Tú router es el dispositivo más importante de tú hogar digital y, paradójicamente, el más descuidado en seguridad. Es la puerta de entrada a todos tus dispositivos: ordenadores, móviles, cámaras, termostatos, televisores. Un router comprometido permite al atacante interceptar tú tráfico, redirigirte a webs falsas, acceder a dispositivos de tú red local o usarte cómo parte de una botnet. Según un informe de Avast de 2024, el 72 % de los routers domésticos en España nunca han cambiado la contraseña de administración por defecto. Llevo más de 15 años configurando redes y ese dato, desgraciadamente, no me sorprende.
Lo esencial: cambiar la contraseña de administración del router, actualizar el firmware, desactivar WPS y configurar cifrado WPA3 (o WPA2 cómo mínimo) son cuatro acciones que tardan 10 minutos y bloquean el 95 % de los ataques a routers domésticos. Si no has tocado la configuración de tú router desde que lo instaló el técnico, hoy es buen día para hacerlo.
Acceder al panel de administración
Todos los routers tienen un panel de configuración accesible desde el navegador. La dirección suele ser 192.168.1.1 o 192.168.0.1 (compruébalo en la etiqueta del router o en la documentación del operador). El usuario y contraseña por defecto están impresos en la pegatina del router: suelen ser admin/admin, admin/1234 o una clave genérica del operador.
Si no puedes acceder, en Windows puedes encontrar la IP del router abriendo CMD y escribiendo ipconfig (la «Puerta de enlace predeterminada» es la IP del router). En macOS: Preferencias del Sistema > Red > WiFi > Avanzado > TCP/IP. En Android: Ajustes > WiFi > pulsar sobre la red conectada.
Una vez dentro, lo primero es cambiar la contraseña de administración. Nuestra guía para configurar el router desde el primer día cubre los pasos iniciales en detalle.
Los 8 ajustes de seguridad imprescindibles
1. Cambiar contraseña de administración. La contraseña por defecto es pública (busca tú modelo en routerpasswords.com). Cámbiala a una de mínimo 12 caracteres, única, que no uses en ningún otro sitio. Usa tú gestor de contraseñas para generarla y guardarla.
2. Actualizar firmware. Las vulnerabilidades de router se explotan activamente. La botnet Mirai infectó más de 600.000 dispositivos IoT en 2016 usando contraseñas por defecto y firmware desactualizado. Busca la opción de actualización de firmware en el panel (suele estar en Administración > Firmware o System > Update). Si tú router no tiene actualización automática, comprueba manualmente cada 3 meses.
3. Cifrado WPA3. Si tú router lo soporta (la mayoría de los de 2022 en adelante), activa WPA3. Si no, WPA2-AES es la segunda opción. Nunca uses WEP (crackeado en minutos) ni WPA-TKIP (vulnerable). En la sección WiFi del panel, busca «Seguridad» o «Encryption» y selecciona WPA3-Personal o WPA2-AES.
4. Desactivar WPS. Wi-Fi Protected Setup permite conectar dispositivos pulsando un botón o introduciendo un PIN de 8 dígitos. El problema: el PIN es susceptible a ataques de fuerza bruta en pocas horas. Desactívalo en la configuración WiFi del router.
5. Cambiar SSID por defecto. El nombre de la red WiFi por defecto revela el modelo del router (ej: «MOVISTAR_F3A2»), facilitando la búsqueda de vulnerabilidades específicas. Cámbialo por algo que no identifique ni el modelo ni tú identidad.
6. Desactivar administración remota. A menos que necesites acceder al router desde fuera de casa (raro para uso doméstico), desactiva la gestión remota (Remote Management / Web Access WAN). Esto impide que alguien desde internet intente entrar en tú panel.
7. Configurar DNS seguro. Cambia los DNS de tú operador por opciones más seguras: Quad9 (9.9.9.9, bloquea dominios maliciosos), Cloudflare (1.1.1.1, más rápido) o NextDNS (personalizable con bloqueo de rastreadores). Se configura en la sección WAN o Internet > DNS. Para profundizar, nuestra guía completa de DNS detalla cada opción.
8. Activar firewall del router. La mayoría de routers incluyen un firewall básico (SPI Firewall) que filtra tráfico sospechoso. Verifica que está activado en la sección de Seguridad o Firewall del panel.
