I N T R O : Leé esos párrafos para que tengas una idea de que se trara el post
Primero que nada, para los denunciadores compulsivos, este texto me pertenece, soy el autor, nada de lo aquí dicho está sacado de otro lugar más que de mi experiencia. Así que no pidan Fuente.
Te aclaro que si no te gusta leer esté no es tu post.
También te comento que no explico en profundidad cada concepto sino que te doy una introducción de los puntos claves de la seguridad de tu red WiFi.
Si esperas encontrar un post lleno de imágenes, éste tampoco es tu post.
Este post lo hago con la finalidad de explicar de forma simple como hacer para que sea casi imposible que te roben señal de tu router WiFI. Si bien se encuentran muchos posts con la misma finalidad, en ninguno encontré la totalidad de estrategias descritas aquí, dado que siempre dejan algo importante sin mencionar, por lo que “modestia aparte” diría que este post es la “Biblia de la seguridad WI-FI para el usuario doméstico".
Te cuento que el enfoque que tomé es desde el punto de vista del atacante, por lo que te voy a ir contando cómo evitar que encuentren tu contraseña, es decir te cuento como me harías la tarea más dificil si yo fuera el atacante y tu la victima.
La Contraseña:
La contraseña no debe ser nada que esté relacionado con nuestras vidas ni la de nuestros seres queridos o moradores de nuestro hogar, entonces descartamos lo siguiente: Nombre, fechas, direcciones, calles, nombre de la mascota, apellidos, sobrenombres, etc. De más está decir que tampoco debes usar combinaciones del teclado y menos números consecutivos o combinaciones del pad numérico como por ejemplo: 1q2w3e4r5t6y o 1qaz2wsx3edc., o 1593572846.
Para que la contraseña sea efectiva debe contener números, letras mayúsculas, letras minúsculas y símbolos y por experiencia debe contener por lo menos diez caracteres, por ejemplo una muy buena sería “[email protected][email protected]”. La clave claramente dice “pochoclero_cometrava”, esta es la base, luego se intercalaron mayúsculas y minúsculas se reemplazaron las “e” por el numero “3” las “o” por el “0” excepto las finalizaciones de palabras donde se colocaron “@”, y es así como quedó la clave conformada. Les regalo el método.
¿Por qué? : la respuesta es simple, en general, dependiendo del tipo de seguridad que elijas en tu router un “hacker” deberá utilizar un diccionario de palabras, si utilizas mayúsculas, minúsculas, números y símbolos haces que ese diccionario sea muy grande y por lo tanto se demorará muchos días en aplicar un hack por fuerza bruta.
Tipos de Encriptación:
Existen varios tipos de encriptación, el primero y el que nunca deben usar en WEP, este método de encriptar y negociar la conexión al router es vulnerable a simples ataques y en menos de 10 minutos te sacan la clave.
El mejor método de encriptación es WPA2, es el que debes seleccionar para tu router, pero esto no será útil sino sigues las pautas que te expliqué sobre la contraseña, dado que si pones de clave “1234567890” en un abrir y cerrar de ojos te van a sacar la clave.
Cambios de Contraseña
Lamentablemente debes cambiar la contraseña cada cierto periodo de tiempo, esto es por razones de seguridad, máximo si vives en zonas altamente pobladas o rodeado de “hackercitos” molestos. Es muy buen ejercicio cambiar la clave, o por lo menos un par de caracteres de ella cada unos 30 días. Esto es para que en el caso que te saquen la clave les cueste nuevamente volver a obtenerla.
Clave del Router
Para acceder a configurar el router WiFi es necesario hacerlo a través del explorador WEB y una dirección IP, por ejemplo 192.168.1.1 o 10.0.0.2 o 192.168.0.1, cuando ingresas es necesario, para acceder a las opciones avanzadas, introducir un usuario, generalmente “admin” o “root” y una clave generalmente “admin”, “toor”, “1234”, todo dependiendo de la marca o modelo del router, por lo que es indispensable cambiar la contraseña de administrador del aparato, siguiendo las recomendaciones de la contraseña de la seguridad Wifi.
IP y puerto del Router
Una vez que cambiaste la clave es necesario reemplazar la dirección ip y puerto por defecto del equipo para dificultar el acceso de intrusos al mismo. Puedes usar rangos de direcciones no convencionales como por ejemplo: 192.168.175.1 o 192.169.23.1 y puertos como 2455 o 5353 o cualquiera que puedas recordar. El puerto por defecto en los router es generalmente “80” o bien “8080” dependiendo de la marca, de esta forma para acceder a la configuración de tu equipo sería necesario escribir en el navegador WEB por ejemplo http://192.169.23.1:2455 más la clave que configuraste.
