Guía de seguridad de NAS 2022: todo lo que debes saber

Un NAS es un excelente servidor de archivos y una solución de copia de seguridad local. Son bastante baratos disponibles en el mercado, y si te sientes aventurero, siempre puedes hacer los tuyos.

El almacenamiento conectado a la red, o NAS, es una forma económica y eficiente de ampliar tu almacenamiento en casa o en la oficina. Hoy veremos los pasos que puedes seguir para mantener tu NAS protegido y tus datos a salvo. No necesitas ser un administrador de sistemas experimentado para seguirlo: cualquiera puede aprender a proteger su NAS siguiendo estos pasos y teniendo en cuenta algunos principios de seguridad.

Principios básicos de seguridad

La primera línea de seguridad es tu red doméstica. En 2014, el investigador de seguridad Jacob Holcomb auditó dispositivos NAS de 10 fabricantes y encontró vulnerabilidades en todos ellos.

Esa es la mala noticia. La buena noticia es que para llevar a cabo estos ataques, los ciberdelincuentes deben tener acceso directo a tu red. Proteger tu enrutador y tu red doméstica reducirá en gran medida el riesgo de que tu dispositivo NAS se vea comprometido. Puedes reducir aún más el riesgo de un hack siguiendo estos principios básicos de seguridad:

  • Cambiar siempre las contraseñas predeterminadas.
  • No hagas clic en enlaces sospechosos en correos electrónicos o en otros lugares, especialmente si redirigen a tu red local.
  • Usa contraseñas alfanuméricas aleatorias para los inicios de sesión de tu enrutador y NAS.
  • Actualiza periódicamente el firmware de tu enrutador o NAS. Activa las actualizaciones automáticas si es compatible.

Seguir estos simples principios de seguridad contribuirá en gran medida a mantenerte seguro en línea. Detener a los posibles atacantes en el nivel del enrutador es el primer paso para asegurar tu dispositivo NAS, y a continuación veremos rápidamente cómo asegurar tu enrutador.

Protege tu enrutador

Ahora, es difícil dar instrucciones paso a paso ya que hay tantos enrutadores diferentes, por lo que esta es solo una descripción general para comenzar. El fabricante de tu enrutador debe tener una sección en su sitio web con instrucciones y detalles para tu dispositivo en particular.

Puedes iniciar sesión en tu enrutador escribiendo su dirección IP en la barra de direcciones. Por lo general, es http://192.168.1.1 o similar, pero una búsqueda rápida del modelo de tu enrutador debería arrojar la información que necesitas: la IP, el nombre de usuario predeterminado y la contraseña.

A continuación, estos son los pasos que debes seguir:

  • Inicia sesión en tu enrutador y cambia la contraseña predeterminada. Si tienes la opción de cambiar el nombre de usuario de «admin», hazlo también. Los atacantes usan herramientas automatizadas para escanear redes, por lo que cambiar «admin» a otra cosa hace que estos ataques sean inútiles.
  • Deshabilita WPS si tu enrutador tiene esta característica. Nunca uses WPS ya que es terriblemente inseguro.
  • Habilita el inicio de sesión HTTPS si está disponible (esto difiere según el dispositivo, por lo que no podemos dar instrucciones exactas). Esto cifra tu conexión al acceder a la página de configuración de tu enrutador. Deshabilita el HTTP tradicional y solo usa HTTPS siempre que sea posible.
  • Asegúrate de que el acceso remoto esté deshabilitado a menos que sepas exactamente lo que estás haciendo. El acceso remoto te permite iniciar sesión desde cualquier lugar y abre tu dispositivo para ataques.
  • Habilita el cifrado WPA2 para tu red inalámbrica y selecciona una frase de contraseña larga y aleatoria. Elige una frase de contraseña que ni siquiera la NSA pueda descifrar.
  • Actualiza el firmware de tu enrutador. Habilita la actualización automática si tu enrutador lo admite.
  • Habilita el registro para que, en caso de que suceda algo, tengas un registro para rastrear el problema.

