Alemania quiere regular todos routers del país; y también necesitamos esta regulación en España
Actualmente podemos encontrar una gran cantidad de marcas y modelos diferentes de routers, muchos baratos, de gama baja, con especificaciones muy concretas, y otros ya de gama alta con muchas otras especificaciones, mejor rendimiento y mayor control para el usuario. Cada usuario es libre de elegir el router que quiera, un router de 400 euros de una marca conocida o uno de 15 euros chino, y esto a la larga puede causar problemas, tanto de rendimiento como de seguridad y compatibilidad en todo un país. Y esto es lo que Alemania quiere evitar.
La verdad es que ningún país se ha preocupado, hasta ahora, de los routers que se venden, de los que ceden los operadores ni de los que usa cada usuario o cada empresa, y esto al final ha dado lugar a botnets creadas a partir de routers inseguros y a una gran cantidad de problemas de seguridad en todo el mundo. Por ello, Alemania se ha decidido a controlar los routers que entran, se venden y se utilizan en todo el país, teniendo que cumplir estos una serie de requisitos mínimos de compatibilidad y seguridad para poder entrar en dicho país. Podéis visitar nuestro tutorial sobre qué es la dirección MAC y cómo cambiarla.
Los requisitos que Alemania quiere imponer a cualquier router que quiera conectarse en el país
La primera de las medidas que quiere imponer Alemania para los routers es que tan solo los servicios DNS, HTTP, HTTPS, DHCP, DHCPv6 y ICMPv6 estén disponibles para los usuarios de redes LAN y Wi-Fi, ninguno más. Cuando el router esté configurado, además, no se debe permitir al usuario acceder a determinados servicios WAN, como (CWMP) TR-069, SIP, SIPS o ICMPv6.
La seguridad de las redes Wi-Fi también debe ser mucho más drástica. Por ejemplo, el ESSID debe evitar mostrar información sobre la marca y modelo del router, la se debe usar WPA2 por defecto, la contraseña del Wi-Fi debe tener 20 caracteres y no tener ninguna relación con la MAC, marca o modelo del router y el cambio de la clave del Wi-Fi no debe mostrar una métrica de seguridad ni obligar a usar determinados caracteres.
Cualquier usuario debe poder cambiar la contraseña del Wi-Fi por seguridad, eso sí, si el router tiene una red Wi-Fi de invitados no se podrá acceder al panel de configuración del router desde ella. La clave de acceso a la configuración del router debe tener al menos 8 caracteres (nada de «admin»), mezclar letras mayúsculas y minúsculas y permitir al usuario cambiarla. Además, igual que con el Wi-Fi, no debe tener ninguna relación con la marca o modelo del router.
El inicio de sesión de los routers debe estar protegido contra ataques de fuerza bruta. Tampoco se deben distribuir routers con usuarios que actúen como puertas traseras no documentados. El panel de administración del router solo se podrá acceder desde LAN y Wi-Fi, aunque si algún ISP quiere poder tener acceso a él podrá hacerlo, siempre y cuando lo haga a través de TLS.
El panel de administración del router debe mostrar siempre la versión del firmware que tiene instalada, además de avisar al usuario siempre que tenga un firmware desactualizado o este haya llegado al final de su ciclo y no tenga ya actualizaciones. También se deben guardar registros de todos los inicios de sesión y facilitar el ver todas las reglas locales del firewall de este router,
Por último, el router siempre debe tener una forma de restablecer los valores de fábrica del router fácilmente.
Podemos ver la lista completa de reglas que deben tener todos estos routers en el siguiente enlace.
En España también necesitamos una medida parecida
Sin duda, este nuevo control que propone Alemania para los routers es una gran decisión, y debería llegar también a muchos otros países, como España.
Igual que en prácticamente todo el mundo, en España tenemos los mismos problemas con los routers, algunos modelos muy abiertos, otros demasiado cerrados, routers de baja calidad sin soporte ni actualizaciones de seguridad… cosas que, a la larga, terminan dando problemas, tanto locales como a nivel de red.
Seguro que una decisión así no gusta a todo el mundo, ya que diferentes routers económicos seguramente no cumplirían estas especificaciones y no podrían llegar a España, pero si realmente nos preocupa la seguridad y queremos dejar de arrastrar problemas del pasado, sin duda es algo imprescindible que, tal como llegará a Alemania, llegará a otros países del mundo.
Si logramos hacer esto a tiempo, seguramente consigamos evitar nuevos casos de Mirai o VPNfilter.
¿Qué te parecen la guía de especificaciones para los routers que propone Alemania?