Configura la red de tu casa para teletrabajar con la máxima seguridad

El teletrabajo desde casa ha llegado para quedarse, todos nosotros tenemos un router con conexión a Internet para realizar todas las tareas del trabajo, y también del ocio, controlar los dispositivos domóticos y cualquier acción que requiera conexión a Internet. Sin embargo, es posible que en tu trabajo gestiones información importante y confidencial, en estos casos, es muy recomendable realizar ciertas configuraciones en el router para tener la máxima seguridad posible en el entorno doméstico. Hoy en RedesZone os vamos a dar todas las claves para proteger tu red lo mejor posible.

En este tutorial os vamos a explicar todo lo que debes hacer en tu router doméstico. Dependiendo del router que estés utilizando, es probable que no tengas las mismas opciones de configuración que os enseñemos, pero podrás realizar la gran mayoría de estas recomendaciones. Lo ideal en un entorno doméstico sería poder segmentar la red en VLANs y distintas subredes, controlar con un router/firewall la comunicación entre las diferentes subredes, e incluso aplicar políticas de seguridad en los switches cuando vayas a conectarte vía cable.

Sin embargo, este tipo de routers/firewall y switches gestionables con opciones avanzadas de seguridad están orientados a un ámbito de pequeñas y medianas empresas, y generalmente son bastante más caros que los equipos domésticos, por este motivo, nos vamos a ceñir a opciones de configuración específicas que podemos encontrar en router domésticos.

Configuración general de la red

Lo ideal sería contar con dos conexiones a Internet con su correspondiente router, una conexión estará dedicada específicamente para el trabajo, y la otra conexión a Internet estará dedicada para el uso personal de la conexión a Internet. De esta forma, no tendremos equipos personales y de trabajo «mezclados» en la misma red, además, dispondremos de una conexión a Internet dedicada específicamente para el trabajo, por lo que tendremos todo el ancho de banda de la fibra óptica a nuestra disposición. La parte negativa es que tendremos que contratar una conexión a Internet adicional, generalmente las casas están preparadas en el PAU para tener una sola conexión a Internet vía FTTH y no varias, por lo que habría que tirar nuevo cableado para la instalación. También tendríamos que pagar dos conexiones a Internet, a no ser que la empresa asuma el coste de la conexión a Internet adicional.

Sin embargo, con una conexión a Internet y un router que permita crear diferentes redes (principal y de invitados) podremos hacer esta tarea sin problemas con una sola conexión a Internet. Lo primero que debemos hacer para asegurar las comunicaciones que realicemos mientras teletrabajamos, es dividir la red principal en dos redes. Una red estará dedicada específicamente para conectar los equipos de teletrabajo, como el ordenador, portátil vía WiFi o el smartphone del trabajo. La segunda red estará dedicada específicamente para conectar los dispositivos domésticos, como el smartphone personal, la Smart TV, las consolas, asistentes de voz y otros dispositivos de similares características.

En los ejemplos siguientes utilizaremos un router AVM FRITZ!Box 7590, uno de los mejores routers domésticos por su hardware y por su completo sistema operativo FRITZ!OS, el cual nos proporcionará una gran cantidad de opciones de configuración, además, el fabricante alemán ha mejorado su firmware para centrarse también en el teletrabajo desde casa.

Configuración de la red cableada

En el menú principal del router podremos ver todos los dispositivos que hay conectados, tanto de la red principal LAN y WiFi, como de la red de invitados, tanto de la LAN como del WIFi. Una característica muy importante, es que los routers FRITZ!Box permiten crear una subred para LAN y WiFi separada de la red principal, de esta forma, tendremos una subred específica para la red principal donde conectaremos los equipos del teletrabajo, y también una subred de invitados para conectar el resto de dispositivos de nuestro hogar.

En la sección de «Red local / Red / Conexiones de red» podremos ver el estado de todos y cada uno de los dispositivos conectados a la red local doméstica, aquí podremos controlar qué dispositivos hay conectados e incluso expulsarlos para que no tengan acceso a Internet ni acceso a la red doméstica, ya sean dispositivos cableados o inalámbricos.

