¿Hay que regular por ley la seguridad de los routers?
Alemania se ha convertido en el primer país europeo en regular la seguridad de los routers. Un documento publicado por la Oficina Federal Alemana para la Seguridad de la Información propone una serie de reglas de seguridad que deberían cumplir los enrutadores que se instalen en hogares y empresas.
De momento se trata de una propuesta de carácter voluntario, que no tiene visos de convertirse en ley. Sin embargo, plantea un debate muy interesante que puede extenderse a otros países como España. ¿Hasta qué punto son seguros los routers con los que accedemos a Internet?
En los últimos años hemos visto diversos ejemplos de ciberataques que aprovechan las vulnerabilidades de seguridad de algunos modelos de routers. Uno de los más sonados fue el ataque que dejó sin Internet a 900.000 usuarios alemanes. Pero también los han sufrido algunos modelos de fabricantes como Huawei, Cisco o incluso los routers inalámbricos de los smartphones con Android.
Para evitar estos ataques, el documento publicado en Alemania propone estándares de seguridad básica para los routers. Por ejemplo, incorporar el protocolo WPA2, usar contraseñas de mínimo 20 dígitos o no revelar información sobre el dispositivo y el fabricante en el identificador por defecto de la red doméstica (ESSID). También recomienda que el usuario pueda acceder fácilmente al firmware del dispositivo para cambiar la contraseña y configurar los puertos y la seguridad de la red inalámbrica; algo que no siempre resulta sencillo en los enrutadores antiguos o los modelos básicos.
Se trata de una iniciativa pionera en Europa, aunque no es la primera de este tipo en el mundo. Por ejemplo, el estado de California aprobó en octubre una ley que prohíbe que los dispositivos conectados salgan de fábrica con una contraseña por defecto, a menudo tan elemental como “0000”. Esta es una de las principales causas del robo de WiFi y el hackeo de dispositivos. Por su parte, en nuestro país no hay una legislación similar, aunque el Instituto Nacional de Ciberseguridad de España (INCIBE) ha publicado algunas recomendaciones respecto a cómo proteger las redes WiFi.
Reglamento europeo y libre elección para mayor seguridad
Aunque la iniciativa alemana ha puesto sobre la mesa un debate necesario, algunas fuentes del sector matizan que puede que no sea el enfoque más adecuado. Por ejemplo Ralf Muntean, Country Manager en España del fabricante alemán de routers AVM, señala que los routers son solo una parte del problema: “La seguridad de las redes inalámbricas es una prioridad para AVM e innovamos constantemente para garantizarla. Sin embargo, no debemos centrarnos solo en los routers: hay otros dispositivos de red que son muy vulnerables, como por ejemplo algunos modelos de cámaras IP. Tener un router seguro conectado a un ordenador sin protección u otros equipos de red que no ofrezcan la mínima seguridad provoca que el usuario se halle desprotegido frente a los ciberataques”.
Por otro lado, el carácter voluntario y unilateral de la propuesta de la Oficina Federal Alemana para la Seguridad de la Información hace muy difícil que estos estándares sean adoptados ampliamente por los fabricantes de routers. Tal y como señala Muntean: “Sería más deseable que se abriera un debate a nivel europeo y se promulgaran unos estándares de seguridad básicos para todos los dispositivos de red, no solo los routers, por ejemplo en el marco del futuro Reglamento de Ciberseguridad europeo”.
Esta propuesta de reglamento, que se está debatiendo en el Parlamento Europeo, señala que “es necesario un nivel de seguridad mínimo para los dispositivos de la Internet de las personas” y destaca además que “la certificación es un método clave para proporcionar un nivel de seguridad superior”.
Un último aspecto importante es la libertad de elección del router, que en países como Alemania o Italia está regulada por ley, pero en España no. En nuestro país, el proveedor de servicios de Internet entrega un router “gratuito” al realizar la instalación, que los usuarios usan durante años aunque quede desactualizado y no incorpore las últimas innovaciones y medidas de seguridad. “Es más lógico que los usuarios puedan elegir libremente el router que desean usar de acuerdo con las necesidades de su red y lo renueven periódicamente. Como cualquier otro dispositivo informático, con el paso del tiempo los routers quedan obsoletos y no garantizan la seguridad” concluye Ralf Muntean de AVM.
En este sentido, los routers de gama alta incorporan características de seguridad que no se encuentran en los routers de bajo coste. Por ejemplo, los enrutadores FRITZ!Box de AVM ofrecen un alto rendimiento de la red WiFi con las últimas medidas de seguridad como cifrado WPA2, una interfaz amigable para cambiar la contraseña, control parental, protección contra el phishing, acceso para invitados sin revelar la clave del WiFi e incluso la posibilidad de verificar si hay intrusos en la red.