Que definan seguros. ¿Son el 17% restante seguros o simplemente no tienen ninguna vulnerabilidad conocida? Ej que no es lo mismo...

El trabajo de un router es enrutar, la seguridad es otra cosa.

Los incentivos para la empresa que lo proporciona es que dé acceso a Internet, que el cliente pueda tener lo que ha contratado que es ancho de banda. La seguridad es otra cosa.

Si quieres seguridad pon un cortafuegos, cuya función sí es la seguridad. Si quieres seguridad aplica políticas de seguridad, diseña tu red para aislar las partes más sensibles del resto, haz copias de seguridad, etc.

Ese estudio es una mierda, se equivoca en un 17% de los casos.

No son seguros de fábrica. Obligatorio quitarles el WPS Y cambiar el nombre de la red y la contraseña para empezar. Y lo de apagarlo cuando te vas a dormir o sales de casa es una medida sencilla e infalible.

#5 Yo no soy un experto en redes, pero de la gente que conozco (familiares, amigos y tal) soy el unico que tiene el nombre de la red y la clave cambiadas de las de fábrica. Y aquí incluyo a alguno que es técnico de redes, que me dejó flipado el otro día cuando le pedí la wiifi y me enseño la pegatina del router

No hacía falta un estudio para eso. Teniendo en cuenta que los routers los pueden administrar remotamente los "técnicos" de la compañía y da igual que les llames por un problema de cortes de sincronismo, un problema con el teléfono fijo, o les digas que que te han cobrado de más en el supermercado,... ellos te cambian el canal del wifi y problema resuelto. Y el que se aventura con algo más, te la lía.

#5 Infalible no, solo es infalible mientras está apagado, pero en cuanto lo enciendes tienes un problema mayor, porque cuando te conectas a la red WIFi (en el proceso de autenticación para dar acceso a la red) hay multitud de vectores de inicialización (ivs) para facilitar la obtención de la contraseña.

#9 ¿Pero el sabe que lo has cambiado o le tienes chinado buscando qué le pasa a su router?

#11

#6 cambiar la red tampoco te garantiza gran cosa..
filtrado por MAC, si es posible que a la configuracion solo se acceda por la parte lan y nunca por wifi o por la wan, control de puertos para evitar conexiones directas al router desde fuera... y ni aun así te libras de los bugs del cacharro.

#5 Vivir en una casa de pueblo sin ninguna red Wifi al alcance nada más que la propia también ayuda.

#8 y si desde otro equipo envías señales de desconexion a los equipos conectados, ni te cuento los que salen cuando reconectan

#13 Lo se, pero ya he dicho que experto no soy, y la verdad, meter todos los cacharros que se conectan en casa al wifi, me da pereza. Sí que miro alguna vez las conexiones para ver si hay algún bicho externo o raro. Pero teniendo en cuenta que el 80% de mis vecinos son jubilados y que el rango de la wifi tampo es que me llegue muy lejos, no es algo que me preocupe mucho

#16 si, ya se, pero bueno, se trata de ir poniendo pegas, para que la gente se vaya al vecino y te deje en paz.

#18 Es la técnica para escapar de un oso: no tienes que ser más rápido que el oso, sino más rápido que el más lento del grupo que escapa.

#3 en mi caso, me han aconsejado cambiar el router que nos regala la operadora, porque nos da mejores prestaciones y mas opciones de configuración. y si esto no es posible, conectamos ambos aparatos vía ethernet, anulamos el Wi-Fi del router original y usamos el que hemos comprado para distribuir wi-fi.

#15 Pues lo mismo

#5 La forma más sencilla e infalible es no contratar ningún servicio de conexión a internet. Y además es la más barata. Solo tiene una pega.

Eso tiene fácil solución. Si el 83% de routers en casa son inseguros, y sólo tengo un router, me compro 9 routers más, y así me garantizo que al menos uno (en realidad 1,7) es seguro.

Y esto lo sabe un 14% de la gente.

#24 Te sale mejor si te juntas con con cuatro colegas y compráis 30.

83% de los routers que tengo en casa? Espero que los inseguros sean los que tengo guardados en un armario

No es seguro Facebook, va a ser seguro el router cutre que tenemos en casa. Qué sorpresa.

Oh vaya, no lo sabía

Y el 80% de las puertas tampoco.

#25 Joder macho Fortigate, Juniper, Paloalto no son para todos los bolsillos.
La mayor parte de la gente no se compraría ni un router Draytek, como para comprarse firewalls de marca.

#25 cada vez que miro los log del firewall de mi curro... Me pasa lo mismo. Da miedo.

#23 ¿Qué pega?

