UPnP es un conjunto de protocolos de red diseñado principalmente para permitir que los dispositivos de una misma red local se descubran y se conecten entre sí automáticamente. Si esto suena como un sueño para los usuarios sin conocimientos técnicos, en muchos aspectos, lo es.

Después de todo, en el mundo ultraconectado de hoy, la comodidad es lo primero. Desde consolas de videojuegos que se conectan sin esfuerzo a internet hasta smart TVs y dispositivos IoT(nueva ventana) que parecen “funcionar de inmediato” sin necesidad de configuración, las redes modernas están diseñadas para minimizar el esfuerzo del usuario. Una de las tecnologías que hace posible toda esta conectividad perfecta de forma silenciosa es Universal Plug and Play (UPnP).

Sin embargo, UPnP también se suele utilizar para configurar la redirección de puertos en los enrutadores, lo que permite que los dispositivos en internet accedan a los recursos de su red de área local (LAN). Esto (junto con otras vulnerabilidades de seguridad que analizaremos más adelante) significa que podría ser una buena idea desactivar UPnP por completo.

En este artículo, veremos:

¿Qué es UPnP?

Como su nombre lo indica, el objetivo principal de UPnP es hacer que los dispositivos conectados en red sean “plug and play” (conectar y usar). En otras palabras, cuando conecta un dispositivo a su red, debería funcionar de inmediato, sin necesidad de explorar los ajustes de su enrutador, abrir puertos o lidiar con direcciones IP.

UPnP lo logra mediante un conjunto de protocolos de red que permiten que los dispositivos de su red local, como computadoras personales, impresoras, módems, enrutadores y dispositivos móviles, descubran sin problemas la presencia de los demás en la red y luego se comuniquen entre sí.

UPnP también se puede utilizar para configurar la redirección de puertos, enrutando las conexiones a través del cortafuegos de su enrutador para que pueda conectar dispositivos en internet con dispositivos en su red local. Los motivos comunes para esto incluyen:

  • Dispositivos IoT: Por ejemplo, es posible que desee verificar la transmisión de su cámara de seguridad, controlar su termostato inteligente o gestionar su sistema de hogar inteligente desde cualquier parte del mundo.
  • Servidores de medios domésticos: para que pueda ver contenido de su servidor Plex o Jellyfin a través de internet mientras está fuera de casa
  • Servidores de juegos: para que pueda alojar juegos multijugador sin pagar tarifas de servidores de terceros
  • Intercambio de archivos P2P: para permitir conexiones entrantes con el fin de mejorar las velocidades de descarga. Consulte nuestra Guía definitiva de torrents para obtener más información sobre cómo funciona esto.

¿Cómo funciona UPnP?

En pocas palabras, el funcionamiento de UPnP se puede desglosar en los siguientes pasos:

  1. Descubrimiento: cuando un dispositivo se conecta a una red, transmite un mensaje para anunciar su presencia. Otros dispositivos de la red pueden responder a este mensaje, lo que les permite descubrirse entre sí.
  2. Descripción: una vez que los dispositivos se han descubierto entre sí, intercambian información sobre sus capacidades y servicios. En este paso, los dispositivos comparten detalles sobre lo que pueden hacer y cómo otros dispositivos pueden interactuar con ellos.
  3. Configuración automática: los dispositivos pueden solicitar la redirección de puertos al enrutador de forma automática. Por ejemplo, una consola de videojuegos podría solicitar al enrutador que abra puertos específicos para poder alojar juegos multijugador sin intervención manual.

¿Por qué es peligroso UPnP?

Aunque UPnP ofrece una comodidad innegable, también introduce graves problemas de seguridad. Lo que hace que UPnP sea riesgoso no es solo cómo funciona, sino el poco control y visibilidad que se suele tener sobre lo que hace detrás de escena. Los principales riesgos de UPnP son:

Redirección de puertos automática

Aunque está diseñada principalmente para conectar dispositivos en una red local, una de las funciones más útiles de UPnP es la capacidad de abrir puertos automáticamente en un enrutador para que los dispositivos de su LAN puedan comunicarse con dispositivos en internet. Desafortunadamente, los puertos abiertos pueden permitir que actores maliciosos accedan a los dispositivos de su red local.

Cabe señalar que este riesgo también está presente si configura manualmente la redirección de puertos en su enrutador. Sin embargo, si UPnP está activado, puede abrir puertos para configurar automáticamente múltiples dispositivos (potencialmente vulnerables) en su red local sin su conocimiento.

Sin autenticación

UPnP se diseñó pensando en redes locales de confianza, por lo que no suele requerir ninguna autenticación de los dispositivos para funcionar. Esto significa que cualquier dispositivo en la misma red (incluidos los que puedan estar comprometidos) puede enviar solicitudes al enrutador para abrir puertos o redireccionar el tráfico.

Si hay malware en un solo dispositivo infectado dentro de su red, este puede modificar silenciosamente los ajustes de red y abrir brechas en su cortafuegos sin su conocimiento, lo que permite que el malware se comunique con el mundo exterior. Esto es lo que ocurrió con la infame red de bots Mirai(nueva ventana), que explotó las vulnerabilidades de UPnP para infectar dispositivos IoT (como cámaras domésticas) y enrutadores para lanzar algunos de los ataques DDoS(nueva ventana) más grandes del mundo.

Esta falta de autenticación también significa que el malware puede propagarse fácilmente a través de los dispositivos UPnP conectados a su red local.