Acceso WAN
Un punto importante es limitar el acceso a la configuración de tu equipo a la parte LAN, o sea las PC´s de tu red y deshabilitar el acceso de la parte WAN o sea Internet. Es muy común escribir una IP WAN y darte con un router de Arnet abierto a que le hagas de todo. Por ello es necesario deshabilitar la opción “WAN Access” de tu equipo. De esta manera solo quienes están en tu red pueden acceder a la configuración. Es más, todos los router permiten definir una dirección IP como válida para configurar el equipo y si tienes en tu PC una IP fija puedes configurarla como la única válida para acceder.
Protocolo ICMP
Cuando una persona busca computadoras colgadas de una red, lo primero que hace es un escaneo de direcciones IP, y en general los equipos responden a ese escaneo, nosotros queremos evitar esto por lo que vamos a deshabilitar el protocolo ICMP, el cual impedirá al router responder a las solicitudes de eco. Esto es como decirle al router que mantenga la boca cerrada cuando le preguntes si está disponible.
Servidor DHCP
Este es todo un tema, en general es mejor deshabilitarlo, pero puedes tener problemas para configurar tu SmartPhone, por lo que lo mejor es limitarlo. El servidor DHCP lo que hace es asignar a un dispositivo un dirección IP, un mascara de Red, puerta de enlace y DNS’s para que puedan navegar, por ello si lo desactivas deberás configurar una IP fija para cada dispositivo de tu red, sin embargo, afortunadamente, uno conoce la cantidad de dispositivos que tenemos en nuestra red o que podríamos tener por lo que podemos limitar el rango de IP’s que nos brinda. Por lo general un router posee el DHCP habilitado y el rango es de 192.168.1.100 a 192.168.1.255 es decir entrega 155 posibles direcciones, si en casa tengo una PC una Tablet y dos celulares lo limito poniendo 192.168.1.100 a 192.168.1.103, con esto tengo para 4 equipos colgados de la red Wireless y Wired (WiFi y Cableada), limitando el acceso de posibles intrusos dado que si las direcciones están ocupadas no le asignará ninguna a quien quiera conectarse. Y si no me asigna una IP a mi equipo, es decir me da conexión limitada o nula, estoy dándome cuenta de que alguien más está usando mi conexión y me permite cambiar inmediatamente la clave del WiFi impidiendo así el acceso al intruso.
Protocolos WPS, SES y Otros
Este es un protocolo que permite conectarme a un Router con solo pulsar un botón, cada router, dependiendo la marca posee un PIN numérico de 10 dígitos pre configurado que brinda acceso al router sin necesidad de poner una clave. Este protocolo es fácilmente vulnerable por fuerza bruta, aunque algunos routers poseen defensas que lo único que hacen es prolongar el tiempo de demora para conseguir el acceso. Una vez garantizado el acceso se puede obtener, sin necesidad de acceder al router por su página de configuración, la clave WPA o WPA2, por lo que es importantísimo deshabilitar este método de acceso a la conexión.
Filtro por MAC
La dirección MAC de un equipo es un numero único pero el problema es que es fácilmente clonable, es decir que cualquier persona puede asignar una MAC idéntica a la de otro equipo “mintiendo” la identidad del mismo, por lo que quienes hacen filtros por mac para acceder a un WiFi trabajan de vicio, por lo que nosotros no haremos esto, simplemente lo menciono para aquellos que están seguros que es útil, pero no lo es.
Potencia de Transmisión y ubicación
Esto es algo que casi nadie menciona, pero es importante limitar el nivel de señal con que transmite nuestro equipo, esto es bajar la potencia de transmisión a un nivel que permita que se navegue dentro de nuestra casa o depto., pero que no traspase más allá. Para ello es necesario acomodar la posición del router WiFi al punto medio de nuestro rango y de ahí probar el nivel de señal. Esto es así dado que si lo coloco contra la pared compartida por otra casa o departamento seguramente estoy llegando con buena señal al equipo del posible agresor o intruso. Les recuerdo que mientras mejor el nivel de señal que tenga el posible intruso mejor funcionarán sus estrategias de ataque.
Apagar el WiFi cuando no lo uso.
