Tu red doméstica puede ser una auténtica mina de oro para los ciberatacantes:
- Haces gestiones bancarias online desde el móvil o el PC.
- Tienes datos de tu tarjeta de crédito guardados en la Smart TV y en las consolas.
- Los dispositivos Google Home y Amazon Echo están grabando el audio de tu casa y es probable que también tengan cámaras.
- Tus televisores, tus PC, móviles, equipos de sonido y otros dispositivos inteligentes incorporan procesadores que pueden aprovecharse para minar criptomonedas.
- También pueden utilizarse como parte de una botnet a gran escala para lanzar más ataques.
Si los ciberatacantes consiguen acceder a tu red doméstica, podrías perder tu privacidad, tu identidad digital y dinero de tu cuenta bancaria. Tus dispositivos pueden empezar a ir más lentos, pero quizá no notes ninguna señal de que los atacantes han comprometido la seguridad de tu hogar.
Cómo proteger tu red doméstica
Series populares como Mr. Robot describen ciberataques muy sofisticados y hackers de alto nivel. Pero la mayoría de los ataques a los que se enfrentan tus dispositivos de ocio y de informática en casa son fáciles de evitar. Y lo más importante, no necesitas ser informático para mejorar la seguridad de tu red doméstica.
Te lo explicaré de forma sencilla para que puedas ponerlo en práctica.
1. Compra solo los dispositivos que necesitas
El primer paso para proteger tu red doméstica puede sorprenderte. Empieza cuando navegas por Amazon o Best Buy en busca de algún capricho nuevo. Dispositivos como Amazon Echo, Google Home, los termostatos Ecobee y los juguetes inteligentes están de moda.
La posibilidad de consultar la previsión meteorológica con solo decir “Ok, Google, ¿qué tiempo hace?” o poder ver las cámaras de seguridad desde el móvil cuando estás fuera puede ser irresistible. Pero todo eso son dispositivos de internet de las cosas, o IoT para abreviar. Añaden nuevas interfaces conectadas a internet en tu hogar.
Cada una de esas interfaces amplía la superficie de ataque de tu red doméstica. Cuantas más interfaces tengas, más vías tendrán los atacantes para entrar. Así que valora los riesgos de los nuevos dispositivos antes de comprarlos.
En mi caso, apenas tengo dispositivos IoT en casa. Tengo un televisor normal, sin funciones inteligentes, pero lo uso como pantalla para mi PS4, mi PS3 y una consola RetroPie basada en Raspberry Pi. Todas esas consolas están conectadas a internet, y mi PS4 también tiene una PlayStation Camera que podría ser interceptada para verme mientras estoy en el dormitorio.
Más allá del router, esos son los únicos dispositivos conectados a internet que tengo. Para reducir el riesgo que suponen, suelo conectarlos a una red WiFi de invitados independiente. La mayoría de los routers te permiten crearla desde la configuración y asignarle un nombre y una contraseña únicos.
La ventaja de usar una red aparte es que mantiene los dispositivos IoT aislados de los principales. Así, si un ciberdelincuente consigue hackear tu altavoz inteligente o el termostato, no podrá convertirlo en una puerta de entrada a tu portátil o a tu móvil, y tu información sensible seguirá a salvo.
Puedes llenar tu casa de altavoces Google Home e instalar cámaras de seguridad conectadas a internet o lo que quieras. Solo ten en cuenta que eso puede abrir nuevas vías para que los ciberatacantes interfieran en tu vida, y que tendrás que reforzar la seguridad en consecuencia.
2. Comprueba tu router
Si tienes un router inalámbrico, seguramente tengas una red WiFi en casa a la que pueden conectarse de forma inalámbrica teléfonos, tabletas, portátiles, consolas, dispositivos inteligentes y demás.
Esa conexión a internet, ya sea por cable Ethernet o por WiFi, conecta tu casa con el resto del mundo. Pero también es la puerta por la que entran los ciberatacantes. El siguiente paso es hacer lo básico para proteger ese punto de entrada.
