Configuración segura de routers: guía completa y práctica

Informatec Digital » Recursos » Configuración segura de routers: guía completa y práctica

Si alguna vez has pensado que tu WiFi de casa está “bien porque funciona” pero nunca te has parado a mirar la configuración del router, tienes un riesgo de seguridad justo en el centro del salón. El router es la puerta de entrada a Internet de todos tus dispositivos: ordenadores, móviles, Smart TV, cámaras IP, altavoces inteligentes… si esa puerta está mal cerrada, cualquiera puede colarse.

Más allá de que un vecino se conecte “de estrangis” a tu red, un router mal configurado puede permitir que intercepten tus comunicaciones, roben datos personales o usen tu conexión para cometer delitos. La buena noticia es que no hace falta ser administrador de sistemas para dejarlo mucho más seguro: con unos cuantos ajustes bien pensados puedes blindar bastante tu red doméstica o de pequeña oficina.

Por qué es tan importante asegurar la configuración del router

El router actúa como un portero entre tu red privada y el exterior: decide qué entra, qué sale y quién se conecta. Igual que no dejarías la puerta de casa abierta, tampoco tiene sentido dejar el router con todo “de fábrica” y sin revisar. Casi todos los equipos vienen con parámetros genéricos pensados para que se conecten rápido, no para que sean lo más seguros posible.

No solo hablamos de la red WiFi. También entran en juego la configuración del cortafuegos, el cifrado inalámbrico, el sistema de asignación de IP (DHCP), la traducción de direcciones (NAT), los puertos abiertos y un largo etcétera. Cada ajuste mal puesto es una rendija más por donde un atacante puede curiosear o colarse.

Además, los routers son aparatos que se quedan encendidos casi 24/7, muchas veces durante años, sin que nadie los toque. Eso significa que, si no los actualizas, acumulan vulnerabilidades conocidas que los ciberdelincuentes saben explotar. Igual que actualizas el móvil o el PC, el router también necesita su mantenimiento.

Por si fuera poco, un router comprometido no solo afecta al rendimiento. Puede ser usado como parte de una botnet, realizar ataques DDoS, manipular el DNS para enviarte a webs falsas de bancos o redes sociales, o permitir ataques de tipo man in the middle sobre tus comunicaciones.

En resumen: proteger el router es proteger tu red, tus dispositivos y, en muchas ocasiones, tu propia identidad digital y tu bolsillo. Merece la pena dedicarle un rato.

Riesgos de un router mal configurado

Cuando la configuración del router se deja como viene de fábrica o se toca “a lo loco”, los problemas van mucho más allá de una conexión lenta. Los principales ciber riesgos se pueden agrupar en varias categorías que conviene tener muy presentes.

Uno de los efectos más inmediatos es el acceso no autorizado a la red. Un intruso que logra conectarse a tu WiFi puede consumir tu ancho de banda, saturar la red y provocar cortes o una gran caída de velocidad. Esto, aunque molesto, es casi el menor de los problemas.

Mucho más delicado es el robo de la información que circula por la red. Un router mal asegurado puede facilitar que alguien intercepte tráfico, haga sniffing o supervise qué páginas visitas, qué servicios usas e incluso robe credenciales y datos sensibles, sobre todo si accedes a sitios sin cifrado suficiente o usas protocolos inseguros.

Si el atacante consigue comprometer de verdad el router, puede tomar control de la propia red local, llegando a acceder a archivos compartidos, cámaras, micrófonos o sistemas de almacenamiento conectados. Desde ahí es posible espiar, geolocalizar dispositivos, extraer fotos o documentos, o incluso bloquearlos con malware.

Otro escenario preocupante es el famoso secuestro de DNS. Un atacante modifica los servidores DNS configurados en el router para que, cuando tecleas la URL de tu banca online o de una red social, en lugar del sitio legítimo acabes en una copia falsa diseñada para robarte usuario y contraseña. A tus ojos “todo parece normal”, pero en realidad estás hablando con el ciberdelincuente.

