Algunos consejos de nuestros peritos sobre cómo proteger nuestra red wifi
La red WiFi hace accesible a todo el mundo nuestra “capa física” de conexión. A diferencia del cable, no hace falta vulnerar las frotneras de nuestro domicilio o negocio para tener acceso a la misma y es incluso posible hacerlo a distancia a través de antenas especiales o emplazándose en un inmueble colindante.
Cambiar el SSID por defecto
El SSID es el nombre que tiene nuestra WiFi (el que aparece en el listado de redes al alcance). Normalmente, el operador de telefonía dota a nuestro sistema de un SSID, por seguridad es preferible cambiarlo a otro interno y que no sea fácil de adivinar.
Cambiar la contraseña por defecto
- Nunca usaremos la contraseña que viene por defecto con nuestro router.
- La cambiaremos por otra que sea difícil de adivinar.
- Cambiaremos las contraseñas periódicamente.
- Cambiaremos las contraseñas siempre que un empleado abandone la empresa, se haya generado algún conflicto o tengamos la sospecha de que la seguridad haya podido ser comprometida por cualquier motivo.
No compartir las claves de acceso
… Es evidente, pero la mala gestión de claves y passwords es uno de los primeros puntos débiles en todos los sistemas de seguridad.
Ocultar el SSID
En la mayor parte de los puntos de acceso WiFi se puede deshabilitar la radiodifusión de nuestro SSID. De este modo, nuestra red permanecerá algo más oculta y dificultaremos el ataque a la misma.
Utilizar un sistema de encriptación seguro
Si no es absolutamente inevitable, no se debe utilizar encreptación WEP , si no al menos WPA o WPA2.
Fijar el alcance de radio de la WiFi al mínimo necesario
Bastantes puntos de acceso WiFi permiten variar el alcance de la emisión de radio.El limitar el alcance de la WiFi a nuestros espacios privados puede ser la mejor medida de seguridad:
- Emplazar (en lo posible) el punto de acceso en la parte central de nuestro domicilio o empresa: favoreceremos una buena cobertura interna y evitaremos (en lo posible) que la señal salga al exterior, abriendo la puerta a los intrusos.
- Fijar la potencia de emisión del punto de acceso al mínimo necesario para cubrir los espacios en los que desamos tener LAN. Muchos puntos de acceso permiten regular esa potencia en varios niveles. La elección de unas antenas, que sean las justas para cubrir nuestros espacios es también crucial.
Deshabilitar el protocolo DHCP
Este es el protocolo de asignación automática de IP’s en la red. Si queremos tener un nivel de seguridad adicional, lo podemos deshabilitar de manera que:
- Sólo se asignen las IP’s de los dispositivos conocidos.
- Tengamos control sobre las IP’s asignadas.
- Si el router lo permite, se puede incluso fijar las IP’s asignadas a las MAC adress de los dispositivos.
Bloquear las MAC adresses en nuestro punto de acceso
Todos los sistemas que se conectan a la red, tienen una dirección fija que se conoce como “MAC Adress”. Aunque puede resultar algo incómodo:
- Es posible en la mayor parte de los transmisores wifi filtrar estas direcciones de modo que sólo permitamos el acceso a dispositivos que nosotros conozcamos.
- Las MAC adress que han accedido a nuestro router muchas veces están disponibles, por lo que aunque no tengamos activado el filtrado podemos detectar ataques por esta via.
Abrir sólo los puertos que nos sean necesarios
Por defecto:
- Sólo abriremos los puertos que sean necesarios.
- (Adicionalmente) podemos no utilizar los puertos por defecto para cada tarea.
Mantener el firmware del punto de acceso actualizado
Las vulnerabilidades de cada punto de acceso se publican periódicamente en foros de hacking y por lo tanto, a nosotros nos compete el mantener actualizado el mismo o cambiarlo si tenemos fuertes sospechas de que puede ser facilmetne atacable.
Desconectar el punto de acceso cuando no se utilice
Seguro que estaremos protegidos, y además ahorraremos electricidad.