Es poco probable que un ciberatacante intercepte tu conexión a internet de forma física. Lo más probable es que, si quiere acceso a tu conexión a internet, intente acceder a tu WiFi.
Tu router viene con un SSID (el nombre de la red WiFi) y una contraseña por defecto. Si estás utilizando ese SSID y esa contraseña predeterminados, tienes una vulnerabilidad de seguridad muy grave en tu red doméstica y debes solucionarla de inmediato.
Los SSID y las contraseñas por defecto asociados al modelo de tu router y a tu proveedor de internet son fáciles de encontrar en internet. Eso facilita que los ciberatacantes sepan qué marca de dispositivo tienes o quién es tu operador, y también les da pistas sobre qué contraseñas predeterminadas probar.
Tu SSID debe ser único y tu contraseña debe ser robusta. Puedes sentir la tentación de cambiar el SSID a “Furgón de vigilancia policial”, pero ese tipo de chistes ya está muy visto. Mejor elige algo más original. El SSID del router de mi pareja está relacionado con el nombre de su sello discográfico. El SSID del router de mi casa es un juego de palabras relacionado con mi apodo. Prueba algo divertido y diferente.
Las contraseñas deberían ser lo más largas posible, combinando mayúsculas y minúsculas, números y símbolos.
Fuente: TechTarget.com
Sigue las instrucciones que vienen con tu router para cambiar el SSID y la contraseña de la WiFi. Si las has perdido, no te preocupes: abre un navegador web en el PC de casa e intenta acceder al panel de administración del router escribiendo su dirección en la barra de direcciones.
Debería llevarte al panel donde puedes cambiar la configuración del router.
Tu router también puede tener funciones adicionales, como UPnP o WPS. Si no estás seguro de que las estés utilizando, desactívalas desde el mismo panel de configuración del router que usaste para cambiar el SSID y la contraseña de la WiFi. Son dos vías adicionales por las que los ciberatacantes pueden acceder de forma maliciosa a tu red doméstica. Desactívalas si no necesitas tenerlas activadas.
Con respecto a WPS, el experto en seguridad de redes Michael Horowitz dice:
“Este es un enorme problema de seguridad [insulto eliminado]. Ese número de ocho dígitos te permitirá entrar en el router pase lo que pase. Así que un fontanero viene a tu casa, le da la vuelta al router, hace una foto de la parte de abajo y ahora puede acceder a tu red para siempre”.
También es bastante fácil para un ciberatacante vulnerar el WPS con una app en su móvil.
Según Horowitz, UPnP también es terrible.
“UPnP se diseñó para redes locales (LAN) y, por tanto, no tiene seguridad. En sí mismo no es para tanto. (Pero) UPnP en internet es como ir a operarse y que el médico opere la pierna equivocada”.
Ya en el panel del router, comprueba si hay una sección para buscar actualizaciones del firmware. Tu router debería instalar automáticamente nuevos parches de seguridad cuando estén disponibles. Es muy posible que el firmware no se esté actualizando, lo que deja vulnerabilidades graves que un ciberatacante puede explotar.
Puedes consultar la web de soporte del fabricante para ver si hay actualizaciones disponibles para tu modelo concreto. Los fabricantes de routers suelen reaccionar tras un ataque importante, revisando el firmware para asegurarse de que tu propio hardware no sea vulnerable a nuevas amenazas. Si encuentran alguna debilidad, publican un parche de seguridad de inmediato, por eso conviene tener el firmware actualizado.
Muchos routers también incluyen funciones que facilitan el acceso remoto desde fuera de la red doméstica. A menos que necesites acceso de administrador a tu router desde otra ubicación, puedes desactivar estas funciones para reducir el riesgo de que intrusos manipulen tu equipo a distancia.
Puedes hacerlo abriendo la interfaz principal del router y buscando la opción Administración remota o Acceso remoto. Aunque en muchos routers viene activado, merece la pena hacer una comprobación adicional. P. D.: Si ves que algunas apps o dispositivos de tu red necesitan acceso remoto, siempre puedes activarlo de forma temporal y volver a desactivarlo después.