No hay que olvidar el riesgo legal: si alguien usa tu conexión para enviar spam masivo, lanzar ataques de denegación de servicio (DoS/DDoS) o descargar contenido ilícito, la dirección IP que va a quedar registrada es la de tu router. Demostrar que no fuiste tú puede ser un auténtico quebradero de cabeza.

Por último, muchas campañas de malware buscan routers vulnerables para convertirlos en bots. Una vez infectado, tu equipo puede triturar tu rendimiento mientras participa en ataques coordinados, y todo esto sin que notes nada claro más allá de una conexión errática.

Antes de tocar nada: acceso y copia de seguridad de la configuración

Antes de lanzarte a cambiar ajustes conviene hacer las cosas con un mínimo de orden. Lo primero es acceder al panel del router de forma segura y, si es posible, guardar una copia de la configuración actual por si hay que dar marcha atrás.

Lo ideal, si estás cerca físicamente del router, es conectar el ordenador por cable Ethernet. Una conexión cableada evita interferencias y reduce el riesgo de que te conectes, por error, a una WiFi pública o ajena mientras tocas ajustes sensibles. Si no te queda otra que usar WiFi, asegúrate de que estás en tu propia red.

En la mayoría de casos, el acceso al router se hace tecleando en el navegador una dirección tipo 192.168.1.1 o 192.168.0.1. Esa información suele venir en una pegatina en la parte inferior o trasera del aparato, junto con el usuario y contraseña de administración por defecto.

Si no tienes la pegatina o el manual, puedes buscar en Internet el modelo exacto de tu router (a menudo suministrado por tu operadora: Movistar, Orange, Vodafone, Jazztel, etc.) y consultar la guía oficial. En muchos modelos antiguos las credenciales predefinidas son combinaciones como admin/admin, admin/1234 o similares, algo que obviamente hay que cambiar cuanto antes.

Una vez dentro del panel de gestión, localiza la opción de exportar o guardar la configuración actual. No todos los routers lo permiten, pero si el tuyo tiene la opción, úsala. Así puedes restaurar el estado previo si alguna prueba sale mal o si cambias algo que te deja sin conexión.

Actualizar el firmware: primer paso para cerrar agujeros

Los fabricantes y las propias operadoras van publicando nuevas versiones del firmware para añadir funciones, mejorar el rendimiento y cerrar fallos que podrían ser explotados por atacantes. Si llevas años con el mismo router y nunca lo has actualizado, es bastante probable que estés expuesto a bugs ya documentados.

Dependiendo del modelo, el proceso de actualización puede ser automático o manual. Muchos routers modernos tienen una opción del tipo “buscar actualizaciones” dentro del menú de administración, o incluso una app móvil desde la que comprobar y lanzar el update. En otros, tendrás que descargar el archivo desde la web oficial y subirlo a mano desde el panel.

En routers de operadora, a menudo las actualizaciones se empujan de forma remota, normalmente de madrugada, lo que se nota porque el equipo se reinicia solo de vez en cuando. Aun así, conviene entrar en el panel y comprobar qué versión de firmware tienes instalada y si coincide con la última que aparece documentada para tu modelo.

Mientras haces este proceso, asegúrate de que tus dispositivos (PC, móvil, tablet) también están al día, ya que muchos problemas de compatibilidad o seguridad WiFi se reducen simplemente manteniendo actualizado tanto el router como los equipos que se conectan a él.

Seguridad WiFi: nombre de la red, cifrado y contraseña

El siguiente gran bloque es la seguridad de la red inalámbrica. Aquí entran tres elementos clave: el nombre de la red (SSID), el método de cifrado y la contraseña WiFi. Juntos determinan lo fácil o difícil que será para un tercero intentar colarse.

Empezando por el nombre de la red, evitar los SSID por defecto es una buena idea. Muchos routers vienen con identificadores tipo MOVISTAR_XXXX, JAZZTEL_1234, Livebox-ABCD, etc. Esto da pistas sobre el modelo y la operadora, lo que facilita al atacante buscar las credenciales genéricas o explotar fallos específicos. Cambia el SSID por algo que no te identifique ni revele la marca del equipo ni tu ubicación.