Contesta rápido por favor que estoy a punto de irme a casa y allí no tengo internet

#33 Miedo? No es curro asegurado hasta que te jubiles?

#20 Siempre y cuando corráis en la misma dirección, no sea que el oso sólo te persiga a ti...

#3 Cuenta eso cuando el router tiene un panel web que permite modificar a su antojo todo el rutado y acceder a la web local. Y que ese router sea vulnerable y permita el acceso a ese panel...

#37 Claro que hay que contar con ello, el router del proveedor de Internet debe ser considerado como un equipo ajeno del cual no tenemos el control. Las políticas de seguridad deben tratarlo como una potencial amenaza.

#33 seguro que el 99% son puros escaneos o intentos al puerto del ssh/telnet si los tienen abiertos.

#7 Lo que se puede hacer en remoto con la mayoría de routers es bastante inocente. Lo peor que te pueda pasar es que tengas una config puesta y el operador lo resetee. En Movistar hay un histórico donde se pueden recuperar esos datos, en otros operadores ni idea.

#40 Resetear no es lo peor que te puede pasar. Y evidentemente siempre puedes pulsar el hardreset para volver al estado de fábrica.

#41 Entonces, qué es?

#21 Siempre y cuando no los pongas en la misma frecuencia ni en cercanas, puedes tener ambas wifis activas excepto que te hayan configurado el router de la operadora en bridge/monopuesto.

Si están uno al lado del otro no te va a servir para mucho, pero si no es así, tienes dos puntos wifi.

#25 a ver, que nos pensamos que todo está tranquilo y no. Hacer un bucle "for x:0.0.0.0 to 255.255.255.255 { intentamos piratear x}" (así escrito en pseudocódigo de todo a cien) es de lo más sencillo.

Otra cosa es que consigan algo.

#5 ¿Me explicas por qué recomiendas desactivar wps?

#9 eso se llama simbiosis

#6 es que depende de dónde estés. Si vives en el centro de Madrid, Barcelona, etc., te conviene no sólo cambiarla, sino hacerlo con relativa frecuencia.

Si vives en las afueras de Villabajo del Río, te va a dar igual.

#13 Hay un router de movistar al que sólo puedes entrar a la configuración avanzada por ethernet. Es una mierda pinchada en un palo.

#40 En Movistar hay un histórico siempre y cuando se haya accedido a ese router anteriormente con esa configuración personalizada. Es decir, que el cliente haya llamado y se haya quedado eso guardado, que tampoco es en todas las llamadas ni mucho menos. Y tiene caducidad obviamente.

Siemore se puede hacer un back up en Alejandra (alguno pensará que es una postura sexual rara) o en local.

#5 El problema de WPS es la validación por PIN de tan solo 4 dígitos, lo normal es que esto ya no funcione y solo se active mediante la pulsación de un botón o activandolo desde el menú del "router", por lo menos en los de Vodafone que conozco.

#25 Y pensaba que yo era paranoico... ¿Qué te costó la broma, si puede saberse?.

Openwrt ... y andando. Internet llega hasta donde quieres.
Luego en la calle, te pillan con el 3g o 4g a casporrillo hasta que afinas el movil.

Consulta con friki mas cercano.
Yo a 85 la hora (y no he subido precio desde el 2007)

O sea, que de los 1000 routers que tengo en casa instalados, 830 no son seguros.

#45 La implementación de WPS mediante pin es insegura, permite hacer ataques por fuerza bruta y conseguir acceso a la red en cuestión de horas, incluso con WPA2. Puesto que el estándar "obliga" a ofrecer dicho método de autentificación, activar WPS es peligroso.

Ya podían haberse estirado un poco y decir cuáles de entre los analizados eran seguros (o menos inseguros).

#1 Seguro es una palabra muy grande. Normalmente para ser seguro tiene que estar desarrollado de unas formas especificas, y estar auditado de forma continuada. Ningún router del mundo cumple esos requisitos, ergo, ninguno es seguro.

#3 Discrepo.

La seguridad es un atributo o propiedad transversal a todos los elementos de un sistema informática. El router, como componente de red, forma parte de la cadena de elementos con los que interactuas, y de su seguridad depende la tuya. Es como decir que la labor de una pared no es ser segura, que para eso está la puerta. Entonces, pones una puerta acorazada, en un tabique de 12cm. Es ridículo.

En informática pasa igual. Además, los aparatos de los que habla el artículo en realidad no son routers, son modem, router y switch a la vez, además de punto de acceso. Y todo ello configurable a través de interfaces de configuración. Muchos además tienen funciones de disco multimedia y mil tonterías mas.

Entonces, como modem, su seguridad es importante. Como switch, su seguridad es importante. Como router, su seguridad es importante, como punto de acceso, su seguridad es importante.

