Login Probar gratis
Cómo montar una red doméstica segura: segmentación, invitados y más

Cómo montar una red doméstica segura: segmentación, invitados y más

por MataSpam Guías de Seguridad

Montar una red doméstica segura no requiere un máster en telecomunicaciones, pero sí algo más que enchufar el router que te dio la operadora y olvidarte. Si tu nevera inteligente, el portátil del trabajo, el móvil de tus hijos y la tablet de tu suegra comparten la misma red sin ningún tipo de separación, tienes un problema. Crear una red wifi invitados, segmentar red casa con VLANs y aplicar unas pocas reglas básicas puede marcar la diferencia entre una red blindada y una puerta abierta. En esta guía te explicamos cómo configurar una red segura casa paso a paso, con herramientas reales y sin humo.

Por qué tu red doméstica es más vulnerable de lo que crees

La mayoría de hogares funcionan con una red plana: todos los dispositivos conectados al mismo router, en el mismo segmento de red, viéndose entre sí. Eso significa que si alguien compromete tu bombilla inteligente (sí, pasa), tiene acceso potencial al NAS donde guardas las fotos de familia y al portátil desde el que accedes a tu banco.

El Instituto Nacional de Ciberseguridad (INCIBE) publica cada año alertas sobre dispositivos IoT comprometidos que actúan como puerta de entrada a redes domésticas. Los routers de operadora suelen venir con configuraciones por defecto débiles: contraseñas genéricas, WPS activado, firmware desactualizado y sin opción de crear VLANs. El primer paso para una red doméstica segura es reconocer que el hardware de serie no está pensado para protegerte.

Y luego están los invitados. Cada vez que das tu contraseña del WiFi a alguien, le das acceso a toda tu red. Si esa persona tiene el móvil infectado con algún tipo de malware de minería oculta, enhorabuena: ahora es tu problema también.

Paso 1: Segmentación de red con VLANs (más fácil de lo que suena)

Segmentar una red significa dividirla en zonas aisladas entre sí. Piénsalo como los compartimentos estancos de un submarino: si uno se inunda, los demás siguen secos. Para una VLAN hogar típica, necesitas tres segmentos:

  • Red principal: tus ordenadores de trabajo, NAS, impresora. Los dispositivos de confianza.
  • Red IoT: cámaras, termostatos, bombillas, asistentes de voz, robots aspiradora. Todo lo que tiene firmware cuestionable y recibe actualizaciones irregulares.
  • Red de invitados: aislada de las dos anteriores, con acceso solo a internet.

Qué hardware necesitas

Para segmentar red casa de verdad, el router de la operadora no basta. Tienes dos opciones prácticas:

OpciónCoste aproximadoDificultadRecomendado para
Router con OpenWrt/DD-WRT0 € (si tu router es compatible) a 60 €MediaUsuarios con ganas de aprender
Router Ubiquiti / MikroTik / TP-Link Omada80-200 €Media-bajaQuien quiere interfaz gráfica decente

OpenWrt es firmware libre que convierte routers baratos en equipos con soporte completo de VLANs, firewall avanzado y gestión de tráfico. La lista de dispositivos compatibles está en su web oficial. Si prefieres algo más plug-and-play, los equipos de Ubiquiti (UniFi) o MikroTik permiten crear VLANs desde una interfaz web sin tocar la línea de comandos.

Configuración básica de VLANs

  1. Pon el router de la operadora en modo bridge (o pídeles que lo hagan). Así solo actúa como módem y tu router gestiona todo.
  2. Crea las VLANs en tu router: VLAN 10 para red principal, VLAN 20 para IoT, VLAN 30 para invitados.
  3. Asigna rangos de IP distintos: 192.168.10.x, 192.168.20.x, 192.168.30.x.
  4. Configura las reglas del firewall: la VLAN de IoT y la de invitados no pueden ver la VLAN principal. La VLAN principal puede acceder a IoT si necesitas gestionar dispositivos.
  5. Crea SSIDs separados para cada VLAN: «Casa», «Casa_IoT», «Casa_Invitados».