En cuanto al cifrado, lo recomendable hoy en día es usar WPA3-Personal siempre que tu router y tus dispositivos lo soporten. Es el estándar más moderno y robusto. Si no aparece esa opción, configura al menos WPA2-Personal (AES). Evita a toda costa WEP, WPA antiguo o modos mixtos tipo WPA/WPA2 con TKIP, ya que son inseguros y, en algunos casos, hasta reducen el rendimiento.

La contraseña del WiFi debe ser fuerte y única. Nada de usar tu nombre, el de tu perro o “Madrid2024”. Lo ideal es crear una clave larga que mezcle mayúsculas, minúsculas, números y símbolos, sin relación directa con tu nombre de red ni con datos personales. Un gestor de contraseñas te puede facilitar mucho esta tarea.

Si tu proveedor te entregó el router con una clave aleatoria impresa en la pegatina, puede ser aceptable como punto de partida, pero aun así es recomendable cambiarla por una que controles tú y que no sea fácilmente deducible a partir del propio SSID. Y si en algún momento olvidas la password, siempre podrás resetear el router al estado de fábrica, sabiendo que luego toca reconfigurarlo todo.

Respecto a ocultar el SSID, conviene tener algo claro: no aporta prácticamente seguridad real. Las redes “ocultas” siguen emitiendo y pueden descubrirse con herramientas básicas de análisis WiFi, y encima obligan a tus dispositivos a ir “gritando” su nombre por ahí, lo que puede empeorar tu privacidad. Es mejor dejarlo visible y centrarse en un buen cifrado y una contraseña robusta.

Ajustes de seguridad recomendados por los fabricantes y Apple

Algunos fabricantes, y en particular Apple para su ecosistema, publican guías bastante claras sobre qué parámetros conviene usar para evitar avisos de “red insegura” o “seguridad débil”. Aplicar estos criterios suele mejorar tanto la seguridad como la estabilidad de la conexión.

En lo que respecta a la seguridad inalámbrica, las recomendaciones pasan por usar WPA3-Personal cuando sea posible, o bien un modo WPA2/WPA3 Transicional si tienes mezcla de equipos modernos y antiguos. Si ninguno de los dos está disponible, la opción mínima aceptable es WPA2-Personal con cifrado AES.

Se desaconseja completamente usar protocolos viejos como WPA solo, WEP (ni siquiera en variantes “dinámicas” con 802.1X) o cualquier configuración que incluya TKIP en el nombre del cifrado. Estas opciones no solo son vulnerables, también pueden provocar problemas de rendimiento y alertas constantes en dispositivos más nuevos.

También se recomienda que todas las bandas de un mismo router (2,4 GHz, 5 GHz y, si aplica, 6 GHz) compartan el mismo SSID cuando se trata de una red doméstica típica. Poner nombres diferentes a cada banda puede provocar que los equipos no se conecten correctamente o salten de una a otra sin criterio, algo especialmente problemático con dispositivos móviles.

Otro punto que genera avisos en iPhone, iPad o Mac es el bloqueo de DNS cifrado. Si tu router o tu proveedor no permiten DNS sobre HTTPS o DNS sobre TLS, algunos sistemas mostrarán advertencias. En esos casos, actualizar firmware, revisar la configuración de seguridad recomendada y, si es necesario, hablar con tu proveedor de Internet o cambiar a un DNS público más moderno suele ser la salida.

En cuanto a los servicios del sistema, Apple insiste en que la localización esté activada para redes inalámbricas en sus dispositivos, ya que las normativas de cada país limitan canales y potencia de emisión. Si desactivas completamente los servicios de localización relacionados con WiFi, puedes tener problemas para ver redes cercanas, usar AirDrop, AirPlay o conectar a puntos de acceso de forma estable.

Administración del router: contraseña de administrador, acceso remoto y WPS

Una de las configuraciones más críticas, y que mucha gente olvida, es la contraseña de administración del router. Esa clave no es la del WiFi, sino la que se utiliza para entrar al panel de control. Dejarla con los valores por defecto es prácticamente invitar a que cualquiera la pruebe.

