Laboratorio AG #01: Hardening de Router

Tu Router es la Puerta de tu Casa: Ciérrala con Llave

Si dejas la puerta de tu casa abierta, no te quejes si alguien entra a mirar tus fotos. En el mundo digital, tu router es esa puerta, y la mayoría de nosotros la tenemos entornada y con un cartel de «bienvenidos». No es paranoia, es higiene técnica básica en un entorno hostil.

1. El Diagnóstico (Nivel Técnico)

A inicios de febrero de 2026, España ha registrado un aumento del 66% en ciberataques respecto al año anterior, consolidándose como el segundo país con mayor volumen de incidentes del mundo. No son ataques dirigidos por «hackers» románticos; son botnets industriales que lanzan millones de escaneos automáticos. Un hogar conectado en España recibe hoy una media de 25-30 intentos de intrusión al día. El 99% de ellos explotan configuraciones por defecto que tú puedes cerrar en 15 minutos.

2. Protocolo de Ejecución: Hardening Inmediato

Para recuperar el control de tu nodo de entrada, ejecuta este protocolo. Accede a tu panel de administración (normalmente 192.168.1.1 o 192.168.0.1) y aplica estos cambios:

• Paso 1: Muerte al WPS (Wi-Fi Protected Setup). Este sistema se diseñó para conectar dispositivos pulsando un botón, pero es un agujero de seguridad masivo de casi dos décadas. Herramientas de auditoría pueden forzar el PIN de 8 dígitos en minutos. Desactívalo inmediatamente. Si necesitas conectar un dispositivo, usa la contraseña WPA3 (o WPA2-AES si tu equipo es antiguo).
• Paso 2: Segmentación de Red (VLANs / Red de Invitados). Tus bombillas inteligentes, tu freidora con Wi-Fi y tus cámaras de seguridad son «caballos de Troya». Suelen tener un firmware mediocre y rara vez se actualizan. Activa la «Red de Invitados» y mueve ahí todos tus dispositivos IoT.Regla de Oro AG: Tus dispositivos críticos (PC, NAS, móvil personal) nunca deben compartir segmento de red con un dispositivo que no puedas auditar. La segmentación evita el movimiento lateral: si hackean tu bombilla, el atacante no podrá saltar a tus archivos personales.
• Paso 3: DNS Soberanos y Cifrados (DoH). Tu operador (ISP) sabe exactamente qué páginas visitas porque usas sus DNS. Cambia la configuración DNS de tu router a servicios que prioricen la privacidad como NextDNS o Quad9.
  • Configuración rápida: Usa las IPs 9.9.9.9 (Quad9) o crea un perfil en nextdns.io para obtener tu ID personalizado. Si tu router lo permite, activa DNS sobre HTTPS (DoH) para cifrar estas peticiones y evitar el rastreo de tu navegación.
• Paso 4: El SSID Invisible y Cambio de Credenciales. Cambia el nombre de tu red. No uses nombres que den pistas sobre tu operador o modelo de router (ej. «Fibra_Orange_XYZ»). Aunque ocultar el SSID no es una medida de seguridad infalible, reduce el «ruido» y te quita del radar de los ataques de oportunidad más simples.

3. Conclusión AG

Tu seguridad empieza en la capa física y de enlace. En 2026, la privacidad no es un derecho que se pida, es una configuración que se impone. Si no controlas tu nodo de entrada, no eres el dueño de tu casa digital, solo un inquilino con las llaves puestas por fuera.

Bibliografía y Referencias Técnicas:

Bratton, B. H. (2015). The Stack: On Software and Sovereignty. MIT Press. (Referencia para el concepto de soberanía en la capa física).

INCIBE (2026). Informe de Ciberamenazas del último trimestre. Análisis de los 22 millones de incidentes registrados en España.

Tribunal de Justicia de la UE. Sentencia Schrems II (C-311/18) sobre la incompatibilidad de la vigilancia masiva con la privacidad europea.