Si esto de las VLANs te parece demasiado, hay una opción intermedia: la mayoría de routers modernos (incluso algunos de operadora) permiten crear una red wifi invitados aislada. No es tan granular como las VLANs, pero ya separas a los visitantes de tus dispositivos. Empieza por ahí si tienes muchos dispositivos de domótica conectados y quieres un primer nivel de separación.

Paso 2: Configurar la red WiFi de invitados correctamente

Crear una red de invitados y ponerle de contraseña «1234» es peor que no tenerla, porque te da una falsa sensación de seguridad. Hazlo bien:

  • Contraseña robusta: mínimo 12 caracteres. Puedes usar una frase fácil de dictar: «LasPizzasDeJuanSonEpicas42». Si quieres comprobar la robustez, pásala por nuestro verificador de seguridad de contraseñas.
  • WPA3 o WPA2-AES: nunca WPA-TKIP ni WEP. Si tu router solo soporta WEP, tíralo (en sentido figurado, recíclalo).
  • Aislamiento de clientes (AP isolation): actívalo. Impide que los dispositivos conectados a la red de invitados se vean entre sí.
  • Límite de ancho de banda: opcional pero recomendable. Que el primo que viene a cenar no te sature la conexión descargando torrents.
  • Cambia la contraseña periódicamente: cada mes o tras cada evento social grande. Sí, es un engorro. Menos engorro que limpiar malware.

Un detalle que se suele ignorar: desactiva el acceso a la administración del router desde la red de invitados. Si alguien conectado a esa red puede llegar al panel de gestión, la segmentación pierde todo su sentido.

Paso 3: Proteger la red principal y los dispositivos IoT

Con la red segmentada, toca endurecer cada zona. Aquí van las medidas concretas para una red segura casa que aguante algo más que un escaneo casual.

Router y red principal

  • Cambia las credenciales de administración del router. El usuario «admin» con contraseña «admin» sigue siendo la forma más común de comprometer redes domésticas.
  • Desactiva WPS. El protocolo tiene vulnerabilidades documentadas desde 2011 y los ataques de fuerza bruta contra el PIN de 8 dígitos son triviales con herramientas como Reaver.
  • Actualiza el firmware. Comprueba cada tres meses si hay actualizaciones. Los fabricantes parchean vulnerabilidades críticas, pero no te avisan con fanfarrias.
  • Desactiva UPnP. Universal Plug and Play permite que los dispositivos abran puertos automáticamente en tu router. Útil para juegos online, pero es un vector de ataque conocido. Si necesitas abrir puertos, hazlo manualmente.
  • Activa el firewall del router y configura las reglas para bloquear tráfico entre VLANs según lo descrito arriba.
  • Usa DNS seguros: Cloudflare (1.1.1.1), Quad9 (9.9.9.9) o NextDNS. Mejor aún, instala Pi-hole o AdGuard Home en una Raspberry Pi para filtrar publicidad y dominios maliciosos a nivel de red.

Dispositivos IoT

Los dispositivos IoT son el eslabón más débil. Según un informe de Palo Alto Networks de 2020, aproximadamente el 57% de los dispositivos IoT eran vulnerables a ataques de severidad media o alta. Aunque el dato tiene años, la situación no ha mejorado mucho: el volumen de dispositivos conectados crece más rápido que la calidad de su firmware.

  • Cambia las contraseñas por defecto de cada dispositivo. Las cámaras IP con credenciales de fábrica son el aperitivo favorito de botnets como Mirai.
  • Desactiva funciones que no uses: acceso remoto, telemetría, micrófonos siempre activos.
  • Compra marcas con historial de actualizaciones. Un termostato que lleva tres años sin parche de firmware es un riesgo, no un chollo.
  • Monitoriza el tráfico. Herramientas como Wireshark o el propio log de Pi-hole te permiten ver si tu aspiradora está enviando datos a servidores en países que no esperabas.

La combinación de VLAN hogar para IoT + DNS con filtrado + firmware actualizado cubre la gran mayoría de vectores de ataque domésticos. No es infalible, pero sube considerablemente el listón para cualquier atacante. Si te preocupa también la privacidad de los más pequeños de la casa, la segmentación de red es un primer paso excelente para controlar qué dispositivos acceden a qué.

