WiFi de oficina: 7 configuraciones que tenés mal
Hace tres meses hicimos un diagnóstico en una oficina de 25 personas. Entramos al panel del router WiFi con la contraseña de fábrica. Literal: admin/admin. El WiFi de invitados estaba en la misma red que los servidores. Y la señal llegaba hasta el estacionamiento del edificio de al lado. Si suena familiar, siga leyendo.
1. Contraseña del panel de administración: la de fábrica
El 70% de los routers y puntos de acceso que encontramos en PyMEs aún tienen las credenciales de administración por defecto. admin/admin, admin/password, o el clásico admin/
Cambie el password de administración hoy. 16 caracteres mínimo. Guardado en el gestor de contraseñas corporativo. Y deshabilite la administración remota (WAN) del router — solo se administra desde adentro de la red.
2. WiFi de invitados en la misma red que los servidores
El clásico: un cliente, proveedor o repartidor pide la contraseña del WiFi. Se la dan. Esa persona ahora está conectada a la misma red donde están los servidores, las impresoras, y los backups. Si su laptop está infectada —o peor, si es un atacante haciéndose pasar por cliente— ya está adentro. Sin forzar nada. Usted lo invitó.
Active la VLAN de invitados en su router o access point. Red separada. Solo acceso a internet, sin acceso a la LAN corporativa. Si su router no soporta VLANs, cámbielo. Un Unifi o TP-Link Omada básico cuesta $2,000 MXN y lo hace.
3. Señal que llega a tres pisos y al estacionamiento
Más cobertura no es mejor. Es peor. Si su WiFi llega al edificio de al lado o al estacionamiento, cualquiera desde afuera puede intentar conectarse sin siquiera entrar a la oficina. Los ataques contra WiFi (deauth, handshake capture, brute force de WPA2) se hacen desde afuera, en un auto, con una laptop y una antena de $300 pesos.
Ajuste la potencia de transmisión en los access points. Bájela hasta que la señal sea buena dentro de la oficina y muera en las paredes. Si tiene múltiples APs, use la potencia mínima necesaria en cada uno. Y jamás ponga un AP pegado a una ventana.
4. WPA2 con contraseña débil o compartida universalmente
WPA2 sigue siendo aceptable si tiene una contraseña fuerte. El problema es que casi nunca la tiene. «NombreDeLaEmpresa2020» no es una contraseña fuerte. Tampoco lo es el número de teléfono de la oficina. Y cuando la contraseña del WiFi corporativo es la misma para todos —empleados, visitas, dispositivos— cualquier persona que se va de la empresa sigue teniendo acceso. Para siempre. Porque cambiar la contraseña del WiFi corporativo significa actualizar 40 dispositivos y eso nadie lo quiere hacer un lunes.
Si su equipo lo soporta, active WPA3. Si no, WPA2 con una contraseña de 20+ caracteres generada aleatoriamente. Use un portal cautivo con credenciales individuales (RADIUS) para la red corporativa. Cada empleado se autentica con su usuario, no con una contraseña compartida. Si alguien se va, se desactiva su cuenta y listo. Sin tocar los 40 dispositivos.
5. WPS activado
WiFi Protected Setup: la función que permite conectar dispositivos presionando un botón o ingresando un PIN de 8 dígitos. Ese PIN es crackeable en menos de 4 horas con herramientas gratuitas. La mayoría de los routers vienen con WPS activado por defecto. Nadie lo desactiva.
Desactive WPS en todos los access points y routers. Ya. No lo necesita. Toma 30 segundos en el panel de administración.
6. Sin segmentación: todo en la misma red plana
Servidores, estaciones de trabajo, cámaras IP, impresoras, el refrigerador smart, los celulares de los empleados. Todo en 192.168.1.0/24. Sin VLANs. Sin segmentación. Si un dispositivo se compromete —y las cámaras IP son notoriamente inseguras— el atacante tiene acceso libre a todo lo demás.
Cree al menos tres VLANs: una para servidores y datos corporativos, otra para estaciones de trabajo, y otra para dispositivos IoT (cámaras, impresoras, smart TVs, etc.). Entre VLANs, reglas de firewall: IoT no puede iniciar conexiones hacia servidores. Las estaciones de trabajo solo acceden a los servidores que necesitan (puerto específico, IP específica). No es paranoia. Es sentido común.
7. Firmware sin actualizar desde la instalación
El router TP-Link que instaló el proveedor de internet en 2022. El access point Ubiquiti que configuraron y nunca más tocaron. El switch que «siempre ha funcionado bien». Todos tienen firmware. Todos los fabricantes publican parches de seguridad. Casi nadie los aplica.
En 2024, múltiples modelos de routers TP-Link, D-Link y Netgear tuvieron vulnerabilidades críticas que permitían ejecución remota de código sin autenticación. Parche disponible. En los diagnósticos que hicimos seis meses después, más de la mitad seguían sin actualizar.
Programe actualizaciones de firmware trimestrales en todo equipo de red. Suscríbase a los boletines de seguridad de los fabricantes. Si un equipo ya no recibe actualizaciones del fabricante (end of life), reemplácelo. Un access point de 2017 sin soporte es un riesgo más alto que no tener WiFi.
El checklist rápido
1. Cambiar contraseña de administración del router.
2. Activar VLAN de invitados separada de la LAN.
3. Bajar potencia de transmisión WiFi.
4. Activar WPA3 o contraseña WiFi fuerte con autenticación individual (RADIUS).
5. Desactivar WPS.
6. Crear VLANs separadas para servidores, estaciones y IoT.
7. Actualizar firmware de todos los equipos de red. Programar revisión trimestral.