Normalmente, al acceder por primera vez ves usuarios tipo admin, 1234 o incluso en blanco. Lo primero que debes hacer, una vez dentro, es ir a la sección de “Administración”, “Seguridad” o “Configuración avanzada” y cambiar la contraseña de administrador por otra fuerte y única. Si el router lo permite, cambia también el usuario, no dejes el típico “admin”.

Muy relacionado con esto está el acceso remoto a la consola. Algunos modelos permiten gestionar el router desde fuera de la red local, a través de Internet. Es cómodo si administras muchas instalaciones o necesitas entrar desde el trabajo, pero para un hogar es, por lo general, un riesgo innecesario.

Si no tienes una necesidad muy concreta, deshabilita la administración remota. En muchos routers, si quieres bloquearla del todo, puedes indicar como IP de gestión 0.0.0.0 o 255.255.255.255, o simplemente desmarcar la casilla de “administración remota” en el menú de seguridad. Cuantas menos puertas expongas a Internet, mejor.

Otro punto delicado es el Wi-Fi Protected Setup (WPS). Esta función se inventó para facilitar la conexión de nuevos dispositivos, bien pulsando un botón físico, bien introduciendo un PIN de 8 dígitos. El problema es que ese PIN puede atacarse por fuerza bruta y reducir drásticamente la seguridad del cifrado WPA2.

Siempre que tengas opción, entra en el menú WPS de tu router y desactívalo. Es cierto que conectar un nuevo equipo te llevará un poco más (tendrás que teclear la contraseña), pero el riesgo que supone un WPS activo no compensa la supuesta comodidad. Si necesitas conectar repetidores o PLC, lo haces una vez y listo.

Firewall, NAT, puertos y UPnP: controlar qué entra y sale

Detrás de la parte “amigable” del router hay un conjunto de funciones de red que determinan cómo se habla con Internet. Las más importantes aquí son el cortafuegos (firewall), la traducción de direcciones de red (NAT), la gestión de puertos y servicios como UPnP.

Casi todos los routers actuales incluyen un firewall integrado capaz de filtrar tráfico entrante y saliente en función de reglas de seguridad. Es recomendable tenerlo activado, y solo abrir puertos concretos si realmente lo necesitas para juegos online, servidores caseros, cámaras IP u otros servicios específicos.

La NAT es la función que traduce direcciones IP privadas de tu red interna a la IP pública que te asigna el proveedor. Lo normal es que solo el router haga esta traducción. Si tienes NAT activa en más de un dispositivo (por ejemplo, en un módem y luego en un router adicional), puedes encontrarte con el famoso problema de “doble NAT” — para evitarlo consulta cómo conectar dos routers correctamente.

Cuando se habla de abrir o cerrar puertos, se trata de indicar qué tipos de conexiones entrantes permites desde Internet hacia tu red. El router dispone de 65.536 puertos teóricos; por defecto, la mayoría están cerrados. Solo deberías abrir los puertos estrictamente necesarios y cerrarlos cuando ya no se usen, porque un puerto abierto sin uso es una invitación a ser explorado por atacantes. Si no estás seguro, sigue una guía para abrir puertos en el router de forma segura.

UPnP (Universal Plug and Play) es otra comodidad peligrosa. Permite que aplicaciones y dispositivos en tu red local abran y cierren puertos automáticamente en el router, sin que tú tengas que configurar nada. Suena bien, pero si un malware se instala en tu PC o consola, puede usar UPnP para abrirse hueco hacia Internet sin que te enteres. Mucha gente prefiere desactivar UPnP y gestionar manualmente los puertos que necesitan.

Algunos routers también ofrecen “host DMZ”: básicamente, indicar una IP interna que queda más expuesta (menos filtrada) hacia el exterior. Es una función que solo tiene sentido en escenarios muy concretos y controlados. En un entorno doméstico estándar es mucho más seguro no usar DMZ en absoluto.

