🏠 Tu Router = Puerta de tu Casa Digital: Guía de Seguridad 2025

La mayoría de la gente pone 5 cerraduras en casa pero deja el router con la configuración de fábrica. Error GRAVE.

Trabajo instalando redes domésticas y empresariales desde hace 10 años. Aquí os dejo lo que REALMENTE necesitáis saber:

PELIGROS REALES

Lo que he visto en casas “normales”:

• Password “admin/admin” → 67% de routers que visito
• Firmware de 2019 → Router comprado en 2024
• WPS activado → Hackeable en 2-8 horas
• Puerto 22 abierto → Acceso SSH sin saber qué es SSH
• UPNP activado → Dispositivos expuestos a internet

Casos reales que he visto:

1. Cámara de bebé hackeada → Router Tp-Link con password por defecto
2. Netflix robado → Router infectado con proxy malicioso
3. Crypto robado → Router con firmware modificado (malware preinstalado)

ROUTERS RECOMENDADOS 2025

Presupuesto Bajo (50-80€)

TP-Link Archer C6

• Pros: Actualizaciones regulares, interfaz simple
• Contras: Antenas no removibles
• Config: Cambiar DNS a 1.1.1.1

Gama Media (80-150€)

ASUS AX1800

• Pros: AiProtection gratis, VPN integrada
• Config avanzada: Adaptive QoS + Trend Micro
• Perfecto para: Familias con muchos dispositivos

Prosumer (150-300€)

Ubiquiti Dream Machine

• Pros: Firewall enterprise, actualizaciones automáticas
• Contras: Curva aprendizaje alta
• Para: Usuarios técnicos o paranoides

Máxima Seguridad (200€+)

pfSense + Unifi APs

• Pros: Control total, logs detallados
• Contras: Necesitas saber networking
• Para: Técnicos, empresas pequeñas

ROUTERS A EVITAR

NUNCA COMPRES:

D-Link DIR series

• Razón: Historial terrible de seguridad
• Ejemplo: DIR-850L → 15 vulnerabilidades conocidas

Netgear económicos (<60€)

• Razón: Actualizaciones inconsistentes
• Firmware abandonado tras 1-2 años

Routers del operador “gratis”

• Razón: Backdoors del ISP, firmware locked
• Solución: Modo bridge + router propio

Xiaomi Mi Router (modelos chinos)

• Razón: Envía datos a servidores chinos
• Nota: Versiones globales están OK

CONFIGURACIÓN SEGURA PASO A PASO

Básico (OBLIGATORIO):

1. Cambiar password admin (mín. 15 caracteres)
2. Actualizar firmware → Última versión
3. Cambiar SSID → Quitar marca/modelo
4. WPA3 o WPA2-AES únicamente
5. Deshabilitar WPS → SIEMPRE
6. Cambiar DNS → 1.1.1.1 y 1.0.0.1

Intermedio:

7. Crear red invitados → Aislada
8. Deshabilitar UPNP → 99% no lo necesitas
9. Cambiar subnet → No usar 192.168.1.x
10. MAC filtering → Solo dispositivos conocidos
11. Firewall log → Activar logging

Avanzado:

12. VPN server → OpenVPN o WireGuard
13. Ad blocking → Pi-hole o similar
14. IDS/IPS → Si el router lo soporta
15. VLAN → IoT separado del resto
16. Monitoreo → Nagios o PRTG

APPS IMPRESCINDIBLES

Para monitorear tu red:

Fing (Android/iOS)

• Escanea dispositivos conectados
• Detecta intrusos
• Port scanning básico

WiFi Analyzer (Android)

• Optimizar canales WiFi
• Detectar interferencias
• Medir señal

Speedtest by Ookla

• Verificar velocidad real
• Detectar throttling del ISP

SEÑALES DE ROUTER COMPROMETIDO

RED FLAGS:

• Internet más lento sin razón
• Dispositivos “fantasma” en la red
• Redirecciones a páginas extrañas
• Consumo de datos anormal
• Páginas HTTPS que dan error SSL
• Router que se reinicia solo frecuentemente

Acción inmediata:

1. Desconectar router de internet
2. Factory reset COMPLETO
3. Configurar desde cero
4. Cambiar TODAS las passwords
5. Verificar dispositivos conectados

TIPS PRO

Configuraciones que 90% ignora:

• Change admin port → No usar puerto 80/443
• Disable ping response → Stealth mode
• Enable MAC randomization → En todos los dispositivos
• Guest network expiry → Auto-disconnect
• Backup config → Mensual mínimo

Para paranoicos:

• Double NAT → Router tras router del ISP
• Tor bridge → WiFi → Tor → Internet
• Faraday mode → Cable únicamente
• Multiple SSIDs → Una por dispositivo tipo

TESTING DE SEGURIDAD

Herramientas para probar TU router:

Nmap desde móvil/PC:

nmap -sS -O 192.168.1.1
nmap --script vuln 192.168.1.1

Webs de testing:

• ShieldsUP! (grc.com)
• Router Security Checker
• Qualys SSL Labs

Expect results:

• Todos los puertos cerrados
• No servicios expuestos
• Certificados SSL válidos

NOVEDADES 2025

WiFi 7 (802.11be):

• Vale la pena SI tienes dispositivos compatibles
• Mejora latencia para gaming
• Precio premium hasta 2026

WPA3 obligatorio:

• Ya no hay excusa para WPA2
• Routers <2020 probablemente no actualizarán

Mesh vs Router único:

• Mesh: Para casas >150m² o varias plantas
• Router potente: Mejor para apartamentos

---

¿Qué router tenéis? ¿Alguna duda específica sobre configuración?

PD: Si tenéis router del operador y no podéis cambiarlo, haced modo bridge + router propio. Es lo mínimo.

Sandra esto es ORO puro! Me has hecho darme cuenta de que estoy haciendo TODO mal.

Mi situación ACTUAL (preparaos para reír/llorar):

• Router Movistar HGU → Nunca he cambiado NADA
• Password del admin → Sigue siendo “admin”
• SSID → “MOVISTAR_XXXX” (con el modelo visible para todo el mundo)
• WPS → Ni idea qué es pero supongo que activado
• Firmware → ¿Eso se actualiza?

Mi PREGUNTA URGENTE:
Dices “modo bridge + router propio”. ¿Esto significa que necesito comprar otro router? ¿Cómo lo conecto? Porque el de Movistar está empotrado en la pared y no puedo quitarlo.

¿Qué router me recomiendas?
Soy un desastre con la tecnología pero quiero hacerlo bien. Budget máximo 100€. Solo somos 2 personas + Smart TV + móviles. Casa de 80m².

Una cosa que me ha ASUSTADO:
¿Lo de “cámara de bebé hackeada”? ¿Eso puede pasar con las cámaras de seguridad normales? Tengo una en el salón…

PD: He mirado mi router con la app Fing que mencionas… ¡14 dispositivos conectados! Y solo reconozco 6. ¿Es normal??