para que este cambio y cualquier otro que realicemos tenga efecto hay que clicar abajo en Aceptar.

 

Ahora veamos otras configuraciones que algunos recomiendan y otros no tanto principalmente porque son más fácil de vulnerar que las primeras que hemos visto (aunque cuanto más seguridad mejor, todo depende de las ganas de liarnos con el router) y estas son el filtrado Mac y la deshabilitación del DHCP. El primero consiste en crear una lista con las Mac (una especie de matricula) de nuestros dispositivos y si alguien intenta conectarse, aunque conozca la clave, si el router no lo ve en la lista no lo autoriza (en este articulo explico como obtener dicha Mac).

fff
Fijaros en la primera opción Acción, hay que poner Permitir para que solo el dispositivo con la Mac 1C:1B:0D etc,etc,etc utilice el Wi-Fi, también podemos denegarle el acceso. Y no os olvidéis de validar cualquier cambio en Aceptar.

 

El DHCP, que por defecto viene habilitado, hace que nuestro router asigne a todo los aparatos conectados a nuestra red local, y que conozcan nuestra contraseña, una dirección IP (que sirve para que el router identifique a los diferentes dispositivos conectados a la red). La red local, o LAN, es la que forma todos nuestros cacharritos (ordenador, tablet, móvil, smartTV…) en nuestra casa o negocio y que utilizan el router para “salir” a Internet. Si deshabilitamos el DHCP la asignación de las IP la tenemos que hacer nosotros manualmente en cada aparato (ya, un jaleo). La ventaja de esto es que si alguien consigue burlar el password, el router no le asigna IP y no tendrá acceso a internet. La gracia de esto es que cambiemos el rango de IP que viene por defecto claro, sino es tontería deshabilitar el DHCP.

Aclaro un poco esto del rango de IP, las que usamos en nuestra casa/pequeño negocio son clase “C” que dan para albergar a 254 dispositivos y el rango de IP que se puede utilizar van desde la 192.0.0.0 hasta la 223.255.255.255 con una máscara de subred 255.255.255.0 (acordaos que hará falta este dato para configurar la direcciones IP manualmente), aunque por defecto las operadoras utilizan la IP 192.168.1.1 o 192.168.0.1 (router). Entonces si deshabilitamos el DHCP lo conveniente es cambiar el rango (de 192.168.1.1 a 200.153.80.100 por ejemplo) para dificultar que encuentren nuestra IP. Precaución con las IP que asignamos pues la mascara de subred (255.255.255.0) nos está indicando que el único número que podemos variar son los que están por encima de la puerta de enlace (ya el conejo me risco la perra)…

jjj

 

Me explico, en la imagen anterior vemos arriba del todo DIRECCIÓN GETAWAY, que es la puerta de enlace (nuestro router). Ahí tenemos que asignarle una dirección IP dentro del rango posible para las de clase “C” que son las nuestras (recordar desde la 192.0.0.0 a la 223.255.255.255), ahora el resto de direcciones que asignemos tienen que ser superior a la de la puerta de enlace solo variando los últimos tres números. Por ejemplo tomando la IP de la imagen anterior las siguientes disponibles son todas las que estén por encima de 100, es decir la 200.153.80.101, la 200.153.80.102, la 200.153.80.103 y así hasta el límite superior 200.153.80.255 (aunque esta última no se suele asignar).

2018-02-01 18_30_33-Greenshot
Cambio IP en Windows 10.
Screenshot_20180208-174109
Cambio de IP en Android (EMUI 5).
Screenshot_20180208-174043
Estas DNS (que sirven para localizar las web que solemos visitar) son las de Movistar, consulta las de tu operadora o deja las de Google (8.8.8.8 y 8.8.4.4).

 

Y ya para terminar con todo este jaleo de IP, MAC, WPA, AES, DHCP, DNS etc dos cositas rápidamente (que ya es tarde), primero: procurar cambiar también la clave de acceso al router…

cbc

 

En segundo lugar no habilitéis el WPS, que es una forma rápida de vincular el smartphone, la tablet, el portátil, etc al Wi-Fi del router mediante un botoncito en la parte de atrás de este último (a veces pide un PIN); es de lo más fácil de asaltar por parte de un hacker.