Guía para configurar tu router de forma segura: WPA3, DNS y más

Guía para configurar tu router de forma segura: WPA3, DNS y más

Configurar tu router de forma segura se reduce a cuatro cosas: cambiar la contraseña de administración, activar WPA3, actualizar el firmware del router y elegir un DNS que no venda tus hábitos de navegación. El router es la puerta de entrada a toda tu red doméstica, y la mayoría de la gente lo dejó tal cual salió de la caja del operador. Ese aparato parpadeante decide qué entra y qué sale de tu casa digital. Si un atacante lo controla, controla el tráfico de cada móvil, portátil, tele y bombilla inteligente conectada. Esta guía de seguridad del router va al grano: pasos concretos, ajustes reales y herramientas para blindar tu red sin necesidad de un máster en redes.

Por qué el router es el eslabón que todos ignoran

Piénsalo un segundo. Actualizas el móvil, pones antivirus en el portátil, activas la verificación en dos pasos hasta para el correo del gimnasio. Y el router lleva encendido cuatro años con la contraseña admin/admin impresa en una pegatina que ve tu cuñado cada vez que viene a cenar.

Los routers son objetivo prioritario de las botnets. Mirai, la botnet que en 2016 tumbó medio internet atacando al proveedor DNS Dyn, se alimentaba precisamente de routers y cámaras IP con credenciales por defecto. Y no es historia antigua: variantes de Mirai siguen escaneando la red buscando dispositivos sin actualizar. La agencia estadounidense CISA y el propio INCIBE en España publican avisos periódicos sobre routers domésticos comprometidos.

El problema no es que tu router sea malo. Es que nunca lo tocaste.

Paso 1: cambia la contraseña de administración (y la del WiFi)

Son dos contraseñas distintas y mucha gente las confunde. Una da acceso al panel de configuración del router. La otra conecta tus dispositivos a la red. Cambia ambas.

Accede al panel escribiendo 192.168.1.1 o 192.168.0.1 en el navegador. Si no funciona, mira la etiqueta trasera del aparato. Una vez dentro:

  • Contraseña de administrador: mínimo 14 caracteres, sin relación con tu nombre, calle ni el modelo del router. Usa un gestor de contraseñas para no memorizarla.
  • Contraseña WiFi: larga y única. Una frase de cuatro palabras aleatorias es más fuerte y más fácil de teclear que Xk9$2!.
  • Nombre de red (SSID): evita que revele tu identidad o el operador. MOVISTAR_A4F2 le dice a un atacante exactamente qué router tienes.

Antes de reutilizar cualquier contraseña vieja, comprueba si ya se filtró en alguna brecha con Have I Been Pwned. Si aparece, quémala. Y si quieres afinar el criterio para distinguir un enlace o un panel legítimo de uno falso, tienes una guía práctica sobre cómo verificar si un enlace es seguro antes de hacer clic.

Paso 2: activa WPA3 (o al menos WPA2-AES)

WPA3 es el estándar de cifrado WiFi más reciente, certificado por la Wi-Fi Alliance en 2018. Mejora a su predecesor en un punto clave: protege incluso contraseñas débiles frente a ataques de fuerza bruta offline, gracias a un protocolo llamado SAE (Simultaneous Authentication of Equals) que sustituye al viejo apretón de manos vulnerable de WPA2.

En el panel del router busca la sección de seguridad inalámbrica. Verás opciones como estas:

Modo de cifradoVeredicto
WPA3-PersonalLo ideal. Actívalo si todos tus dispositivos lo soportan.
WPA2/WPA3 mixtoEl punto dulce. Compatible con equipos antiguos sin renunciar a WPA3.
WPA2-AES (CCMP)Aceptable si tu router no tiene WPA3.
WPA / WEP / TKIPDesactívalos. WEP se rompe en minutos con herramientas públicas.

Si tu router no ofrece WPA3 ni tras actualizar el firmware, es una señal de que el aparato tiene ya unos años. No corras a tirarlo, pero tenlo en el radar para la próxima renovación.

Una recomendación extra: activa la red de invitados. Aísla las visitas y todos esos dispositivos del hogar inteligente —enchufes, cámaras, asistentes— en una red separada. Si una bombilla WiFi barata resulta estar comprometida, no tendrá acceso a tu portátil con la declaración de la renta.

Paso 3: cambiar el DNS del router para más velocidad y privacidad

El DNS es la agenda de contactos de internet: traduce piqture.cat a la dirección IP real del servidor. Por defecto usas el DNS de tu operador, que puede registrar cada web que visitas y, en algunos casos, monetizar esos datos.

Cambiar el DNS del router lo aplica de golpe a todos los dispositivos de la casa. Algunas alternativas conocidas y gratuitas:

  • Cloudflare (1.1.1.1): orientado a privacidad, con compromiso público de no vender datos de navegación. Rápido.
  • Quad9 (9.9.9.9): fundación suiza sin ánimo de lucro. Bloquea dominios maliciosos conocidos usando inteligencia de amenazas. Un cortafuegos gratis contra phishing y malware.
  • Google (8.8.8.8): fiable y veloz, aunque la privacidad depende de cuánto confíes en Google.

