(Book) Networking with MikroTik RouterOS: A Practical Approach to Understanding and Implementing RouterOS
Study material for the MTCNA Certification Course, updated to RouterOS v7
$19,97
Seguridad básica en un router MikroTik: configuraciones esenciales
- Ingrid Espinoza
- No hay comentarios
- Comparte este artículo
Facebook
Twitter
LinkedIn
WhatsApp
Telegram
Asegurar un router MikroTik no es una tarea opcional, especialmente si el equipo está expuesto a Internet o forma parte de una red de producción. Muchas veces se da por hecho que con instalar RouterOS y dejar la configuración por defecto es suficiente, cuando en realidad esos valores iniciales suelen ser el punto de entrada de la mayoría de ataques.
En este artículo explico qué configuraciones básicas de seguridad deberías aplicar sí o sí en un router MikroTik, basándome tanto en buenas prácticas como en experiencia real administrando redes.
Por qué es importante asegurar un router MikroTik desde el inicio
Un router MikroTik mal asegurado puede convertirse en un problema serio: accesos no autorizados, cambios de configuración sin control, consumo excesivo de recursos o incluso participación en ataques a terceros.
En la práctica, he visto muchos equipos comprometidos no por fallos complejos, sino por configuraciones básicas que nunca se revisaron. Lo positivo es que la mayoría de estos riesgos se pueden evitar aplicando medidas simples desde el primer momento.
Gestión de usuarios y contraseñas en MikroTik
Creación de usuarios individuales para cada técnico
Uno de los errores más comunes es usar un solo usuario para todos. En entornos reales, lo recomendable es crear un usuario distinto para cada técnico que vaya a acceder al router.
Esto no solo mejora la seguridad, sino que también permite saber quién hizo un cambio cuando algo deja de funcionar. En mi experiencia, compartir usuarios termina siendo un problema tarde o temprano.
Uso de perfiles y privilegios según el acceso necesario
MikroTik permite asignar perfiles con diferentes niveles de permisos. No todos los usuarios necesitan acceso total al router.
Una buena práctica es:
Administradores con permisos completos.
Técnicos con permisos limitados según sus tareas.
Accesos temporales cuando sea necesario.
Aplicar este criterio reduce errores y limita el impacto si una cuenta se ve comprometida.
Recomendaciones de contraseñas seguras en RouterOS
Cada usuario debe tener contraseña, sin excepciones. Las recomendaciones mínimas que suelo aplicar son:
Entre 8 y 12 caracteres como mínimo.
Combinar mayúsculas, minúsculas, números y caracteres especiales.
Evitar palabras comunes o datos fáciles de adivinar.
Antes de pensar en firewall o reglas avanzadas, una contraseña débil ya deja el router expuesto.
Mantener MikroTik actualizado: RouterOS y firmware
Diferencia entre sistema operativo y firmware
En MikroTik no basta con actualizar solo RouterOS. También es importante mantener actualizado el firmware del equipo, ya que ambos cumplen funciones distintas y corrigen vulnerabilidades diferentes.
Riesgos de no actualizar el equipo
Muchos problemas de seguridad que aparecen en routers MikroTik se deben simplemente a equipos desactualizados. En más de una ocasión he visto routers afectados por fallos que ya estaban corregidos en versiones más recientes.
Mantener el sistema y el firmware al día es una de las medidas más efectivas y sencillas de seguridad.
Servicios del router: qué deshabilitar y qué restringir
Revisión de IP → Services en MikroTik
En el menú IP → Services encontrarás varios servicios habilitados por defecto. El problema es que no todos se utilizan realmente.
La regla es clara:
Si no usas un servicio → deshabilítalo.
Si lo usas → protégelo.
Cambio de puertos por defecto y restricción por IP
Para los servicios que sí necesitas (por ejemplo WinBox o SSH), es recomendable:
Cambiar el puerto por defecto.
Limitar el acceso solo a IPs o redes específicas.
Un servicio activo sin restricciones es una puerta abierta innecesaria.