En la sección de «Red local / Red / Configuración de red» es donde podremos activar el «Acceso de invitados» para el puerto LAN 4, todos los dispositivos que conectemos vía cable a este puerto estarán ubicados en la subred dedicada específicamente para los invitados. En caso de necesitar conectar más de un dispositivo vía cable al router, entonces es recomendable comprar un switch no gestionable de 5 u 8 puertos, dependiendo de nuestras necesidades tendremos que comprar uno con más puertos o con menos puertos.

En la parte inferior del menú anterior podemos pinchar sobre el botón de «Direcciones IPv4», aquí es donde tendremos la configuración de la red principal, en nuestro caso es la subred 192.168.188.0/24 con su correspondiente servidor DHCP. Justo debajo tendremos la configuración predeterminada de la red WiFi de invitados, la cual tiene una subred 192.168.189.0/24 con su correspondiente servidor DHCP.

Todos los equipos que conectemos a la red principal tendrán una IP 192.168.188.X y los equipos que conectemos a la red de invitados (ya sea vía cable o WiFi) tendrá una red 192.168.189.X. Por tanto, cuando vayamos a conectar los diferentes dispositivos de nuestro hogar a la red WiFi de invitados, es muy recomendable fijarnos en qué direccionamiento IP le ha proporcionado el router, para asegurarnos de que estamos en la subred correcta.

Otra configuración que debemos realizar para mantener nuestra seguridad y privacidad cuando naveguemos por Internet es el DNS over TLS, esta configuración se llega a través de «Internet / Datos de Acceso / Servidor DNS«. Este router soporta el estándar DoT, o también conocido como DNS over TLS, gracias a este protocolo todas las solicitudes DNS que realicemos estarán cifradas punto a punto, desde nuestro router hasta el servidor DNS que nosotros definamos, en el ejemplo de debajo podéis ver los servidores DNS de Google y Cloudflare.

Otras configuraciones del router son en la sección de «Internet / Filtros / Priorizar«. En este menú podremos configurar diferentes aplicaciones para que tengan la máxima prioridad, por ejemplo, las llamadas VoIP, las videollamadas con diferentes programas o cualquier otro uso que realicemos nosotros para trabajar. Dependiendo de la prioridad que tengan esas aplicaciones, podremos colocarlas en «Tiempo real, prioridad o segundo plano».

En la zona inferior hay una configuración realmente interesante, la sección de «velocidad en la red local» nos permitirá reservar un ancho de banda para la red principal de trabajo, con el objetivo de que siempre tenga la máxima prioridad posible. Este sistema consiste en que, si la red WiFi de invitados está siendo muy utilizada, automáticamente se limite la conexión a Internet de estos dispositivos reservando un determinado porcentaje del ancho de banda para la red principal. En caso de que la red principal no esté en uso, entonces el router le podrá proporcionar todo el ancho de banda a la red WiFi de invitados, pero en cuanto haya tráfico nuevamente en la red, priorizará estas conexiones de la red local principal.

En la sección de «Internet / Filtros / Listas» podremos configurar una lista de filtros, para permitir o denegar determinados sitios web con su dominio o direcciones IP. Además, también podremos configurar el firewall interno del router en modo sigiloso, con el objetivo de tener la mejor seguridad posible bloqueando cualquier paquete que llegue a la WAN de Internet sin haberlo solicitado previamente. También podremos filtrar otro tipo de tráfico como el email en puerto 25, el netBIOS, Teredo y WPAD.

Por último, en caso de necesitar abrir puertos para realizar alguna actividad con nuestro equipo de trabajo, en la sección de «Internet / Permitir acceso / Redireccionamiento de puertos» podrás encontrar todas las opciones de configuración. Por defecto, el protocolo UPnP (redireccionamiento autónomo de puertos) se encuentra deshabilitado por seguridad, si queremos habilitarlo tendremos que ir dispositivo por dispositivo habilitándolo. Sin lugar a dudas, una gran política de seguridad.

Una vez que hemos visto todas las configuraciones a nivel cableado que podemos hacer con este router, vamos a ver qué configuraciones tenemos disponibles en la red WiFi.

