Seguridad WiFi empresarial: 10 errores que dejan abierta tu red

La seguridad de la red WiFi es el punto ciego de la ciberseguridad en las PyMEs. Las empresas invierten en antivirus, en firewalls, a veces hasta en capacitacion de phishing, pero dejan la red inalambrica con la configuracion que trajo el tecnico de Internet el dia de la instalacion. El resultado es una puerta abierta que ningun firewall puede compensar.

Estos son los 10 errores mas frecuentes, ordenados por impacto, con la explicacion tecnica de por que cada uno es peligroso y la solucion practica para corregirlo.

Error 1: Contrasena por defecto del router

El error mas basico y el mas comun. El panel de administracion del router (generalmente en 192.168.0.1 o 192.168.1.1) tiene credenciales por defecto que se encuentran en Google en 10 segundos: admin/admin, admin/1234, admin/password. Con acceso al panel, un atacante puede modificar los DNS (redirigiendo todo el trafico a servidores maliciosos), abrir puertos, crear reglas de reenvio y basicamente controlar toda la red.

Solucion: Cambiar la contrasena del panel de administracion por una de al menos 16 caracteres. Deshabilitar el acceso al panel desde WiFi (permitir solo por cable). Si el router lo permite, cambiar el usuario "admin" por otro nombre.

Error 2: Usar WEP o WPA (sin el "2" o "3")

WEP (Wired Equivalent Privacy) fue roto en 2001. No es una exageracion: existen herramientas gratuitas (aircrack-ng) que obtienen la clave WEP en menos de 5 minutos capturando paquetes. WPA (primera version) es marginalmente mejor pero tambien tiene vulnerabilidades conocidas que permiten ataques de diccionario efectivos.

En 2026, el estandar minimo aceptable es WPA2-AES (no WPA2-TKIP, que tambien tiene debilidades). Lo ideal es WPA3 si el hardware lo soporta. El problema es que muchos routers provistos por ISPs argentinos todavia vienen con WPA2-TKIP como default, y los equipos mas viejos directamente no soportan WPA3.

Solucion: Verificar en la configuracion del router que el cifrado sea WPA2-AES o WPA3. Si el router no soporta WPA2-AES, reemplazarlo. El costo de un router que soporte WPA3 es menor que el costo de un incidente.

Error 3: No tener red de invitados

Cuando un cliente, proveedor o visitante pide la clave del WiFi y se le da la misma que usa toda la empresa, esa persona tiene acceso a la misma red que los servidores, las impresoras de red, las carpetas compartidas y las camaras IP. No porque tenga malas intenciones, sino porque su dispositivo (que la empresa no controla) puede estar infectado.

Un smartphone con malware conectado a la red corporativa puede escanear la red, identificar dispositivos vulnerables (impresoras sin parchar, NAS con contrasena por defecto, camaras IP) y moverse lateralmente sin que nadie lo detecte.

Solucion: Configurar una red de invitados (guest network) en el router. La mayoria de los routers actuales lo permiten. La red de invitados debe tener una contrasena diferente, estar aislada de la red principal (sin acceso a dispositivos internos) y tener un ancho de banda limitado.

Error 4: No segmentar con VLANs

Incluso dentro de la red corporativa, no todos los dispositivos deberian poder comunicarse entre si. Las camaras de seguridad no necesitan acceder al servidor de archivos. Las impresoras no necesitan llegar a la base de datos. Los celulares personales de los empleados no necesitan ver las carpetas compartidas.

Las VLANs (Virtual LANs) permiten crear segmentos de red aislados dentro de la misma infraestructura fisica. Un atacante que compromete un dispositivo en la VLAN de IoT (camaras, sensores) no puede saltar a la VLAN de servidores sin superar una barrera adicional.

Solucion: Implementar al menos 3 VLANs: corporativa (PCs y servidores), IoT (camaras, impresoras, dispositivos inteligentes) y personal (celulares de empleados). Esto requiere un switch gestionable y un router que soporte VLANs —inversion tipica de $100-300 USD para una PyME.

Error 5: Contrasena WiFi compartida y nunca cambiada

La contrasena del WiFi corporativo se comparte por WhatsApp, se pega en un papelito en la recepcion, se dicta por telefono. Todos los empleados (actuales y anteriores), todos los tecnicos que vinieron alguna vez, todos los proveedores la conocen. Y nunca se cambia porque "es un quilombo reconectar todos los dispositivos".

Cada persona que conoce la contrasena es un vector de ataque potencial. Un ex empleado descontento, un tecnico que anoto la clave, un proveedor que la comparte con otro —todos pueden acceder a la red desde el estacionamiento del edificio.

Solucion: Para empresas de mas de 10 empleados, implementar WPA2/WPA3 Enterprise con autenticacion individual (cada usuario tiene su propia credencial). Para empresas mas chicas, cambiar la contrasena al menos cada 90 dias y cada vez que un empleado deja la empresa. Si, es molesto reconectar dispositivos. Menos molesto que un ransomware.

