Blindar la seguridad wifi de tu casa empieza por el router, ese aparato que tu operadora te instaló y que probablemente no has tocado desde entonces. Proteger el router no requiere conocimientos avanzados, pero sí dedicarle media hora a cambiar configuraciones que vienen de fábrica pensadas para la comodidad, no para la seguridad. Si quieres un wifi seguro en casa, necesitas configurar el router seguro desde cero: contraseña de administración, cifrado WPA3 (o al menos WPA2), firmware actualizado y unas cuantas opciones que la mayoría de usuarios ni sabe que existen. Esta guía te lleva paso a paso.
Paso 1: Accede al panel de administración y cambia las credenciales
La dirección suele ser 192.168.1.1 o 192.168.0.1. Las credenciales por defecto (admin/admin, admin/1234) están documentadas en bases de datos públicas como routerpasswords.com. Si un atacante consigue conectarse a tu red —aunque sea un vecino con la contraseña del WiFi—, lo primero que intentará es entrar al panel con las credenciales de fábrica.
Cambia tanto el usuario como la contraseña de administración. Usa una contraseña de al menos 16 caracteres. Apúntala en un gestor de contraseñas como Bitwarden o KeePassXC, no en un post-it pegado al router.
Mientras estés en el panel, comprueba si hay actualizaciones de firmware. Los fabricantes parchean vulnerabilidades constantemente. En 2023, ASUS publicó parches críticos para varios modelos afectados por CVE-2023-28702 y CVE-2023-28703, que permitían ejecución remota de código. Si tu router no recibe actualizaciones desde hace más de dos años, plantéate cambiarlo.
Paso 2: Configura el cifrado WPA3 (o WPA2-AES como mínimo)
El protocolo de cifrado es la barrera principal entre tu red y cualquier curioso con un portátil y Aircrack-ng. Aquí va la jerarquía, de peor a mejor:
| Protocolo | Estado | Veredicto |
|---|---|---|
| WEP | Roto desde 2004 | Inaceptable. Se revienta en minutos. |
| WPA-TKIP | Obsoleto | Vulnerable (ataque Beck-Tews). No usar. |
| WPA2-AES (CCMP) | Aceptable | Seguro con contraseña fuerte. |
| WPA3-SAE | Recomendado | Cifrado individualizado por dispositivo. |
WPA3 usa Simultaneous Authentication of Equals (SAE), que protege contra ataques de diccionario offline. Aunque tu contraseña sea mediocre, un atacante no puede capturar el handshake y crackearla en su casa con hashcat. Si tu router lo soporta, actívalo. Si algunos dispositivos antiguos no conectan, usa el modo WPA2/WPA3 transicional.
La contraseña de la red WiFi es otro punto crítico. Olvídate de "MiCasa2024" o el nombre de tu perro. Genera una frase de al menos 20 caracteres. Algo tipo Tortilla-Sin-Cebolla-Gracias-42 es fácil de recordar y prácticamente imposible de crackear por fuerza bruta.
Paso 3: Desactiva lo que no necesitas
Los routers domésticos traen activadas funciones que amplían la superficie de ataque sin que las uses. Repasa esta lista:
- WPS (Wi-Fi Protected Setup): Ese botón que permite conectar dispositivos sin contraseña. El PIN de WPS tiene solo 8 dígitos y herramientas como Reaver pueden crackearlo por fuerza bruta. Desactívalo.
- UPnP (Universal Plug and Play): Permite que aplicaciones abran puertos automáticamente. Conveniente, pero un atacante que escale privilegios en un dispositivo de tu red puede usarlo para exponer servicios internos a internet. Desactívalo y abre puertos manualmente si los necesitas.
- Administración remota: Acceso al panel del router desde internet. A menos que tengas una razón muy concreta, esto debe estar desactivado.
- PIN del router en la pegatina: Algunos ISP imprimen la contraseña WiFi en una etiqueta. Si alguien fotografía tu router, tiene acceso. Cambia la contraseña de fábrica.
Si tienes dispositivos de domótica —bombillas inteligentes, enchufes, cámaras—, considera crear una red de invitados separada para ellos. Estos dispositivos IoT suelen tener firmware inseguro y actualizaciones irregulares. Aislarlos en su propia VLAN o red de invitados impide que un termostato comprometido sirva de puerta de entrada al portátil donde tienes tus datos bancarios.