Configuración de la red WiFi

La primera recomendación que os podemos hacer es usar diferentes SSID para cada banda de frecuencia, de esta forma, podrás conectarte a la que más te convenga. Si no quieres preocuparte de a qué banda de frecuencias conectarte, entonces deshabilita la opción «Distintas denominaciones para las redes inalámbricas en las bandas de 2.4GHz y 5Ghz» para tener Smart Connect o Band-steering. Esta configuración no influye de ninguna forma en la seguridad, es una funcionalidad que nos permitirá despreocuparnos de a qué banda de frecuencias conectarnos.

En la sección de «Seguridad» es donde tendremos que elegir el modo de WPA, es recomendable elegir WPA2-Personal o WPA3-Personal si está disponible. En este caso, FRITZ!Box permite elegir WPA2+WPA3 para que los clientes WiFi se conecten con la mejor seguridad, no obstante, a efectos prácticos es como si se utilizara WPA2-Personal, porque un atacante podría hacer un ataque de downgrade y forzar la conexión con WPA2 y capturar el handshake para crackear la contraseña.

La opción de «Los dispositivos inalámbricos activos aquí visualizados podrán comunicarse entre sí«. Teniendo en cuenta que en la red principal vamos a conectar los equipos de trabajo, no importa tener esta función habilitada, no obstante, lo podrías deshabilitar para impedir que los clientes WiFi de la red principal se puedan comunicar entre sí.

El protocolo WPS, por seguridad, siempre es recomendable desactivarlo, no importa que solamente funcione con el botón WPS físico del router, lo deshabilitamos para no usarlo nunca.

En cuanto a la red WiFi de invitados, es donde conectaremos todos los dispositivos de nuestro hogar como cámaras IP, enchufes inteligentes, la Smart TV y los smartphones personales. Activaremos la red WiFi de invitados y elegiremos la opción de «Acceso de invitados privado a la red inalámbrica«, para tener que introducir sí o sí una contraseña de acceso, como si fuera la red WiFi principal.

En la configuración de la red WiFi de invitados debemos poner un SSID, elegir el tipo de cifrado WPA2+WPA3 y también la contraseña de paso, lógicamente deberemos elegir una contraseña robusta siguiendo las buenas prácticas de uso de contraseñas.

En la parte inferior podremos permitir que los dispositivos WiFi puedan comunicarse entre sí, esto solamente está orientado a la red WiFi de invitados, donde los diferentes clientes inalámbricos podrán comunicarse entre ello. No significa que, si activamos esta opción, puedan comunicarse desde la red WiFi de invitados a la red principal.

Una vez que hemos visto la configuración de la red WiFi, tanto de la red principal como la de invitados, vamos a ver otras configuraciones a realizar para teletrabajar de forma segura.

Otras configuraciones a realizar

Otras configuraciones a realizar a nivel de red para estar seguros, es cambiar la contraseña de administrador de acceso al router, de esta forma, nos aseguraremos de que nadie podrá acceder a la administración del router excepto nosotros. En algunos routers como los FRITZ!Box, podemos crear diferentes usuarios/contraseñas con diferentes permisos, por si fuera necesario para acceder a los servicios de VPN, NAS y demás, tal y como podéis ver aquí:

E incluso podremos configurar parámetros adicionales para confirmar ciertas configuraciones a realizar, si alguien entra vía WiFi a la administración del router, aunque seamos nosotros mismos, si realizamos alguna configuración se nos pedirá una confirmación, ya sea a través de un botón físico o usando un segundo factor de autenticación utilizando Google Authenticator, con el objetivo de proteger la configuración del router.

Tal y como habéis visto, podemos realizar teletrabajo de forma segura en nuestro hogar y con la conexión a Internet de nuestra casa, sin embargo, es recomendable realizar ciertas configuraciones en nuestro router para proteger a nivel de red los equipos del trabajo como ordenadores, portátiles o smartphones. Si vamos a teletrabajar, es posible que nuestra empresa nos haya proporcionado una conexión VPN, esto es una medida de seguridad adicional para que todo el tráfico desde nuestro equipo hasta el servidor VPN de la empresa vaya cifrado y autenticado, proporcionándonos confidencialidad de los datos extremo a extremo.