DHCP, DNS y otros ajustes de red a vigilar

Más allá de la parte inalámbrica, hay ajustes de red que conviene revisar para evitar conflictos y para reducir la superficie de ataque. Los principales son el servidor DHCP, la configuración DNS y algunos parámetros como los modos de radio o el ancho de canal.

El servidor DHCP del router es el encargado de asignar direcciones IP internas a cada dispositivo que se conecta. Lo normal es que solo exista un servidor DHCP en la red. Si por error activas DHCP también en otro dispositivo (por ejemplo, un segundo router en modo erróneo), puedes tener conflictos de IP que se traducen en equipos que no pueden navegar o recursos que dejan de verse.

El tiempo de concesión DHCP (lease time) indica cuánto tiempo queda reservada una IP para un aparato concreto. Si tienes muchísimos dispositivos conectándose y desconectándose, puede venirte bien reducir un poco ese tiempo para que las direcciones se reciclen más rápido. En una casa normal, con valores por defecto suele ser suficiente.

Respecto a DNS, por lo general el router usa los servidores de tu proveedor de Internet y los distribuye a los clientes. Puedes cambiar los DNS en el router si quieres usar DNS públicos más rápidos o que soporten mejor el cifrado de consultas. Pero ojo: si configuras un DNS que no soporte DNS cifrado y tus dispositivos esperan esa función, pueden aparecer advertencias de privacidad.

En cuanto a los modos de radio WiFi (802.11n, ac, ax, etc.) y las bandas (2,4 GHz, 5 GHz, 6 GHz), suele ser buena idea mantener todos los modos compatibles habilitados, de forma que cada dispositivo use el más moderno que admita. Eso sí, en la banda de 2,4 GHz es recomendable fijar el ancho de canal en 20 MHz para reducir interferencias con Bluetooth y otras redes vecinas.

En bandas de 5 GHz y 6 GHz, puedes permitir anchos mayores y selección automática de canal, para aprovechar mejor la capacidad de datos. Si tu router no gestiona bien la elección automática, puedes probar manualmente diferentes canales y quedarte con el que dé menos interferencias y más estabilidad, sobre todo si vives en un edificio lleno de redes cercanas.

Filtrado MAC, aislamiento de clientes y listas blancas/negras

Muchos routers incluyen funciones adicionales de control de acceso, como el filtrado por dirección MAC, el aislamiento de clientes WiFi o las llamadas listas blancas y negras. Aunque tienen su utilidad, conviene entender sus límites para no confiarse en exceso.

La dirección MAC es un identificador único de la tarjeta de red de cada dispositivo. El filtrado MAC permite decir “estos aparatos sí se conectan, estos no”. Sobre el papel suena a control total, pero la realidad es que cualquier atacante medianamente hábil puede falsificar (spoofear) una MAC autorizada, de modo que este mecanismo no debe usarse como única barrera de seguridad.

Las listas blancas (permitir solo determinados dispositivos) y listas negras (bloquear algunos concretos) pueden servir como capa adicional para expulsar aparatos indeseados que hayas detectado en la red, o para limitar quién se conecta en entornos donde tú controlas todo el hardware. Pero siempre junto a un buen cifrado y contraseñas robustas.

El aislamiento de clientes WiFi (a veces llamado “AP isolation” o “Client isolation”) impide que los dispositivos conectados a la misma red inalámbrica se vean entre sí. Esto es especialmente interesante en redes de invitados o zonas públicas, donde no quieres que el portátil de un cliente pueda escanear el móvil de otro.

Activar este aislamiento en la red de invitados de tu casa reduce el riesgo de que una visita con un portátil infectado pueda atacar a tus otros dispositivos. Eso sí, en la red principal quizá no te interese si dependes de compartir archivos, usar impresoras de red o reproducir contenido en televisores inteligentes.

En definitiva, estas funciones son herramientas útiles dentro de una estrategia global: no sustituyen al cifrado moderno ni a las buenas contraseñas, pero ayudan a afinar quién se conecta y cómo pueden interactuar unos equipos con otros.