Servicios habilitados por defecto que no siempre se usan
Servicios como Telnet, FTP o API suelen estar habilitados y muchas veces no se utilizan. Dejarlos activos sin necesidad solo aumenta la superficie de ataque del router.
Desactivar funciones innecesarias que aumentan el riesgo
Bandwidth Test en MikroTik
El Bandwidth Test viene habilitado por defecto y en muchos escenarios no se usa. Si no lo necesitas, lo mejor es deshabilitarlo, ya que puede ser utilizado para consumir recursos del equipo.
Web Proxy y DNS cache
Si no estás utilizando el Web Proxy o el DNS cache del MikroTik, es recomendable dejarlos deshabilitados. He visto configuraciones donde estos servicios estaban activos “por si acaso”, generando más problemas que beneficios.
Otras opciones que conviene revisar
Cada red es distinta, pero la idea general es sencilla: todo servicio que no aporte valor real debe estar apagado. Menos servicios activos significa menos riesgos.
Firewall básico en MikroTik como capa mínima de protección
Qué protege un firewall básico y qué no
Un firewall básico no convierte al router en un sistema impenetrable, pero sí bloquea la mayoría de accesos no deseados. No se trata de crear reglas complejas, sino de aplicar filtros mínimos bien definidos.
Importancia de filtrar accesos al propio router
Una de las primeras reglas debería ser proteger el acceso al propio router, permitiendo solo conexiones legítimas. En mi experiencia, esta simple medida evita gran parte de los intentos de acceso no autorizados.
Buenas prácticas finales para reforzar la seguridad básica
Usa usuarios individuales con permisos adecuados.
Aplica contraseñas fuertes en todas las cuentas.
Mantén RouterOS y firmware actualizados.
Deshabilita servicios y funciones que no utilizas.
Implementa al menos un firewall básico.
No es una configuración avanzada, pero sí una base sólida para cualquier router MikroTik en producción.
Conclusión
La seguridad básica en un router MikroTik no depende de configuraciones complejas, sino de orden, criterio y disciplina. La mayoría de los problemas se evitan revisando usuarios, servicios y accesos desde el principio.
Aplicar estas medidas no garantiza seguridad total, pero sí reduce drásticamente los riesgos más comunes y te ahorra muchos problemas a futuro.
Preguntas Frecuentes
¿Es obligatorio cambiar el usuario admin en MikroTik?
Sí. Lo recomendable es crear usuarios propios y eliminar o deshabilitar el admin por defecto.
¿Cada cuánto se debe actualizar RouterOS?
Siempre que haya versiones estables nuevas, especialmente si corrigen fallos de seguridad.
¿Es suficiente un firewall básico?
Para seguridad inicial, sí. Luego se puede reforzar según el escenario.
Breve cuestionario de conocimientos
¿Qué te pareció este artículo?
¿Te atreves a evaluar tus conocimientos aprendidos?
Libros recomendados para éste artículo
Libro Conceptos Fundamentales de MikroTik, RouterOS v7
Material de estudio para el Curso de Certificación MTCNA, actualizado a RouterOS v7
$19,97
Autoestudio MikroTik
Estudia las certificaciones MikroTik a tu propio ritmo
Autoestudio
Aprende a tu propio ritmo
advertisement (anuncio)
Artículos Relacionados
MikroLABs
Otros temas que te pueden interesar
Cómo funciona el DHCP Alert y para qué sirve
abril 22, 2026
Qué es el Burst y cómo funciona en redes
abril 21, 2026
advertisement (anuncio)
Escríbenos por WhatsApp (+593 98 700 0604)
¿Quieres sugerir un tema?
Todas las semanas posteamos nuevo contenido. Quieres que tratemos sobre algo específico?
Próximos Cursos
Libros MikroTik (español)
advertisement (anuncio)
MONARC Latin America: Soluciones Tecnológicas - monarclatinamerica.com.gt - Guatemala
1
Haz clic para chatear