UPnP es un conjunto de protocolos de red diseñado principalmente para permitir que los dispositivos de una misma red local se descubran y conecten entre sí automáticamente. Si esto suena como un sueño para los usuarios sin conocimientos técnicos, en muchos aspectos lo es.

Al fin y al cabo, en el mundo ultraconectado de hoy en día, la comodidad es lo primero. Desde consolas de videojuegos que se conectan a internet sin esfuerzo hasta televisores inteligentes y dispositivos IoT(ventana nueva) que parecen funcionar nada más sacarlos de la caja, las redes modernas están diseñadas para minimizar el esfuerzo del usuario. Una de las tecnologías que hace posible toda esta conectividad fluida de forma silenciosa es Universal Plug and Play (UPnP).

Sin embargo, el protocolo UPnP también se suele utilizar para configurar la redirección de puertos en los enrutadores, lo que permite que los dispositivos de internet accedan a los recursos de tu red de área local (LAN). Esto (junto con otras vulnerabilidades de seguridad que analizaremos más adelante) significa que puede ser una buena idea desactivar UPnP por completo.

En este artículo, veremos:

¿Qué es UPnP?

Como su nombre indica, el objetivo principal de UPnP es hacer que los dispositivos conectados a la red sean «plug and play» (conectar y usar). En otras palabras, cuando conectas un dispositivo a tu red, debería funcionar sin más, sin necesidad de indagar en los ajustes de tu enrutador, abrir puertos ni andar trasteando con direcciones IP.

UPnP lo consigue mediante un conjunto de protocolos de red que permiten a los dispositivos de tu red local (como ordenadores personales, impresoras, módems, enrutadores y dispositivos móviles) detectar la presencia de los demás en la red de forma fluida y comunicarse entre sí.

UPnP también se puede utilizar para configurar la redirección de puertos, enrutando las conexiones a través del cortafuegos de tu enrutador para que puedas conectar dispositivos de internet con dispositivos de tu red local. Entre los motivos habituales para ello se incluyen los siguientes:

  • Dispositivos IoT: por ejemplo, puede que quieras comprobar la transmisión de tu cámara de seguridad, controlar tu termostato inteligente o administrar tu sistema doméstico inteligente desde cualquier parte del mundo.
  • Servidores de medios domésticos: para que puedas ver contenidos de tu servidor Plex o Jellyfin a través de internet mientras estás fuera de casa
  • Servidores de juegos: para que puedas alojar juegos multijugador sin pagar tarifas de servidores de terceras partes
  • Intercambio de archivos P2P: para permitir conexiones entrantes y mejorar las velocidades de descarga. Consulta nuestra Guía definitiva sobre torrents para obtener más información sobre cómo funciona.

¿Cómo funciona UPnP?

En pocas palabras, el funcionamiento de UPnP se puede desglosar en los siguientes pasos:

  1. Descubrimiento: cuando un dispositivo se conecta a una red, difunde un mensaje para anunciar su presencia. Otros dispositivos de la red pueden responder a este mensaje, lo que les permite descubrirse mutuamente.
  2. Descripción: una vez que los dispositivos se han descubierto mutuamente, intercambian información sobre sus capacidades y servicios. En este paso, los dispositivos comparten detalles sobre lo que pueden hacer y cómo pueden interactuar otros dispositivos con ellos.
  3. Configuración automática: los dispositivos pueden solicitar la redirección de puertos al enrutador de forma automática. Por ejemplo, una consola de videojuegos podría solicitar al enrutador que abra puertos específicos para poder alojar partidas multijugador sin intervención manual.

¿Por qué es peligroso UPnP?

Aunque UPnP aporta una comodidad innegable, también plantea graves problemas de seguridad. Lo que hace que UPnP sea arriesgado no es solo cómo funciona, sino el poco control y la escasa visibilidad que sueles tener sobre lo que hace entre bastidores. Los principales riesgos de UPnP son:

Redirección de puertos automática

Aunque se diseñó principalmente para conectar dispositivos en una red local, una de las funciones más útiles de UPnP es la capacidad de abrir puertos automáticamente en un enrutador para que los dispositivos de tu LAN puedan comunicarse con dispositivos en internet. Desgraciadamente, los puertos abiertos pueden permitir a actores maliciosos acceder a los dispositivos de tu red local.

Cabe señalar que este riesgo también existe si configuras manualmente la redirección de puertos en tu enrutador. Sin embargo, si UPnP está activado, puede abrir puertos para configurar automáticamente varios dispositivos (potencialmente vulnerables) en tu red local sin que te enteres.

Sin autenticación

UPnP se diseñó pensando en redes locales de confianza, por lo que no suele requerir ninguna autenticación de los dispositivos para funcionar. Esto significa que cualquier dispositivo de la misma red (incluidos los que puedan estar en peligro) puede enviar solicitudes al enrutador para abrir puertos o redireccionar el tráfico.

Si hay malware en un único dispositivo infectado dentro de tu red, este puede modificar silenciosamente los ajustes de la red y abrir brechas en tu cortafuegos sin que te enteres, lo que permite que el malware se comunique con el mundo exterior. Esto es lo que ocurrió con la tristemente célebre red de bots Mirai(ventana nueva), que aprovechó las vulnerabilidades de UPnP para infectar dispositivos IoT (como cámaras domésticas) y enrutadores para lanzar algunos de los mayores ataques DDoS(ventana nueva) de la historia.

Esta falta de autenticación también significa que el malware puede propagarse fácilmente por los dispositivos UPnP conectados a tu red local.