Monitorización: cómo saber si algo va mal

Una red doméstica segura no es algo que configuras una vez y olvidas. Necesitas visibilidad sobre lo que pasa. No hace falta montar un SOC en el salón, pero sí unas comprobaciones básicas:

  • Revisa los dispositivos conectados al menos una vez al mes. Si ves un dispositivo que no reconoces, investiga. La mayoría de routers muestran la lista de clientes DHCP en su panel.
  • Configura alertas. Routers con OpenWrt o Ubiquiti pueden enviar notificaciones cuando un nuevo dispositivo se conecta.
  • Pi-hole / AdGuard Home: revisa los logs de consultas DNS. Si un dispositivo IoT está resolviendo dominios sospechosos, lo verás ahí.
  • Escanea tu red con Nmap de vez en cuando: nmap -sn 192.168.10.0/24 te muestra todos los hosts activos en un segmento.

Si detectas actividad rara (tráfico excesivo desde un dispositivo IoT, conexiones a IPs en rangos sospechosos, puertos abiertos que no deberían estarlo), aísla el dispositivo desconectándolo de la red y analiza qué ha pasado antes de volver a conectarlo.

Preguntas frecuentes

¿Puedo segmentar mi red sin comprar un router nuevo?

Depende del router que tengas. Algunos modelos de operadora permiten crear una red de invitados aislada, que ya es una segmentación básica. Para VLANs completas, necesitas un router compatible con OpenWrt o un equipo como los de Ubiquiti o MikroTik. Si tu router actual soporta OpenWrt, puedes flashearlo sin gastar nada.

¿La red de invitados ralentiza mi conexión?

No de forma perceptible. Ambas redes comparten el mismo ancho de banda del router, pero puedes configurar límites de velocidad (QoS) para que la red de invitados no consuma más de un porcentaje determinado. El procesamiento de VLANs añade una sobrecarga mínima, imperceptible en cualquier router fabricado después de 2015.

¿Merece la pena un firewall de hardware tipo pfSense para casa?

Si trabajas desde casa con datos sensibles o gestionas servidores domésticos, sí. pfSense u OPNsense en un mini-PC con dos puertos Ethernet te da un firewall de nivel empresarial por unos 100-150 € de hardware. Para la mayoría de hogares, un buen router con OpenWrt o Ubiquiti cubre de sobra.

¿WPA3 es realmente necesario o con WPA2 basta?

WPA2-AES sigue siendo seguro si usas una contraseña larga y robusta. WPA3 añade protección contra ataques de diccionario offline (gracias a SAE/Dragonfly) y cifrado individual por cliente. Si tus dispositivos lo soportan, actívalo. Si algunos dispositivos antiguos no son compatibles, usa el modo de transición WPA2/WPA3.

El siguiente paso

Abre ahora mismo el panel de administración de tu router (normalmente en 192.168.1.1) y comprueba tres cosas: que la contraseña de administración no sea la de fábrica, que WPS esté desactivado y que tengas una red de invitados activa con aislamiento de clientes. Son cinco minutos que mejoran drásticamente la seguridad de tu red. Si quieres ir más allá, el siguiente movimiento natural es instalar Pi-hole en una Raspberry Pi: filtrarás publicidad, bloquearás dominios maliciosos y tendrás visibilidad total sobre el tráfico DNS de tu hogar.

red doméstica segura red wifi invitados segmentar red casa vlan hogar red segura casa
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Seguridad para tu tienda online: protege tu ecommerce y a tus clientes
Guías de Seguridad

Seguridad para tu tienda online: protege tu ecommerce y a tus clientes

Cómo verificar si un enlace es seguro antes de hacer clic
Guías de Seguridad

Cómo verificar si un enlace es seguro antes de hacer clic

Cómo proteger tus datos y dispositivos cuando viajas al extranjero
Guías de Seguridad

Cómo proteger tus datos y dispositivos cuando viajas al extranjero

← Volver al blog