Por cierto, un cortafuegos solo es un aparato que filtra las conexiones en base a unas reglas, nada mas.

#21 vas a tirar el dinero, la mayoría de usuarios no necesitan ninguna de esas prestaciones, y con el router de la operadora van sobradísimos.

#44 eso no es tan simple si se quiere hacer en un tiempo razonable. Requiere cosas como mass scan o unicorn para que se ejecute en un tiempo realista.

La mayoría de "ataques" vienen de generar ips al azar, o bien de mass scan o unicorn. Para los interesados:

tools.kali.org/information-gathering/unicornscan
github.com/robertdavidgraham/masscan

#54 Yo todavía me meto en wifis con wps con el Android. Hay mucho router viejo.

#18 eso no lo vas a conseguir con el filtrado mac. Si alguien se molesta en usar kali para obtener tu contraseña wifi via wps, o utiliza ataques de diccionario a wpa, creeme que sabe monitorear dos minutos para pillar una mac aceptada, sino es como la mayoría de los routers que si te pones su popia mac, te dejan pasar el filtro mac.

#8 con una contraseña wpa2 segura, esos ivs no te van a servir absolutamente para nada.

#58 Hay dos prestaciones que no suelen tener los routers del proveedor de internet y que si tiene el que te compras en una tienda:

La facilidad de configuración con un manual en condiciones.

La ausencia de una empresa que te reconfigura a distancia el router jodiendote bastante trabajo realizado.

#45 #54 no solo eso, además los routers implementan wps de una forma bastante penosa, haciendo posibles ataques que en teoría no serían posibles incluso con lo inseguro que es wps via pin. Cuidado, que muchos routers no permiten deshabilitar wps, o dicen deshabilitarlo en su ui y luego sigue activo en realidad. Todo este mundillo da bastante pena.

#50 ojo, que algunos routers dicen ir con botón, pero luego puedes atacar wps incluso cuando no pulsan el boton.

#63

La ausencia de una empresa que te reconfigura a distancia el router jodiendote bastante trabajo realizado.

Eso normalmente (no siempre, ojo) se soluciona cambiando las contraseñas del router.

#2 He entrado a poner esto mismo.

#3 ¿Que opinas de un openwrt en medio? En serio.
Es lo que uso y asusta. No sé que firmware me me van a colocar en la fibra/adsl

Creo en mi configuración Iptables ip4 y deshabilito ip6. No llego a más.
Luego en la calle, los telefonos van casi por libre.
Uso particular.

#57 El router es un aparato que por lo general va asociado al servicio contratado, lo proporciona el proveedor, lo sustituye el proveedor y no son pocas las ocasiones en las que éste lo puede actualizar remotamente o cambiar su configuración.

A todos los efectos es parte de la red del proveedor de servicios y no de la red nuestra, es sano considerarlo como ajeno a nuestra red ya que por sus características lo es. Al igual que no tienes control alguno de los equipos de enrutado en la sede de tu proveedor de Internet tampoco deberías considerar que lo tienes sobre el equipo de ese proveedor que deciden poner en tu casa.

Que ofrezcan características como punto de acceso, compartición de datos en disco usb, etc es irrelevante. El servicio que sí aporta, aquél por el cual sí lo necesitamos, es el de conectarnos a la red de la cual forma parte del servicio.

Si decidimos renunciar a la seguridad y utilizar los servicios que aporta el aparato del proveedor adelante, pero debemos ser consecuentes con esa renuncia a la seguridad.

#56 Vamos, lo que yo decía pero más desarrollado.

#25 Los que somos pobres tiramos de PFSENSE

#65 Es que el sistema por pin es el método básico que debe ser soportado para cumplir con el estándar. Pero tienes razón, los dispositivos caseros en general no son fiables. Temo la moda que viene de conectar todo a internet...

#3 otro hijiniero. Claro. Pon un firewall, detrás de un router vulnerable. Olé. Así puedo seguir metiendome en tu router y puedo ver y enrutar tu tráfico a donde yo quiera. Los firewall no son mágicos! Y uno que te permita gestionar la fibra y quitarte de enmedio el router del ISP, en los pocos isp que permiten eso, cuesta un pastizal. No está al alcance de prácticamente nadie. Te lo dice uno que tiene un UTM en casa.

#32 Yo tengo un Mikrotik, jeje

#66 ni de coña... Al menos con Telecable.
Eh tenido que pelearme mucho con ellos, para que me quitarán el router, y me pusieran un módem.

#73 ¿podrías explicar eso de "meterme en el router y enrutar el tráfico donde yo quiera"?

#57 ¿qué "seguridad" necesita un modem? ¿Y un switch de uso doméstico?