Se configura en la sección WAN o de configuración de red del router. Escribe la IP primaria y la secundaria en los campos de DNS. Quad9 es una elección redonda para el usuario medio porque filtra automáticamente muchos de los dominios usados en campañas de phishing como la del paquete retenido de Correos. Filtrado antes incluso de que llegue a tu navegador.

Para dar una vuelta de tuerca, mira si tu router soporta DNS sobre HTTPS (DoH) o DNS sobre TLS (DoT). Cifran las consultas DNS para que tu operador no pueda leer qué dominios resuelves.

Paso 4: actualiza el firmware del router (esto es lo que salva vidas)

El firmware del router es su sistema operativo. Los fabricantes publican parches cuando descubren fallos de seguridad, y esos fallos son mucho más frecuentes de lo que parece.

Un ejemplo real: CVE-2023-1389, una vulnerabilidad de inyección de comandos en routers TP-Link Archer AX21, fue explotada activamente por botnets como Mirai poco después de hacerse pública. Miles de routers domésticos quedaron expuestos únicamente por no tener el parche. Y ese es solo uno de la lista de CVEs que se publican cada mes contra hardware de consumo.

Cómo actualizar:

  1. Entra en el panel de administración.
  2. Busca Actualización de firmware, Sistema o Administración.
  3. Activa las actualizaciones automáticas si el router lo permite. Es la opción más segura, porque no dependes de tu memoria.
  4. Si no hay automatización, revísalo manualmente cada dos o tres meses.

Los routers que entrega el operador suelen actualizarse solos de forma remota, pero conviene comprobarlo. Si tu aparato lleva años sin recibir soporte del fabricante, ninguna configuración lo salvará: un router sin parches es una puerta abierta permanente.

Ajustes extra que marcan la diferencia

Con lo anterior ya vas sobrado frente al 90% de amenazas domésticas. Si quieres apurar:

  • Desactiva WPS: ese botón de emparejamiento rápido tiene fallos conocidos de fuerza bruta. Cómodo pero inseguro.
  • Desactiva la administración remota: salvo que sepas exactamente por qué la necesitas, nadie debería poder entrar al panel desde fuera de tu casa.
  • Desactiva UPnP si no usas videojuegos online o servidores concretos que lo requieran. Abre puertos de forma automática y a veces demasiado generosa.
  • Apaga el WiFi cuando te vas de vacaciones. Menos superficie de ataque, menos consumo.

Si gestionas la red de un pequeño negocio y esto se te queda corto, quizá necesites algo más robusto: segmentación VLAN, monitorización y políticas de acceso. Ahí ya hablamos de infraestructura profesional, y a veces compensa que te ayude alguien que monte la parte técnica y el entorno web de tu empresa con cabeza.

Preguntas frecuentes

¿WPA3 es compatible con mis dispositivos antiguos?

No siempre. Los equipos anteriores a 2019 pueden no soportar WPA3. Por eso lo práctico es activar el modo mixto WPA2/WPA3: los dispositivos nuevos usan WPA3 y los viejos siguen conectándose con WPA2 sin quedarse fuera.

¿Cambiar el DNS del router hace mi internet más rápido?

A veces sí, sobre todo si el DNS de tu operador va lento o saturado. La mejora suele ser pequeña en velocidad de descarga, pero notable en el tiempo que tarda en cargar cada web nueva. La ganancia real está más en privacidad y en el bloqueo de dominios maliciosos.

¿Con qué frecuencia debo actualizar el firmware del router?

Idealmente, activa las actualizaciones automáticas y olvídate. Si tu router no las tiene, revísalo manualmente cada dos o tres meses y siempre que leas sobre una vulnerabilidad grave que afecte a tu modelo.

¿Es seguro usar el router que me da mi operador?

Puede serlo si lo configuras bien: cambia las contraseñas por defecto, activa WPA3 y comprueba que recibe actualizaciones. El hardware suele ser correcto; el problema casi siempre es la configuración de fábrica que nadie toca.

¿Qué hago si creo que mi router ya está comprometido?

Haz un reinicio de fábrica, actualiza el firmware antes de reconfigurar nada y cambia todas las contraseñas. Si notas tráfico raro o dispositivos desconocidos conectados, sigue una guía de respuesta a incidentes paso a paso para asegurarte de cerrar todas las puertas.

El siguiente paso

Abre ahora mismo el navegador, escribe 192.168.1.1 y cambia la contraseña de administrador del router. Es el ajuste que más protege y el que menos gente hace. Cinco minutos hoy te ahorran un disgusto mañana. Cuando termines, pásate por el resto de guías del blog para seguir cerrando agujeros: tu red te lo agradecerá y tu cuñado ya no verá la contraseña en la pegatina.

configurar router seguro seguridad router wpa3 cambiar dns router firmware router

Artículos relacionados

← Volver al blog