Hardening MikroTik para Pequeñas Empresas: Guía Paso a Paso
Todo router MikroTik sale de fábrica con un conjunto de servicios activos que facilitan la primera configuración — pero que representan riesgos serios de seguridad si no se deshabilitan antes de poner el equipo en producción. En redes de pequeñas empresas, donde muchas veces no hay equipo de TI dedicado, esta configuración por defecto persiste durante meses o años.
Esta guía presenta un checklist práctico de hardening para RouterOS — aplicable a cualquier modelo MikroTik, del hAP ac lite al CCR2004.
Atención: antes de aplicar cualquier configuración de seguridad en un router de producción, ten acceso físico disponible como contingencia. Algunos cambios mal aplicados pueden cortar el acceso remoto al equipo.
1. Cambiar la contraseña por defecto inmediatamente
El MikroTik sale de fábrica con el usuario admin y sin contraseña (contraseña en blanco). Cualquier persona en la misma red — o en internet, si el equipo tiene IP pública — puede acceder al dispositivo.
# Cambiar la contraseña del admin /user set admin password="SenhaForte!2025#" # Crear usuario operacional separado (opcional, recomendado) /user add name=noc-leitura group=read password="SenhaRead!2025"
Usa contraseñas de al menos 16 caracteres con letras, números y símbolos. Nunca uses el nombre de la empresa, dirección o fecha como contraseña.
2. Deshabilitar servicios no utilizados
Por defecto, el RouterOS mantiene activos: Telnet (puerto 23), FTP (puerto 21), Winbox (puerto 8291), HTTP (puerto 80), HTTPS (puerto 443), SSH (puerto 22) y API (puerto 8728). Para una PYME típica, solo SSH y Winbox son necesarios — y aún esos deben tener acceso restringido.
# Deshabilitar Telnet (nunca usar — transmite en texto plano) /ip service disable telnet # Deshabilitar FTP /ip service disable ftp # Deshabilitar HTTP (usar HTTPS o Winbox) /ip service disable www # Deshabilitar API (solo activar si usas automatización) /ip service disable api # Restringir SSH y Winbox solo a la red interna /ip service set ssh address=192.168.1.0/24 /ip service set winbox address=192.168.1.0/24
3. Cambiar el puerto por defecto del SSH
Los bots automatizados en internet escanean el puerto 22 constantemente. Cambiarlo a un puerto no estándar reduce drásticamente el volumen de intentos de fuerza bruta en los logs.
# Cambiar SSH a puerto no estándar /ip service set ssh port=2222
4. Protección del firewall — reglas INPUT esenciales
El firewall por defecto del RouterOS protege principalmente el tráfico que pasa por el router (forward), pero muchas instalaciones no tienen reglas adecuadas para proteger el propio router (chain input).
# Aceptar conexiones establecidas/relacionadas /ip firewall filter add chain=input \ connection-state=established,related action=accept \ comment="Aceitar conexões estabelecidas" # Descartar conexiones inválidas /ip firewall filter add chain=input \ connection-state=invalid action=drop \ comment="Dropar inválidas" # Aceptar ICMP (ping) — útil para diagnóstico /ip firewall filter add chain=input \ protocol=icmp action=accept \ comment="Aceitar ICMP" # Aceptar acceso de la red interna /ip firewall filter add chain=input \ src-address=192.168.1.0/24 action=accept \ comment="Aceitar rede interna" # Bloquear acceso administrativo desde WAN /ip firewall filter add chain=input \ in-interface=ether1 action=drop \ comment="Bloquear acesso admin pela WAN"
5. Bloquear fuerza bruta con address-list dinámica
Este conjunto de reglas detecta intentos de fuerza bruta en SSH y bloquea la IP atacante automáticamente por 1 hora:
# Detectar y listar IPs con múltiples intentos SSH /ip firewall filter add chain=input \ protocol=tcp dst-port=2222 \ connection-state=new \ src-address-list=!whitelist \ action=add-src-to-address-list \ address-list=brute-force-ssh \ address-list-timeout=1h \ connection-limit=3,32 \ comment="Detectar brute force SSH" # Bloquear IPs en la lista /ip firewall filter add chain=input \ src-address-list=brute-force-ssh \ action=drop \ comment="Bloquear brute force SSH"
6. Deshabilitar Neighbor Discovery y MAC server en WAN
# Descubrimiento de vecinos solo en LAN /ip neighbor discovery-settings set \ discover-interface-list=LAN # MAC server solo en LAN (sin acceso vía MAC por WAN) /tool mac-server set \ allowed-interface-list=LAN /tool mac-server mac-winbox set \ allowed-interface-list=LAN
7. Mantener el RouterOS actualizado
Las vulnerabilidades críticas se descubren regularmente en RouterOS. En 2023, la CVE-2023-30799 permitía ejecución remota de código con privilegios root en versiones no actualizadas. El proceso de actualización es simple:
# Verificar actualizaciones disponibles /system package update check-for-updates # Aplicar actualización (reinicia el router) /system package update install
Consejo: antes de actualizar en producción, realiza un backup completo. Con Mikrosinc, los backups automáticos garantizan que siempre tengas un punto de restauración antes de cualquier actualización.
Checklist de hardening resumido
- Contraseña fuerte en el usuario admin
- Telnet y FTP deshabilitados
- HTTP deshabilitado (usar Winbox o SSH)
- SSH y Winbox restringidos a la red interna
- Puerto SSH cambiado (no usar 22)
- Reglas de firewall INPUT bloqueando WAN
- Protección anti fuerza bruta activa
- Neighbor discovery y MAC server restringidos a LAN
- RouterOS en la versión más reciente estable
- Backup automático configurado
Mikrosinc evalúa y aplica hardening automáticamente
El recurso Hardening 1-Click de Mikrosinc analiza cada router, asigna un score de seguridad de 0 a 100 y aplica las correcciones con un clic — sin necesidad de ejecutar cada comando manualmente. Ideal para PYMEs con múltiples equipos.
Ver Score de Seguridad de mis routers