Esta es una estrategia que volverá loco al intruso porque es general es incomodo quedarte sin internet y lo que se busca son conexiones de 24h activas, por ello si no vas a usar la conexión apaga la señal WiFi, ahora existen equipos que apagan el WifI desde un botón externo del router, dejando así la red cableada funcionando con internet y el WiFi apagado, de esta manera todos los posibles atacantes desestimaran tu router como posible víctima.
SSID
El SSID es el nombre del router WiFi, en general le ponen “Flia Pobiña”, “Colgate De Esta”, “Pagá Gatooo”, Etc, existe la manera de evitar difundir ese nombre, y es lo que debemos hacer para evitar al 80% de los “hackercitos” es decir personas sin experiencia que se guían por recetas de internet para violar contraseñas. En todos los router es posible seleccionar “Disable SSID” y esto también evitará otros tipos de ataque.
Fake AP (Falso Router)
Existen varias aplicaciones que lo que permiten es emular un Router, como “linset”, lo que se hace es tomar un SSID y la MAC de un router y simular ser ése router, luego desconectar a todos los clientes y cuando se traten de reconectar capturar las contraseñas. Si no se conoce tu SSID no se puede hacer, por lo que evitarías este ataque evitando difundir tu SSID. Sin embargo, por más que puedan sacarte la clave, si la cambias regularmente se les complicará estar hackeando tu WiFi constantemente.
Prestar Atención
Todos los métodos de ataque lo que hacen en algún punto es desconectar los clientes del Router, es decir que si tu PC se conecta y desconecta de la red WiFi es porque posiblemente estás siendo víctima de algún tipo de ataque, por lo que lo más sano es fijarse periódicamente en los equipos conectados en tu router, esto lo puedes ver desde la página de configuración del equipo y si notas algo raro, simplemente cambias la Clave y el SSID de tu equipo por más que no esté habilitada la difusión del mismo.
¿Cómo hago todo esto?
Eso depende de tu Router, es decir de la marca del router pero es simple de implementar, si el post llega a tener buena aceptación crearé otro y les mostraré como configurar una marca y modelo en particular paso por paso.
Espero les haya sido útil este conjunto de reglas básicas para tener un Router WiFi libre de intrusos.
Dejate un comentario, recomendá algo... no seas tacaño...
Primero que nada, para los denunciadores compulsivos, este texto me pertenece, soy el autor, nada de lo aquí dicho está sacado de otro lugar más que de mi experiencia. Así que no pidan Fuente.
Te aclaro que si no te gusta leer esté no es tu post.
También te comento que no explico en profundidad cada concepto sino que te doy una introducción de los puntos claves de la seguridad de tu red WiFi.
Si esperas encontrar un post lleno de imágenes, éste tampoco es tu post.
Este post lo hago con la finalidad de explicar de forma simple como hacer para que sea casi imposible que te roben señal de tu router WiFI. Si bien se encuentran muchos posts con la misma finalidad, en ninguno encontré la totalidad de estrategias descritas aquí, dado que siempre dejan algo importante sin mencionar, por lo que “modestia aparte” diría que este post es la “Biblia de la seguridad WI-FI para el usuario doméstico".
Te cuento que el enfoque que tomé es desde el punto de vista del atacante, por lo que te voy a ir contando cómo evitar que encuentren tu contraseña, es decir te cuento como me harías la tarea más dificil si yo fuera el atacante y tu la victima.
La Contraseña:
La contraseña no debe ser nada que esté relacionado con nuestras vidas ni la de nuestros seres queridos o moradores de nuestro hogar, entonces descartamos lo siguiente: Nombre, fechas, direcciones, calles, nombre de la mascota, apellidos, sobrenombres, etc. De más está decir que tampoco debes usar combinaciones del teclado y menos números consecutivos o combinaciones del pad numérico como por ejemplo: 1q2w3e4r5t6y o 1qaz2wsx3edc., o 1593572846.
Para que la contraseña sea efectiva debe contener números, letras mayúsculas, letras minúsculas y símbolos y por experiencia debe contener por lo menos diez caracteres, por ejemplo una muy buena sería “[email protected][email protected]”. La clave claramente dice “pochoclero_cometrava”, esta es la base, luego se intercalaron mayúsculas y minúsculas se reemplazaron las “e” por el numero “3” las “o” por el “0” excepto las finalizaciones de palabras donde se colocaron “@”, y es así como quedó la clave conformada. Les regalo el método.