Mayor riesgo de ataques de escaneo de puertos

Debido principalmente a enrutadores antiguos o mal configurados que aceptan conexiones UPnP desde internet (no solo locales), millones de dispositivos de red y enrutadores(ventana nueva) son vulnerables a DDoS y otros ataques.

Por qué deberías desactivar UPnP

UPnP puede facilitarte la vida al automatizar la configuración de tu red, pero su falta de controles de seguridad y su potencial de abuso lo convierten en una función de alto riesgo. Esto ocurre especialmente en los enrutadores domésticos, donde la filosofía de diseño por defecto de UPnP de «confiar en todo» sencillamente no se alinea con las mejores prácticas de seguridad modernas y favorece la propagación de malware. Por lo tanto, para la mayoría de las personas, se puede decir que la comodidad no compensa el riesgo.

La falta de visibilidad sobre qué puertos están abiertos, por qué lo están y si los has cerrado correctamente crea puntos ciegos en la seguridad de tu red. Esto proporciona un punto de entrada fácil para el malware y los piratas informáticos, que pueden crear puertas traseras persistentes en tu red o incluso enrutar tu tráfico a través de servidores DNS controlados por atacantes (como ocurrió con el troyano Switcher(ventana nueva)).

Una solución mucho mejor es configurar manualmente la redirección de puertos cuando lo necesites, de modo que tengas un control y una supervisión completos sobre qué puertos están abiertos.

Aprende a configurar manualmente la redirección de puertos en varios enrutadores

Ten en cuenta, sin embargo, que no tiene sentido configurar la redirección de puertos en tu enrutador para dispositivos que se conectan a una VPN (consulta más abajo).

Redirección de puertos, UPnP y VPN

Cuando conectas un dispositivo a un servidor VPN, todos los datos que viajan entre el dispositivo y el servidor se enrutan a través de un túnel VPN cifrado. Mientras viajan a través de este túnel VPN, ninguna otra persona o dispositivo puede ver tus datos.

Esto incluye a tu proveedor de servicios de internet (ISP) y, por extensión, a tu gobierno, pero también incluye a tu propio enrutador. Por lo tanto, al usar una VPN, la conexión prácticamente evita tu enrutador, lo que hace que UPnP (y la redirección de puertos manual en el enrutador) resulte redundante. La redirección de puertos cuando se usa una VPN consiste en abrir un puerto en el cortafuegos NAT que utiliza tu proveedor de VPN para proteger el servidor VPN, no en el enrutador.

Si un dispositivo (o una aplicación que se ejecute en ese dispositivo, como un cliente de BitTorrent) es compatible con UPnP, deberías desactivar el ajuste para evitar conflictos con el software de la VPN.

Más información sobre la redirección de puertos con Proton VPN

Cómo desactivar UPnP en los enrutadores

Desactivar UPnP en tu enrutador es un proceso sencillo, pero los pasos exactos varían según la marca y el modelo de tu enrutador. A continuación se ofrecen instrucciones generales para desactivar UPnP en algunas de las marcas de enrutadores más comunes. En otros enrutadores, las instrucciones serán similares.

Para empezar, ingresa la dirección IP de tu enrutador (normalmente 192.168.1.1 o 192.168.0.1) en la barra de direcciones de tu navegador e inicia sesión con tu nombre de usuario de administrador y contraseña. Esta suele estar impresa en una pegatina pegada a tu enrutador (a menos que la hayas cambiado). A continuación:

Enrutadores Linksys

Ve a la pestaña AdministraciónUPnP → y cambia el ajuste de UPnP a desactivado. Haz clic en Guardar ajustes para aplicar los cambios. Es una buena práctica reiniciar tu enrutador para asegurarte de que los cambios surtan efecto. Para hacerlo, ve a la pestaña AdministraciónReiniciar.

Enrutadores Netgear

Ve a la pestaña AdministraciónUPnP → y cambia el ajuste de UPnP a desactivado. Haz clic en Aplicar para guardar los cambios. Es una buena práctica reiniciar tu enrutador para asegurarte de que los cambios surtan efecto. Para hacerlo, ve a la pestaña MantenimientoReiniciar.

Enrutadores TP-Link

Ve a la pestaña AvanzadoReenvío de NATUPnP y cambia el ajuste de UPnP a desactivado. Es una buena práctica reiniciar tu enrutador para asegurarte de que los cambios surtan efecto. Para hacerlo, ve a la pestaña SistemaReiniciar.

Cómo desactivar UPnP en un enrutador TP-Link

Reflexiones finales sobre UPnP — la comodidad tiene un precio

UPnP se diseñó con buenas intenciones: facilitar la conexión en red a las personas de a pie al permitir que los dispositivos se comuniquen y se configuren automáticamente. Pero en una época en la que las ciberamenazas son más avanzadas y frecuentes que nunca, esta comodidad también es un riesgo.

La falta de autenticación de UPnP, la redirección de puertos y su historial de explotación hacen que sea una función arriesgada de mantener activada, sobre todo en enrutadores domésticos que rara vez se supervisan o actualizan. Aunque puede simplificar la configuración de juegos, dispositivos de streaming y dispositivos domésticos inteligentes, también abre silenciosamente puertas que los hackers y el malware están más que encantados de cruzar.

Afortunadamente, desactivar UPnP es sencillo y la mayoría de la gente no notará ninguna diferencia en su uso diario de internet —sobre todo si te tomas un poco de tiempo para configurar manualmente los pocos servicios que realmente necesitan puertos abiertos.

Esto es aún más fácil si usas Proton VPN en tus dispositivos, ya que solo tienes que activar la función y nosotros abriremos un puerto adecuado en nuestro cortafuegos VPN para ti.

Aprende a usar la redirección de puertos con Proton VPN