Crear una red WiFi para invitados
La red de invitados es una función que tienen la mayoría de routers modernos y que pocos activan. Crea una red WiFi secundaria que permite el acceso a internet pero aísla a los dispositivos invitados de tú red principal. Así, cuando alguien viene a tú casa y le das la contraseña WiFi, no puede ver ni acceder a tus ordenadores, NAS, impresoras ni cámaras.
En el panel del router, busca «Guest Network» o «Red de invitados». Actívala con un nombre diferente (ej: «MiCasa_Invitados»), contraseña propia y la opción «Client Isolation» activada. Yo uso esta red también para dispositivos IoT (bombillas, enchufes, aspiradoras robot) que no necesitan comunicarse con mi red principal. Si tienes dudas sobre tú red mesh o extensores WiFi, esa configuración también admite red de invitados.
Señales de que tú router está comprometido
DNS modificados sin tú conocimiento: si tus búsquedas redirigen a webs extrañas o aparecen anuncios donde no debería haberlos, alguien pudo cambiar los DNS de tú router. Compruébalo en el panel.
Dispositivos desconocidos conectados: revisa la lista de dispositivos conectados en el panel del router (sección DHCP Clients o Connected Devices). Si ves dispositivos que no reconoces, puede haber un intruso. Para verificar, consulta la dirección MAC de cada dispositivo sospechoso.
Velocidad anormalmente baja sin causa aparente. Firmware actualizado a una versión que tú no instalaste. Acceso al panel denegado con tú contraseña habitual. Si detectas cualquiera de estas señales, restablece el router a valores de fábrica (botón Reset, mantener pulsado 10 segundos), actualiza firmware y reconfigura desde cero.
Cuándo reemplazar el router del operador
Los routers que proporcionan los operadores españoles (Movistar, Vodafone, Orange) son funcionales pero limitados en potencia, funciones de seguridad y actualizaciones. Si tú router tiene más de 3 años, probablemente no recibe parches de seguridad y su hardware limita la velocidad WiFi.
Un router propio cómo el TP-Link Archer AX73 (85 €, WiFi 6, 4 antenas) o el ASUS RT-AX86U (170 €, WiFi 6, funciones de seguridad avanzadas con AiProtection de Trend Micro) ofrece mejor rendimiento, actualizaciones regulares y funciones de seguridad que los routers de operador no incluyen.
Puedes conectar tú propio router al ONT del operador (el dispositivo de fibra óptica) o al router del operador en modo bridge. La configuración varía por operador; busca «configurar router propio [tú operador]» para guías específicas.
Mi valoración
La seguridad del router es la base de toda tú seguridad digital doméstica. De nada sirve tener antivirus, VPN y contraseñas fuertes si tú router tiene la contraseña admin por defecto y firmware de 2021. Los 10 minutos que tardas en aplicar los 8 ajustes que he listado son la mejor inversión en seguridad que puedes hacer hoy. Mi consejo adicional: programa un recordatorio trimestral para comprobar actualizaciones de firmware y revisar los dispositivos conectados. Es un hábito que se adquiere rápidamente y que puede evitar problemas serios. Y si tú router tiene más de 4 años, considera seriamente reemplazarlo: la diferencia en velocidad, cobertura y seguridad justifica sobradamente la inversión.
Preguntas frecuentes
¿El operador puede actualizar mi router remotamente sin avisarme?
Sí. Movistar, Vodafone y Orange tienen capacidad de gestión remota (TR-069) sobre los routers que proporcionan, lo que incluye actualización de firmware y cambios de configuración. Esto es positivo (parchean vulnerabilidades sin que tengas que hacer nada) pero también implica que el operador tiene acceso de administración a tú router. Si prefieres control total, un router propio elimina esta dependencia.
¿Ocultar el SSID (nombre de red) mejora la seguridad?
Casi nada. Un SSID oculto sigue siendo detectable con herramientas cómo Wireshark o Kismet en segundos. Además, los dispositivos que se conectan a redes ocultas emiten «probe requests» buscando la red constantemente, lo que puede revelar información sobre ti. Es mejor tener un SSID visible con nombre genérico y contraseña fuerte que un SSID oculto con contraseña débil.