Y, cuando busques un router nuevo, elige uno compatible con el estándar de cifrado WPA3. WPA3 ofrece una protección de contraseña más sólida que estándares anteriores como WPA2, gracias a la Autenticación simultánea de iguales (SAE), un protocolo de seguridad que evita el descifrado de contraseñas sin conexión al obligar a los atacantes a interactuar con la red en tiempo real.
Si WPA3 no está disponible en un router, la mejor alternativa es WPA2 AES (también conocido como WPA2 PSK). Este estándar utiliza el mismo algoritmo de cifrado que emplean instituciones financieras y gobiernos para proteger datos sensibles, es decir, el Estándar de Cifrado Avanzado (AES).
AES está un paso por delante del Protocolo de Integridad de Clave Temporal (TKIP) usado en estándares más antiguos de WPA/WEP, que era vulnerable a la inyección de paquetes y al compromiso de claves. El uso de los estándares más recientes garantiza que tu red esté preparada para mejores protocolos de seguridad y para nuevos dispositivos a medida que vayan apareciendo.
3. Consigue una VPN
Si eres lector de The Best VPN, probablemente ya tengas una VPN. Una VPN redirige tu tráfico de internet a través de una capa extra de cifrado. Una buena VPN, bien configurada, mejorará notablemente la seguridad de tu red doméstica y hará mucho más difícil que los ciberatacantes intercepten tu tráfico.
Si aún no tienes una VPN configurada o estás pensando en cambiar de proveedor, The Best VPN es un buen recurso de reseñas independientes y objetivas para ayudarte a elegir la mejor opción.
Los mejores proveedores de VPN ofrecen aplicaciones para tu PC, tu móvil y tu tableta, y lo ponen muy fácil. El software de la VPN también puede configurarse en el router para proteger todos los dispositivos de tu red doméstica. No hace falta instalar nada en cada dispositivo.
4. Configura tus cortafuegos (firewalls)
Un cortafuegos es una herramienta que controla cómo entra y sale el tráfico de internet de tu red doméstica. Puede ser hardware o software. Lo más habitual es que tu router incluya uno, y que Windows, macOS y Linux también incorporen el suyo. Estos cortafuegos suelen funcionar bloqueando los puertos que no usas y filtrando los puertos que sí usas.
Estos puertos forman parte de lo que se conoce como la pila TCP/IP. Los servicios de internet suelen tener puertos TCP/IP asociados que actúan como si fueran puertas numeradas dentro de tu red. Cada servicio online utiliza una puerta concreta, y el cortafuegos cierra las que no se usan para mantener a los intrusos fuera.
Por ejemplo, accedes a la web a través de los puertos 80 y 443, y a PlayStation Network a través de los puertos 3478-3480. La mayoría de los routers tienen el cortafuegos de red activado por defecto, pero no lo des por hecho: comprueba si el tuyo lo tiene habilitado siguiendo estos pasos:
- Inicia sesión en la página de administración del router escribiendo 192.168.1.1 o 192.168.0.1 en un navegador web
- Busca la sección llamada Firewall o Configuración avanzada (en algunos routers, simplemente se llama Seguridad)
- Si el interruptor de protección del cortafuegos no está habilitado, puedes activarlo desplazándolo hacia la derecha
Un cortafuegos actúa como una barrera de un solo sentido: bloquea el acceso desde fuera a tu red, pero permite que tus dispositivos se conecten a internet. Si tu router no tiene uno, asegúrate de que el cortafuegos del sistema esté activado y valora actualizar a un router moderno con protección de seguridad integrada.
HowStuffWorks tiene un excelente artículo sobre cómo funcionan los cortafuegos, con información fácil de entender que debería ayudarte a configurarlos correctamente, aunque no tengas conocimientos técnicos. ¿Qué puertos utilizas? Allí podrás averiguarlo.