Mayor riesgo de ataques de escaneo de puertos

Debido principalmente a enrutadores más antiguos o mal configurados que aceptan conexiones UPnP desde internet (not solo locales), millones de dispositivos de red y enrutadores(nueva ventana) son vulnerables a ataques DDoS y de otro tipo.

Por qué debería desactivar UPnP

UPnP puede facilitar las cosas al automatizar la configuración de su red, pero su falta de controles de seguridad y su potencial de abuso lo convierten en una función de alto riesgo. Esto es especialmente cierto en los enrutadores de consumo, donde la filosofía de diseño por defecto de UPnP de “confiar en todo” simplemente no se alinea con las mejores prácticas de seguridad modernas y favorece la propagación de malware. Por lo tanto, para la mayoría de las personas, se podría decir que la comodidad no vale el riesgo.

La falta de visibilidad sobre qué puertos están abiertos, por qué lo están y si los ha cerrado correctamente crea puntos ciegos en la seguridad de su red. Esto proporciona un punto de entrada fácil para el malware y los piratas informáticos, quienes luego pueden crear puertas traseras persistentes en su red, o incluso enrutar su tráfico a través de servidores DNS controlados por atacantes (como se vio con el troyano Switcher(nueva ventana)).

Una solución mucho mejor es configurar manualmente la redirección de puertos cuando lo necesite, para que tenga un control y una supervisión completos sobre qué puertos están abiertos.

Aprenda a configurar manualmente la redirección de puertos en varios enrutadores

Tenga en cuenta, sin embargo, que no tiene sentido configurar la redirección de puertos en su enrutador para dispositivos que se conectan a una VPN (ver más abajo).

Redirección de puertos, UPnP y VPN

Cuando conecta un dispositivo a un servidor VPN, todos los datos que viajan entre el dispositivo y el servidor se enrutan a través de un túnel VPN cifrado. Mientras viajan a través de este túnel VPN, ninguna otra persona o dispositivo puede ver sus datos.

Esto incluye a su proveedor de servicios de internet (ISP) y, por extensión, a su gobierno, pero también incluye a su propio enrutador. Por lo tanto, al usar una VPN, la conexión efectivamente elude su enrutador, lo que hace que UPnP (y la redirección manual de puertos en el enrutador) sean redundantes. La redirección de puertos cuando se usa una VPN significa abrir un puerto en el cortafuegos NAT que utiliza su proveedor de VPN para proteger el servidor VPN, no en el enrutador.

Si un dispositivo (or una aplicación que se ejecuta en ese dispositivo, como un cliente de BitTorrent) admite UPnP, debe desactivar el ajuste para evitar conflictos con el software de la VPN.

Obtenga más información sobre la redirección de puertos con Proton VPN

Cómo desactivar UPnP en los enrutadores

Desactivar UPnP en su enrutador es un proceso sencillo, pero los pasos exactos varían según la marca y el modelo de su enrutador. A continuación, se presentan instrucciones generales para desactivar UPnP en algunas de las marcas de enrutadores más comunes. En otros enrutadores, las instrucciones serán similares.

Para comenzar, ingrese la dirección IP de su enrutador (generalmente 192.168.1.1 o 192.168.0.1) en la barra de direcciones de su navegador e inicie sesión con su nombre de usuario de administrador y contraseña. Esto suele estar impreso en una etiqueta adherida a su enrutador (a menos que lo haya cambiado). Luego:

Enrutadores Linksys

Vaya a la pestaña AdministraciónUPnP → y cambie el ajuste de UPnP a desactivado. Haga clic en Guardar ajustes para aplicar los cambios. Es una buena práctica reiniciar su enrutador para asegurarse de que los cambios surtan efecto. Para hacerlo, vaya a la pestaña AdministraciónReiniciar.

Enrutadores Netgear

Vaya a la pestaña AdministraciónUPnP → y cambie el ajuste de UPnP a desactivado. Haga clic en Aplicar para guardar los cambios. Es una buena práctica reiniciar su enrutador para asegurarse de que los cambios surtan efecto. Para hacerlo, vaya a la pestaña MantenimientoReiniciar.

Enrutadores TP-Link

Vaya a la pestaña AvanzadoReenvío NATUPnP y cambie el ajuste de UPnP a desactivado. Es una buena práctica reiniciar su enrutador para asegurarse de que los cambios surtan efecto. Para hacerlo, vaya a la pestaña SistemaReiniciar.

Cómo desactivar UPnP en un enrutador TP-Link

Reflexiones finales sobre UPnP — comodidad a un costo

UPnP se diseñó con buenas intenciones: facilitar el uso de redes a la gente común al permitir que los dispositivos se comuniquen y se configuren de forma automática. Sin embargo, en una época en la que las ciberamenazas son más avanzadas y frecuentes que nunca, esta comodidad también representa un riesgo.

La falta de autenticación de UPnP, la redirección de puertos y su historial de explotación hacen que sea una función riesgosa de mantener activada, sobre todo en enrutadores domésticos que rara vez se supervisan o actualizan. Aunque puede simplificar la configuración de juegos, dispositivos de streaming y aparatos domésticos inteligentes, también abre silenciosamente puertas por las que los hackers y el malware están más que encantados de entrar.

Afortunadamente, desactivar UPnP es sencillo y la mayoría de las personas no notarán ninguna diferencia en su uso diario de internet, especialmente si se toma un poco de tiempo para configurar manualmente los pocos servicios que realmente necesitan puertos abiertos.

Esto es aún más fácil si usa Proton VPN en sus dispositivos, ya que simplemente necesita activar la función y nosotros abriremos un puerto adecuado en nuestro cortafuegos de VPN para usted.

Aprenda a utilizar la redirección de puertos con Proton VPN