¿Por qué? : la respuesta es simple, en general, dependiendo del tipo de seguridad que elijas en tu router un “hacker” deberá utilizar un diccionario de palabras, si utilizas mayúsculas, minúsculas, números y símbolos haces que ese diccionario sea muy grande y por lo tanto se demorará muchos días en aplicar un hack por fuerza bruta.
Tipos de Encriptación:
Existen varios tipos de encriptación, el primero y el que nunca deben usar en WEP, este método de encriptar y negociar la conexión al router es vulnerable a simples ataques y en menos de 10 minutos te sacan la clave.
El mejor método de encriptación es WPA2, es el que debes seleccionar para tu router, pero esto no será útil sino sigues las pautas que te expliqué sobre la contraseña, dado que si pones de clave “1234567890” en un abrir y cerrar de ojos te van a sacar la clave.
Cambios de Contraseña
Lamentablemente debes cambiar la contraseña cada cierto periodo de tiempo, esto es por razones de seguridad, máximo si vives en zonas altamente pobladas o rodeado de “hackercitos” molestos. Es muy buen ejercicio cambiar la clave, o por lo menos un par de caracteres de ella cada unos 30 días. Esto es para que en el caso que te saquen la clave les cueste nuevamente volver a obtenerla.
Clave del Router
Para acceder a configurar el router WiFi es necesario hacerlo a través del explorador WEB y una dirección IP, por ejemplo 192.168.1.1 o 10.0.0.2 o 192.168.0.1, cuando ingresas es necesario, para acceder a las opciones avanzadas, introducir un usuario, generalmente “admin” o “root” y una clave generalmente “admin”, “toor”, “1234”, todo dependiendo de la marca o modelo del router, por lo que es indispensable cambiar la contraseña de administrador del aparato, siguiendo las recomendaciones de la contraseña de la seguridad Wifi.
IP y puerto del Router
Una vez que cambiaste la clave es necesario reemplazar la dirección ip y puerto por defecto del equipo para dificultar el acceso de intrusos al mismo. Puedes usar rangos de direcciones no convencionales como por ejemplo: 192.168.175.1 o 192.169.23.1 y puertos como 2455 o 5353 o cualquiera que puedas recordar. El puerto por defecto en los router es generalmente “80” o bien “8080” dependiendo de la marca, de esta forma para acceder a la configuración de tu equipo sería necesario escribir en el navegador WEB por ejemplo http://192.169.23.1:2455 más la clave que configuraste.
Acceso WAN
Un punto importante es limitar el acceso a la configuración de tu equipo a la parte LAN, o sea las PC´s de tu red y deshabilitar el acceso de la parte WAN o sea Internet. Es muy común escribir una IP WAN y darte con un router de Arnet abierto a que le hagas de todo. Por ello es necesario deshabilitar la opción “WAN Access” de tu equipo. De esta manera solo quienes están en tu red pueden acceder a la configuración. Es más, todos los router permiten definir una dirección IP como válida para configurar el equipo y si tienes en tu PC una IP fija puedes configurarla como la única válida para acceder.
Protocolo ICMP
Cuando una persona busca computadoras colgadas de una red, lo primero que hace es un escaneo de direcciones IP, y en general los equipos responden a ese escaneo, nosotros queremos evitar esto por lo que vamos a deshabilitar el protocolo ICMP, el cual impedirá al router responder a las solicitudes de eco. Esto es como decirle al router que mantenga la boca cerrada cuando le preguntes si está disponible.
Servidor DHCP
Este es todo un tema, en general es mejor deshabilitarlo, pero puedes tener problemas para configurar tu SmartPhone, por lo que lo mejor es limitarlo. El servidor DHCP lo que hace es asignar a un dispositivo un dirección IP, un mascara de Red, puerta de enlace y DNS’s para que puedan navegar, por ello si lo desactivas deberás configurar una IP fija para cada dispositivo de tu red, sin embargo, afortunadamente, uno conoce la cantidad de dispositivos que tenemos en nuestra red o que podríamos tener por lo que podemos limitar el rango de IP’s que nos brinda. Por lo general un router posee el DHCP habilitado y el rango es de 192.168.1.100 a 192.168.1.255 es decir entrega 155 posibles direcciones, si en casa tengo una PC una Tablet y dos celulares lo limito poniendo 192.168.1.100 a 192.168.1.103, con esto tengo para 4 equipos colgados de la red Wireless y Wired (WiFi y Cableada), limitando el acceso de posibles intrusos dado que si las direcciones están ocupadas no le asignará ninguna a quien quiera conectarse. Y si no me asigna una IP a mi equipo, es decir me da conexión limitada o nula, estoy dándome cuenta de que alguien más está usando mi conexión y me permite cambiar inmediatamente la clave del WiFi impidiendo así el acceso al intruso.