En cualquier caso, bloquea los puertos que no usas y filtra los que sí usas. ¿Recuerdas que mencioné que cada nuevo dispositivo conectado a internet en tu red doméstica es una nueva vía de entrada para los ciberatacantes? Lo mismo ocurre con los puertos TCP/IP.
5. No olvides el antivirus
Cada dispositivo de tu red doméstica en el que se pueda instalar un antivirus debería tenerlo. El malware en tu móvil o en tu PC puede ser la vía por la que los ciberatacantes ataquen el resto de tu red doméstica. Un malware en Android podría ser una puerta de entrada para que un ciberatacante vigile a tu bebé a través del vigilabebés o controle tu termostato Ecobee.
Trabajo para una empresa de antivirus, así que no voy a recomendar ninguna marca en concreto. En su lugar, te remito a AV-TEST (AV-Test.org). Igual que The Best VPN publica reseñas independientes de proveedores de VPN, AV-TEST es una excelente fuente de análisis independientes de terceros sobre software antivirus.
Organizan sus análisis por sistema operativo, como Windows, macOS y Android. Usa sus recomendaciones para elegir el mejor antivirus para todos los PC, móviles y tabletas de tu red doméstica.
6. Cierra todos los cabos sueltos
¿Recuerdas que mencioné que mi PS4 tiene una PlayStation Camera? La uso con mi dispositivo PSVR. Cuando no estoy jugando a un videojuego de realidad virtual, desconecto la cámara de la PS4.
Los portátiles suelen traer webcams integradas, y también puedes tener cámaras en dispositivos como Google Home o Amazon Echo, o una cámara independiente conectada a tu PC de sobremesa. Desconecta todas las cámaras o cúbrelas con cinta americana cuando no las uses. También es buena idea desconectar los altavoces Google Home o Amazon Echo cuando no estés en casa.
Al desconectar o cubrir cámaras y altavoces de tu red doméstica cuando no los uses, será más difícil que los ciberatacantes puedan verte u oírte en un espacio que debería ser privado. Existen numerosos tipos de malware y ataques de intermediario (man-in-the-middle) que pueden dar a los atacantes una manera de vulnerar tu privacidad.
Mi consejo es limitar tu “superficie de ataque” todo lo posible, reduciéndola cuando sea viable.
Los datos de la tarjeta y de la banca online también resultan muy atractivos para los ciberatacantes. A veces la gente guarda este tipo de información en la Smart TV y en las consolas. Mi consejo es usar la tarjeta de crédito lo menos posible. Si pagas servicios como Netflix, Hulu, Amazon Prime, PlayStation Network, Xbox Live o Spotify, a menudo puedes hacerlo con tarjetas regalo.
Como alternativa, existen tarjetas prepago que puedes usar para pagar la mayoría de los servicios online. Utiliza tarjetas regalo siempre que puedas. En el peor de los casos, un ciberatacante te robará el saldo, ya sean 100 € o la cantidad que sea.
Con una tarjeta de crédito convencional, el peor escenario suele ser mucho más caro que 100 €. Si un ciberatacante se hace con esos datos, podría acceder a tu banca online y vaciar tus cuentas, o cometer fraude de identidad haciéndose pasar por ti en internet.
Protege tu red doméstica, refuerza tu seguridad
Todos estos consejos son medidas sencillas para mejorar notablemente la seguridad de tu red doméstica. Sorprende cuánta gente no hace estas cosas. La mayoría de los ciberataques no son complejos, sofisticados ni propios de una película de Hollywood.
Antes de despedirme, aquí tienes otro consejo sencillo: apaga el router cuando no estés en casa. Por ejemplo, no lo necesitas encendido cuando estás fuera haciendo la compra o saliendo a correr.
Apagar el equipo de red doméstica reduce las posibilidades de que los ciberatacantes entren en tu red y, de paso, disminuye el riesgo de que el router se estropee por subidas de tensión. La mayoría de las veces, los ciberatacantes recurren a métodos más sencillos para cometer ciberdelitos y, siguiendo mi guía, ahora les habrás puesto las cosas mucho más difíciles. ¡Felicítate!