Error 6: Sin monitoreo de dispositivos conectados

Si preguntamos a un dueno de PyME cuantos dispositivos estan conectados a su red WiFi en este momento, la respuesta mas comun es "no se". Esa ignorancia es exactamente lo que un atacante necesita: si nadie sabe que deberia estar conectado, nadie nota cuando algo que no deberia estar conectado aparece.

Un access point falso (evil twin), un dispositivo de escucha (WiFi pineapple) o simplemente un intruso que adivino la contrasena pueden operar durante meses sin ser detectados si nadie revisa la lista de dispositivos conectados.

Solucion: Revisar semanalmente la lista de dispositivos conectados (disponible en el panel del router). Mejor aun, implementar una herramienta de monitoreo de red que alerte cuando se conecta un dispositivo desconocido. No hace falta un SIEM empresarial: un script que lea la tabla ARP y compare con una lista blanca alcanza para una PyME.

Error 7: Ubicacion inadecuada de access points

Un access point ubicado contra la pared que da a la calle emite senal hacia afuera del edificio. Un atacante puede sentarse en un auto estacionado y trabajar con la senal de la empresa sin pisar la oficina. Lo mismo aplica a routers en plantas bajas con ventanas a la vereda o en oficinas que comparten pared con pasillos de acceso publico.

Solucion: Ubicar los access points en el centro del espacio a cubrir, lejos de paredes externas. Reducir la potencia de transmision al minimo necesario para cubrir el area de trabajo. No necesitas que la senal llegue al estacionamiento —necesitas que llegue a todos los escritorios.

Error 8: Firmware desactualizado

Los routers y access points tienen firmware (software interno) que se actualiza periodicamente para corregir vulnerabilidades. La vulnerabilidad KRACK (2017) afecto a practicamente todos los dispositivos WPA2 del mundo. La vulnerabilidad FragAttacks (2021) afecto a todos los dispositivos WiFi fabricados desde 1997. Ambas fueron parcheadas por los fabricantes —pero solo si el usuario aplica la actualizacion.

En la practica, el router de una PyME tipica tiene el firmware con el que salio de fabrica. Nunca se actualizo, nunca se va a actualizar, y tiene vulnerabilidades conocidas y explotables.

Solucion: Verificar mensualmente si hay actualizaciones de firmware disponibles para todos los dispositivos de red. Configurar actualizaciones automaticas si el dispositivo lo permite. Si el fabricante ya no publica actualizaciones (equipo en fin de vida), reemplazarlo.

Error 9: No usar filtrado MAC para segmentos criticos

El filtrado por direccion MAC no es una medida de seguridad fuerte (las direcciones MAC se pueden clonar en segundos), pero si es una capa adicional util para segmentos criticos de la red. Si la VLAN de servidores solo acepta las MACs de los equipos autorizados, un atacante que comprometa la contrasena WiFi todavia necesita un paso adicional para acceder a ese segmento.

La clave es no depender del filtrado MAC como unica medida, sino usarlo como una capa mas dentro de una estrategia de defensa en profundidad.

Solucion: Implementar filtrado MAC en las VLANs criticas (servidores, dispositivos de red, sistemas de pago). No implementarlo en la red general de empleados (genera mas problemas operativos que beneficios). Combinarlo siempre con WPA2/WPA3 Enterprise.

Error 10: Broadcasting del SSID con informacion innecesaria

La red se llama "EMPRESA-LOPEZ-CONTADORES" o "CLINICA-SAN-MARTIN-5TO-PISO". El nombre del SSID le dice a cualquier persona con un celular que tipo de empresa hay ahi, que hace y donde esta. Para un atacante que busca objetivos, es como poner un cartel de "aca hay datos valiosos".

Ocultar el SSID completamente no es una solucion efectiva (las herramientas de auditoria WiFi lo detectan igual), pero si se puede usar un nombre generico que no revele informacion sobre la organizacion.

Solucion: Renombrar las redes con identificadores genericos: "RED-01", "CORP-A", "GUEST-1". No incluir el nombre de la empresa, la actividad, la ubicacion ni el piso. Para la red de invitados, un nombre amigable pero generico como "Invitados" es suficiente.

Donde empezar: las 3 acciones de mayor impacto

Si tu empresa tiene los 10 errores y no sabes por donde empezar, estas tres acciones cubren el 80% del riesgo:

1. Cambiar las credenciales del router (panel de administracion y contrasena WiFi). Asegurarse de que el cifrado sea WPA2-AES o WPA3. Tiempo: 15 minutos.
2. Crear una red de invitados separada de la red corporativa. Tiempo: 10 minutos en la mayoria de los routers.
3. Revisar que dispositivos estan conectados ahora mismo. Si hay alguno que no reconoces, desconectalo y cambia la contrasena. Tiempo: 20 minutos.

Estas tres acciones se pueden completar en menos de una hora, no requieren inversion adicional, y eliminan los vectores de ataque mas comunes. Para un analisis mas completo de la postura de ciberseguridad en tu PyME, la evaluacion deberia incluir tambien endpoints, email y acceso remoto, pero la red WiFi es el punto de partida logico porque es el mas expuesto y el mas facil de corregir.