• El foro de relojes de habla hispana con más tráfico de la Red, donde un reloj es algo más que un objeto que da la hora. Relojes Especiales es el punto de referencia para hablar de relojes de todas las marcas, desde Rolex hasta Seiko, alta relojería, relojes de pulsera y de bolsillo, relojería gruesa y vintages, pero también de estilográficas. Además, disponemos de un foro de compraventa donde podrás encontrar el reloj que buscas al mejor precio. Para poder participar tendrás que registrarte.

    IMPORTANTE: Asegúrate de que tu dirección de email no está en la lista Robinson (no publi), porque si lo está no podremos validar tu alta.

Octubre mes de la Ciberseguridad - Día 21: Seguridad para tus dispositivos IoT / domótica

  • Iniciador del hilo Iniciador del hilo jorgesdb
  • Fecha de inicio Fecha de inicio
jorgesdb

jorgesdb

Forer@ Senior
Contribuidor de RE
Verificad@ con 2FA
Los dispositivos inteligentes (cámaras, bombillas, enchufes, termostatos, puertas, asistentes, etc.) hacen la vida más cómoda, pero si no se configuran bien pueden abrir puertos en tu router y quedar accesibles desde Internet. Eso permite desde espionaje (cámaras) hasta formar parte de botnets o permitir acceso a tu red doméstica.

Y no os hacéis una idea de la cantidad de dispositivos que están disponibles en la red, no solo de particulares, también de empresas.

Conceptos clave​

  • Puerto abierto: un servicio en tu red que acepta conexiones desde fuera (Internet).
  • IP pública: la dirección que te asigna el proveedor y por la que te ven desde fuera. Es un número que te identifica en la red igual que tu número de teléfono te identifica en la red telefónica.
  • UPnP (Universal Plug and Play): protocolo que permite a dispositivos pedir al router “ábreme este puerto” automáticamente, sin pedir credenciales. Y muchos routers de operadoras vienen con este protocolo activado por defecto.
  • NAT: el router traduce direcciones internas a la IP pública; para que un servicio interno sea accesible desde fuera, hace falta una correlación de puertos (mapeo).

¿Por qué se abren puertos automáticamente (UPnP) y por qué es un problema?​

  • Apps de cámara o de control remoto piden acceso directo para ver vídeo sin pasar por la nube.
  • Consolas y juegos usan NAT-PMP/UPnP para juegos online y conexiones P2P.
  • Algunas funciones “remotas” de fabricantes (acceso desde app cuando estás fuera) usan mapeos temporales.
Qué puede fallar
  • UPnP no requiere autenticación fuerte: cualquier dispositivo con acceso a tu red local puede pedir un puerto y el router concedérselo sin que tú recibas una alerta.
  • Si un dispositivo está comprometido (vulnerabilidad), el atacante puede pedir abrir puertos y exponer la red.
  • Muchos routers dejan UPnP activado por defecto; muchos dispositivos IoT usan credenciales por defecto o firmware sin actualizar.
Riesgos
  • Cámaras visibles desde Internet, sin contraseña fuerte.
  • Servicios con vulnerabilidades accesibles desde Internet.
  • Exposición de otros equipos detrás del router si se hacen reenvíos amplios.

Cómo comprobar (fácil y seguro) si tienes puertos abiertos al exterior​

A) Comprobaciones muy sencillas (usuario medio)
  1. Averigua tu IP pública: busca “¿cuál es mi IP?” en tu navegador (o en el panel del router).
  2. Usa un «port scanner» online para tu IP pública: hay servicios gratuitos (p. ej. ShieldsUP! u otros scanners públicos) que comprueban puertos comunes (HTTP, SSH, RTSP, etc.). Simplemente escribe tu IP pública y espera el resultado.
  3. También puedes usar apps móviles de diagnóstico como Fing (Android/iOS) que detectan dispositivos en tu red y te indican si hay servicios abiertos o UPnP activo.
  4. Llama a tu proveedor y que ellos miren la configuración de tu router y te indiquen si UPnP está activo, tienes puertos abiertos al exterior y, si no lo necesitas (lo más común), que lo desactiven.
B) Comprobaciones intermedias (si te sientes cómodo)
  • Entra al panel de administración del router (normalmente 192.168.1.1 o 192.168.0.1). Busca la sección de “Port Forwarding”, “NAT”, “UPnP” o “Status / Logs”. Ahí verás mapeos activos y aplicaciones que pidieron puertos.
  • Muchos routers muestran un listado llamado “UPnP mappings” o “Assigned ports” con IP interna, puerto local y puerto externo.
C) Comprobación avanzada (solo si sabes lo que haces)
  • Desde un equipo con nmap instalado (Linux / macOS / Windows con nmap) puedes escanear tu IP pública:
    nmap -Pn -p 1-1024 <tu_ip_publica>
    (esto te muestra qué puertos responden).
    Nota: solo escanea tu propia IP pública y no redes ajenas; el uso de nmap en redes de terceros sin permiso puede ser ilegal.

Nota: A veces estos dispositivos abren puertos fuera de los rangos más habituales, si el servicio de escaneo te permite elegir puertos, elige del 1 al 65535. Si te deja elegir entre protocolos TPC, UDP y TCP/UDP, elige este último.