Los problemas de inseguridad de lo que llamamos "router" (doméstico) provienen de la interfaz WiFi, pero como enrutador no necesita ninguna medida de seguridad. ¿Qué medidas de seguridad tienen los routers de un proveedor de Internet, por ejemplo?

#80 esos enrutadores son también modems con IP pública e interfaces de gestión, si te vas a shodan verás que existen miles de ellos vulnerables o mal configurados.

#1 El 17% estan apagados

#58 En California al menos con service de internet por cable si no usar el que te proven te evitas $10 al mes de alquiler y te entra mucha mas banda

#78 sin modem no te conecta, pero hay modems con router y desde fuera son similares

#33 Estos rusos y chinos eh?

openwrt.org/supported_devices

#79 no se me ocurre una explicación mejor... Si tengo acceso ilegitimo a la máquina que enruta tus paquetes a internet y malas intenciones, puedo hacer una ruta estática en tu router para que tu tráfico buscando internet pase primero por el router de mi casita, de ahí a mi servidor que almacene tu tráfico y que modifique que (ejemplo simple de demo técnica para impresionar comerciales) los jpg de las web que visites se sustituyan por fotos de gatitos. O por jpg infectados con un RAT de mi elección... o por aterradoras cosas que Tu firewall de detrás se comería con patatas hasta sin hambre.

Un router seguro es elemental.

#25 Joder ¿y pagas la suscripción todos los años? ¿Que ancho de banda tienes? para manejar 300mbps tienes que gastarte 2000€

#55 www.osi.es/es/actualidad/avisos/2018/05/el-fbi-toma-el-control-de-la-b

#62 jajajajajaja

piensas que lo que digo es incorrecto? Pues explícame en que me equivoco

#35 yo no soy el administrador, soy desarrollador, eso no quita que le eche una mano cuando lo me lo ha pedido.

#39 si la mayoría son "por si suena la flauta". Ataques como tal, que yo sepa, no hemos recibido ninguno.

#85 o japos, o finlandeses, o rumanos, o americanos, o españoles, o... A saber de dónde son.

#66 eso no evita la modificación por el operador.
Los routers tienen internamente un protocolo de administración remota que se llama tr069 que se conecta con el operador para recibir órdenes (acls, firmware,..) y además no puede ser desactivado casi nunca, ya que su configuración va por dhcp y en el propio firmware.
Hay casos conocidos en los que la configuración de tr069 la podía alterar remotamente alguien que ataque al router, debido a fallos de seguridad.

#83 ¿ Te entra mucha más banda ancha o te entra mucha peña en el router ?

#81 ¿a qué puede ser vulnerable un módem?

#87 ¿cómo? ¿Dónde has leído eso?

Una tabla de rutas IP solo puede encaminar los paquetes a las subredes que tiene directamente conectadas a la interfaz, esto es, sin ningún hop IP en medio. Es decir, si, por ejemplo, un router tiene dos interfaces, cada una de ellas conectada a una distinta subred (llamémoslas A y B), solamente puede decidir enrutar los paquetes a la subred A o a la subred B (o a puertas de enlace dentro de dichas subredes). Mediante una tabla de rutas no puedes decir: "Manda los paquetes que pasen por este router a la IP 86.90.45.69, que es el servidor de la casa de mi primo". Eso se llama túnel IP y es otra cosa que no tiene nada que ver.

Te falta refrescar teoría de redes. Protocolo IP para ser más concretos.

#51 unos 400€. Es un FortiWifi 61-E
#88 nah, este es el primer año que lo tengo. Me decidí por un Fortigate pequeño porque me gusta mucho como se gestiona el dispositivo (en aquel entonces tenía ya experiencia previa). La licencia que tenía era NFR (not for resale), por lo que te viene todo activado durante varios meses para que lo pruebes. Tener todo ello disponible ha estado muy bien porque me ha permitido explorar sin tener que arrepentirme de tocar algo importante como podría pasar en un entorno PRO.

Mi ancho de banda ahora mismo es de 200Mbps.

Evidentemente con lo caras que son las licencias, cuando me toque renovar no lo haré. Si necesito alguna imagen nueva la sacaré de alguna cuenta de soporte del curro. Y visto lo visto, con el despliegue que tengo hecho ahora mismo, el IPS no salta...por lo que me doy por tranquilo. El WebFilter no lo uso.
Quizás lo que si voy a echar más en falta es el módulo de seguridad de Antivirus.

#98 ya. Claro. Te equivocas en algunas cosas pero vamos, que te he dado una aproximación coloquial porque entendí que preguntaba un lego. Dado que crees que sabes tanto es absurdo que te corrija y ciertamente deberías saber unas cuantas formas de hacerlo. De lo contrario: aprende.