Red de invitados, control de acceso y uso responsable

Una de las mejores prácticas para mantener tu red limpia y ordenada es separar el tráfico de tus dispositivos principales del de visitas, aparatos menos confiables o cacharros de domótica. Para eso están las redes WiFi de invitados, que casi todos los routers modernos permiten crear.

La idea es sencilla: en el menú del router habilitas una segunda red inalámbrica, con su propio nombre y contraseña, y especificas si tendrá acceso a otros equipos de tu red interna o solo a Internet. Lo más prudente es que los invitados solo puedan salir a la Red y no ver tus ordenadores, NAS o impresoras.

Esta red de invitados es perfecta para cuando viene gente a casa, para niños o adolescentes que no controlan demasiado lo que descargan, y para dispositivos “baratos” de IoT que no te inspiran demasiada confianza, como bombillas inteligentes, enchufes WiFi o cámaras de marcas poco conocidas. Si alguno de ellos se ve comprometido, el daño potencial queda bastante acotado.

Algunos routers permiten además limitar el ancho de banda o filtrar ciertos contenidos en la red de invitados. Así puedes evitar que alguien acapare toda la conexión descargando a lo loco o bloquear webs poco apropiadas para menores. Configurar estas restricciones suele estar dentro de las opciones de control parental o QoS.

Otra buena costumbre es cambiar la contraseña del WiFi (o de la red de invitados) de vez en cuando, especialmente si la has compartido con mucha gente. No hace falta obsesionarse, pero un cambio periódico reduce el riesgo de que una clave antigua acabe filtrada o anotada en algún sitio poco seguro.

Por último, recuerda que el router no es indestructible ni infalible. Si no vas a usarlo durante días (viajes largos, vacaciones, etc.), apagarlo elimina de golpe la superficie de ataque, además de ahorrar un poco de energía. Es la “medida de seguridad absoluta”: lo que está apagado no se puede hackear.

Supervisión, mantenimiento y hábitos de ciberseguridad

Dejar el router bien configurado una vez es importante, pero la seguridad no es algo estático. Con el tiempo, aparecen nuevas vulnerabilidades, añades aparatos, cambian tus hábitos… por eso viene bien revisar periódicamente ciertos aspectos y adoptar buenos hábitos de uso.

Cada cierto tiempo (por ejemplo, una vez al mes) entra en el panel del router y revisa la lista de dispositivos conectados, tanto por cable como por WiFi. Si ves nombres o direcciones MAC que no reconoces, puede que tengas intrusos en la red. En ese caso, cambia inmediatamente la contraseña WiFi, evalúa activar filtrado MAC y revisa otros ajustes de seguridad.

Existen aplicaciones y herramientas de escaneo de red que pueden ayudarte a crear un inventario de tus dispositivos, detectar puertos abiertos y alertar de posibles vulnerabilidades. Muchos routers modernos incluso integran funciones de “análisis de seguridad” que revisan su propia configuración y la de los equipos conectados.

No olvides que, aunque el router esté blindado, un dispositivo desactualizado o infectado es una puerta de entrada igual de peligrosa. Mantén todos tus sistemas operativos, navegadores y aplicaciones al día, y usa soluciones de seguridad fiables en ordenadores y móviles.

Si te preocupa especialmente la privacidad cuando navegas, plantearte una VPN instalada directamente en el router puede ser interesante. De esta forma, todo el tráfico que sale de tu red pasa por un túnel cifrado hacia el proveedor de VPN. Eso sí, hay que configurarlo bien y tener en cuenta que puede afectar al rendimiento.

En definitiva, la clave está en combinar una buena configuración inicial con un mínimo de vigilancia y actualizaciones. No hace falta ser un experto para mantener un nivel de seguridad muy digno si dedicas un rato a entender los conceptos básicos y no dejas el router abandonado a su suerte durante años.

Dedicar algo de tiempo a revisar el firmware, ajustar el cifrado WiFi, cambiar contraseñas por defecto, desactivar accesos innecesarios como WPS o administración remota y aprovechar funciones como las redes de invitados o el firewall integrado convierte un router “del montón” en un guardián mucho más fiable de tu conexión, tus dispositivos y tu información personal.