Qué hacer si detectas puertos abiertos​

Pasos inmediatos
  1. No entres en pánico. Anota qué puertos/servicios aparecen.
  2. Accede al panel de tu router y revisa la sección UPnP / Port Forwarding. Identifica las entradas y la IP interna que las solicita.
  3. Si hay mapeos que no reconoces, bórralos.
  4. Desactiva UPnP si no necesitas que dispositivos abran puertos automáticamente.
  5. Reinicia el router después de cambios (y el dispositivo implicado).
Medidas adicionales
  • Cambia las contraseñas por defecto de los dispositivos IoT (y del panel del router).
  • Actualiza el firmware del router (o pide a tu proveedor de internet que lo haga) y de los dispositivos IoT.
  • Habilita el firewall del router (la mayoría tiene opción “Block incoming traffic” o “Stealth mode”). Esto debería venir por defecto y sería raro que no estuviese activo. No estarlo podría ser un indicador de compromiso, que alguien ha entrado a tu red.
  • Desactiva la administración remota del router (Remote Management / WAN Access) si está activada.
  • Usa Wi-Fi guest para IoT y deja tu red principal para dispositivos de confianza (ordenadores, móvil).
  • Si necesitas acceso remoto a la red de tu casa, utiliza alguna solución que no requiera de apertura de puertos. Tailscale es una aplicación disponible para Windows, macOS, Linux, Android e iOS que te permite comunicarte entre dispositivos que tenga la app instalada y configurada para pertenecer a una misma red, incluso estando fuera de casa.

UPnP: cómo funciona y por qué deberías desactivarlo​

Qué hace UPnP
  • Un dispositivo en la red local puede enviar una petición al router: “mapéame el puerto TCP/UDP X a la IP local Y”. El router crea la regla NAT y permite conexiones desde Internet al puerto abierto.
Por qué es cómodo pero peligroso
  • Ventaja: configuración automática para juegos, cámaras y apps sin configurar el router manualmente.
  • Inconveniente: no requiere autenticación fuerte; cualquier malware o app maliciosa en tu red interna puede pedir puertos. UPnP ha sido explotado por botnets y malware en el pasado.
Qué hacer
  • Desactivar UPnP en el router si no necesitas mapeos automáticos.
  • Si necesitas el beneficio (ej. consola para jugar), activa UPnP temporalmente solo cuando juegues y desactívalo al terminar, o mejor: configura mappings manuales y seguros para el servicio concreto.
  • Consulta el manual del router para desactivarlo: suele estar en Administración → UPnP → Desactivar.

Recomendaciones prácticas paso a paso para un usuario medio​

  1. Entra en la interfaz del router:
    • Abre el navegador y escribe 192.168.1.1 (o la dirección indicada en el router).
    • Accede con usuario y contraseña (si usas las credenciales de fábrica, cámbialas ya).
  2. Revisa estas opciones y aplícalas:
    • Remote Management: OFF.
    • UPnP: OFF (si no lo necesitas).
    • Port Forwarding: eliminar reglas que no reconozcas.
    • Firewall: ON / High.
    • Wi-Fi Guest: configurar red separada para IoT.
    • Admin password: cambia a contraseña fuerte.
    • Firmware: buscar actualización y aplicar si hay una más reciente.
  3. Cambia contraseñas por defecto en cada dispositivo IoT (usuario + contraseña).
  4. Activa actualizaciones automáticas en dispositivos IoT si el fabricante lo permite.
  5. Usa una red de invitados para cámaras y dispositivos de terceros.
  6. Si vas a permitir acceso remoto, prefiere la solución cloud del fabricante con MFA o usa VPN en lugar de abrir puertos.

Si no te aclaras pide ayuda a tu proveedor de Internet (ISP)​

Qué puedes pedirles
  • Que deshabiliten la administración remota del router desde Internet.
  • Que revisen mapeos de puertos y te expliquen qué servicios están expuestos.
  • Que actualicen el firmware del router (si gestionan el equipo).
  • Que te ayuden a activar el firewall avanzado o poner el router en “modo seguro”.
  • Que configuren una red de invitados (algunos ISPs lo hacen por ti).
  • Que bloqueen puertos de entrada sospechosos a nivel de su infraestructura (por ejemplo, bloquear 23/TCP Telnet, 3389/RDP si no se usan).
 
  • Me gusta
Reacciones: macnacho

Hilos similares

jorgesdb
Octubre mes de la Ciberseguridad - Día 12: Cuidado con los dispositivos USB desconocidos
Respuestas
0
Visitas
138
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 4: No uses Wi-Fi público sin protección
Respuestas
5
Visitas
305
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 3: Mantén tus dispositivos y programas actualizados
Respuestas
0
Visitas
169
jorgesdb
jorgesdb
jorgesdb
Octubre mes de la Ciberseguridad - Día 11: Bloquea tu ordenador, móvil y tablet
Respuestas
1
Visitas
124
Asenna.
Asenna.
jorgesdb
Octubre mes de la Ciberseguridad - Día 16: ¿Es segura tu oficina o tu hotel?
Respuestas
0
Visitas
86
jorgesdb
jorgesdb
Atrás
Arriba Pie