Red de Invitados como Red Predeterminada
Con el exponencial crecimiento del Internet de las Cosas (IoT), cada vez son más los dispositivos que requieren conectarse a Internet en nuestras casas, como por ejemplo una televisión, una cámara de seguridad, hasta enchufes “inteligentes”, apagadores “inteligentes”, focos “inteligentes” y demás dispositivos que podamos (o no) siquiera imaginar (y que insisten en llamar “inteligentes”), lo cual conlleva un muy alto riesgo, ya que únicamente se requiere explotar una sola vulnerabilidad en cualquiera de dichos dispositivos, para que alguien pudiera tener acceso por completo a toda nuestra red.
Muy pocos usuarios son conscientes de este riesgo, y además pueden implementar en sus casas soluciones robustas como utilizar por ejemplo VLANs (redes virtuales), o subredes independientes con reglas de firewall que bloquean el tráfico entre ellas, entre otras, sin embargo, la mayoría de usuarios en su casa solamente tienen el equipo que entrega el proveedor de Internet, o en su caso, simplemente hemos añadido un equipo propio con mejores características para administrarlo a nuestra voluntad, (lo cual recomiendo ampliamente), sin embargo, sin importar cualquiera de ambos escenarios, lo más probable es que tengamos la posibilidad de habilitar la red de invitados y con ello optimizar e incrementar la seguridad de nuestra red de forma muy simple.
La gran mayoría de los (en)ruteadores cuenta con la función de habilitar una red de invitados, ofreciendo para dicha red algunas características como la temporalidad, limitar la velocidad, entre algunas otras características como el aislamiento de punto de acceso (AP Isolation), el cual consiste en que un dispositivo conectado no pueda comunicarse con ningún otro dispositivo conectado, lo cual le complicaría a un atacante que haya vulnerado un dispositivo en nuestra red de invitados, el poder acceder a otro dispositivo.
Por todo esto, considero debemos cambiar nuestro paradigma, utilizando la red de invitados en forma predeterminada, es decir, todo nuevo dispositivo que requiera conectarse a Internet, lo hará por la red de invitados en forma totalmente aislada, pero única y exclusivamente los dispositivos que requieran comunicarse entre ellos (ejem. computadoras, impresora, etc.), se conectarán a la red principal, donde idealmente, no debería permitirse la conexión a menos que se registre la dirección MAC en la lista blanca de dispositivos permitidos, y por último, limitar el ancho de banda de la red de invitados con la finalidad de evitar que por ejemplo nuestra videollamamada importante se vea arruinada porque otra persona esté viendo Netflix, o porque incluso un dispositivo haya decidido descargar una actualización de firmware en ese preciso momento.
Por último, cada marca tiene configuraciones diferentes, por lo cual puede llegar a ser necesario habilitar explícitamente el aislamiento dentro de las opciones de la red de invitados, y además verificar que efectivamente se cuente con dicha funcionalidad (extrañamente llega a haber uno que otro caso donde no hay forma de aislar dispositivos bajo la red de invitados).