Paso 4: Monitoriza quién está conectado a tu WiFi
Configurar un router seguro no es algo que haces una vez y olvidas. Revisa periódicamente los dispositivos conectados desde el panel de administración. Si ves un dispositivo que no reconoces, investiga antes de bloquearlo (puede ser la aspiradora robot que compraste hace tres meses).
Herramientas como Fing (app móvil) o Nmap (línea de comandos) te permiten escanear tu red local y ver todos los dispositivos con sus direcciones MAC e IP. Si encuentras algo sospechoso, cambia la contraseña WiFi inmediatamente y revisa los logs del router.
El filtrado MAC no es una medida de seguridad real —las direcciones MAC se falsifican con un solo comando—, pero sí puede servir como capa adicional de visibilidad. Lo que realmente protege tu wifi seguro en casa es la combinación de cifrado fuerte, contraseñas robustas y firmware actualizado.
Si sospechas que alguien ha accedido a tu red y ha podido interceptar tráfico, recuerda que el ransomware puede propagarse lateralmente por la red local. Comprueba todos los equipos conectados y, en caso de duda, restablece el router a valores de fábrica y configúralo desde cero con los pasos de esta guía.
Paso 5: DNS seguro y extras que marcan la diferencia
Tu router reenvía todas las consultas DNS al servidor que configura tu operadora. Eso significa que tu ISP puede ver cada dominio que visitas. Cambiar los DNS a un proveedor cifrado mejora tanto la seguridad wifi como la privacidad:
- Cloudflare DNS (1.1.1.1): Rápido, con soporte DNS over HTTPS (DoH).
- Quad9 (9.9.9.9): Bloquea dominios maliciosos conocidos usando múltiples fuentes de inteligencia de amenazas.
- NextDNS: Permite configurar listas de bloqueo personalizadas, similar a un Pi-hole en la nube.
Configura los DNS directamente en el router para que todos los dispositivos los usen automáticamente. Si tu router no soporta DoH o DoT (DNS over TLS), al menos cambia a Quad9 en texto plano: sigue bloqueando dominios de phishing y páginas de ingeniería social antes de que lleguen a cargarse en tu navegador.
Otra medida útil: cambia el nombre de la red (SSID). No uses el nombre del modelo del router (TP-Link_A4F2, MOVISTAR_PLUS_83B1), porque facilita a un atacante buscar vulnerabilidades específicas de ese modelo. Pon un nombre genérico que no identifique ni el fabricante ni tu identidad.
Preguntas frecuentes
¿WPA3 es compatible con todos los dispositivos?
No. Dispositivos fabricados antes de 2018-2019 pueden no soportarlo. La Wi-Fi Alliance certificó WPA3 en junio de 2018, pero la adopción fue progresiva. Si tienes dispositivos antiguos, usa el modo transicional WPA2/WPA3 que ofrecen la mayoría de routers actuales.
¿Merece la pena comprar un router propio en lugar de usar el de la operadora?
Depende. Los routers de operadora suelen tener firmware personalizado con opciones limitadas y actualizaciones lentas. Un router como el ASUS RT-AX86U o el TP-Link Archer AX73 ofrece más control, mejor rendimiento y soporte WPA3 completo. Si te tomas en serio la seguridad wifi, sí merece la pena.
¿Ocultar el SSID mejora la seguridad?
Apenas. Un SSID oculto sigue emitiendo tramas que herramientas como Kismet o Wireshark capturan sin esfuerzo. Además, tus dispositivos envían "probe requests" buscando la red oculta, lo que puede exponer el nombre fuera de casa. Es seguridad por oscuridad, no seguridad real.
¿Cada cuánto debería cambiar la contraseña del WiFi?
No hay una frecuencia mágica. Cámbiala cuando sospeches que se ha filtrado: si se la diste a un invitado, si un dispositivo se ha comportado de forma extraña o si llevas años con la misma. Con WPA3 y una contraseña de más de 20 caracteres, el riesgo de crackeo es mínimo.
El siguiente paso
Abre ahora mismo el navegador, escribe la IP de tu router (192.168.1.1 o 192.168.0.1), entra con las credenciales actuales y cambia la contraseña de administración. Solo eso. Tardas dos minutos y cierras la vulnerabilidad más obvia que tiene tu red doméstica. Si después quieres completar el resto de pasos, la guía de seguridad para teletrabajo cubre aspectos complementarios como VPN y segmentación de red que encajan perfectamente con lo que acabas de aprender aquí.