Protocolos WPS, SES y Otros
Este es un protocolo que permite conectarme a un Router con solo pulsar un botón, cada router, dependiendo la marca posee un PIN numérico de 10 dígitos pre configurado que brinda acceso al router sin necesidad de poner una clave. Este protocolo es fácilmente vulnerable por fuerza bruta, aunque algunos routers poseen defensas que lo único que hacen es prolongar el tiempo de demora para conseguir el acceso. Una vez garantizado el acceso se puede obtener, sin necesidad de acceder al router por su página de configuración, la clave WPA o WPA2, por lo que es importantísimo deshabilitar este método de acceso a la conexión.
Filtro por MAC
La dirección MAC de un equipo es un numero único pero el problema es que es fácilmente clonable, es decir que cualquier persona puede asignar una MAC idéntica a la de otro equipo “mintiendo” la identidad del mismo, por lo que quienes hacen filtros por mac para acceder a un WiFi trabajan de vicio, por lo que nosotros no haremos esto, simplemente lo menciono para aquellos que están seguros que es útil, pero no lo es.
Potencia de Transmisión y ubicación
Esto es algo que casi nadie menciona, pero es importante limitar el nivel de señal con que transmite nuestro equipo, esto es bajar la potencia de transmisión a un nivel que permita que se navegue dentro de nuestra casa o depto., pero que no traspase más allá. Para ello es necesario acomodar la posición del router WiFi al punto medio de nuestro rango y de ahí probar el nivel de señal. Esto es así dado que si lo coloco contra la pared compartida por otra casa o departamento seguramente estoy llegando con buena señal al equipo del posible agresor o intruso. Les recuerdo que mientras mejor el nivel de señal que tenga el posible intruso mejor funcionarán sus estrategias de ataque.
Apagar el WiFi cuando no lo uso.
Esta es una estrategia que volverá loco al intruso porque es general es incomodo quedarte sin internet y lo que se busca son conexiones de 24h activas, por ello si no vas a usar la conexión apaga la señal WiFi, ahora existen equipos que apagan el WifI desde un botón externo del router, dejando así la red cableada funcionando con internet y el WiFi apagado, de esta manera todos los posibles atacantes desestimaran tu router como posible víctima.
SSID
El SSID es el nombre del router WiFi, en general le ponen “Flia Pobiña”, “Colgate De Esta”, “Pagá Gatooo”, Etc, existe la manera de evitar difundir ese nombre, y es lo que debemos hacer para evitar al 80% de los “hackercitos” es decir personas sin experiencia que se guían por recetas de internet para violar contraseñas. En todos los router es posible seleccionar “Disable SSID” y esto también evitará otros tipos de ataque.
Fake AP (Falso Router)
Existen varias aplicaciones que lo que permiten es emular un Router, como “linset”, lo que se hace es tomar un SSID y la MAC de un router y simular ser ése router, luego desconectar a todos los clientes y cuando se traten de reconectar capturar las contraseñas. Si no se conoce tu SSID no se puede hacer, por lo que evitarías este ataque evitando difundir tu SSID. Sin embargo, por más que puedan sacarte la clave, si la cambias regularmente se les complicará estar hackeando tu WiFi constantemente.
Prestar Atención
Todos los métodos de ataque lo que hacen en algún punto es desconectar los clientes del Router, es decir que si tu PC se conecta y desconecta de la red WiFi es porque posiblemente estás siendo víctima de algún tipo de ataque, por lo que lo más sano es fijarse periódicamente en los equipos conectados en tu router, esto lo puedes ver desde la página de configuración del equipo y si notas algo raro, simplemente cambias la Clave y el SSID de tu equipo por más que no esté habilitada la difusión del mismo.
¿Cómo hago todo esto?
Eso depende de tu Router, es decir de la marca del router pero es simple de implementar, si el post llega a tener buena aceptación crearé otro y les mostraré como configurar una marca y modelo en particular paso por paso.
Espero les haya sido útil este conjunto de reglas básicas para tener un Router WiFi libre de intrusos.
Dejate un comentario, recomendá algo... no seas tacaño...