Eso es todo para los conceptos básicos de seguridad del enrutador. Ahora que has bloqueado tu red, echemos un vistazo a cómo asegurar tu dispositivo NAS.

Directrices básicas de seguridad del NAS

Con todos los diferentes modelos de dispositivos NAS, es imposible dar una guía única para proteger tu NAS. En su lugar, concéntrate en aprender estos principios y el razonamiento detrás de ellos. Una vez que sepas qué buscar y por qué, puedes encontrar instrucciones específicas para tu NAS en el sitio web del fabricante.

Cuentas de administrador y contraseñas

Cambia siempre la contraseña predeterminada de la cuenta de administrador. Si es posible, crea una nueva cuenta de administrador con un nombre diferente y elimina la cuenta de «administrador» predeterminada, ya que los ataques de fuerza bruta solo funcionan al intentar adivinar repetidamente la contraseña de esta cuenta.

Habilitar SSL

Cuando accedas a tu NAS a través de la interfaz web, deberías ver «https://» al comienzo de tu barra de direcciones junto con un candado, lo que indica que tu conexión está encriptada. Si esto no está habilitado de manera predeterminada, actívalo. De lo contrario, tus credenciales se transmiten de forma abierta y disponible para posibles atacantes.

Habilitar solo lo necesario

Tu NAS puede ejecutar varias aplicaciones web a las que se podrá acceder a través de la red. Habilita solo lo que necesitas y si abres un puerto en tu enrutador para acceder a tu NAS desde Internet, asegúrate de estar utilizando un nombre de usuario y una contraseña seguros. Considera habilitar cualquier función de filtrado o bloqueo automático que ofrezca tu NAS para eliminar los intentos de inicio de sesión de fuerza bruta.

Usa una VPN

Si tu NAS puede ejecutar un servidor VPN, puedes usarlo cuando estés fuera de casa para acceder a tu dispositivo de forma segura. Cuando te conectes a la VPN, tendrás acceso a tu red de área local (LAN). Esto significa que solo tienes que abrir un puerto en tu enrutador para la VPN, lo que reduce en gran medida la superficie de ataque para tu NAS.

Conectarse a tu NAS a través de una VPN es una de las mejores formas de mantener tu NAS seguro. Consulta el sitio web del fabricante para obtener información sobre cómo configurar una VPN en tu dispositivo específico. También asegúrate de consultar nuestra selección de los mejores proveedores de VPN para tener una idea de lo que está disponible.

Seguir las pautas anteriores aumentará la seguridad de tu configuración y son pasos fáciles de implementar. Ahora, veremos algunas funciones específicas que se ofrecen en los diversos dispositivos de Synology y QNAP.

Protección de un Synology NAS

Los dispositivos de Synology ofrecen a los usuarios varias opciones para bloquear su NAS y mejorar la seguridad. Comenzaremos eliminando la cuenta predeterminada y creando una nueva con una frase de contraseña segura.

Crear un nuevo usuario

  • Inicia sesión en DiskStation Manager y desde el menú principal haz clic en «panel de control» y luego haz clic en «usuarios».
  • Haz clic en «crear», luego haz clic en «crear usuario».
  • Ingresa el nombre de usuario y la contraseña de tu elección, luego haz clic en «siguiente».
  • Haz clic en la casilla de verificación «agregar» para agregar tu nuevo usuario al grupo de «administradores», luego haz clic en «siguiente».
  • Otorga a la nueva cuenta de administrador acceso a todas las carpetas marcando la casilla «leer/escribir», luego haz clic en «siguiente». Haz clic en «siguiente» nuevamente, a menos que desees establecer una cuota de disco.
  • Marca la casilla «otorgar» para dar acceso a las aplicaciones a la nueva cuenta de administrador, luego haz clic en «siguiente».
  • Haz clic en «siguiente» para omitir la configuración de un límite de velocidad, luego haz clic en «aplicar».

Eso es todo, ahora tienes un nuevo administrador y puedes proceder a deshabilitar la cuenta de administrador anterior.

Deshabilitar la cuenta de administrador

  • Cierra la sesión del DSM y luego inicia sesión con la cuenta de administrador recién creada.
  • Desde el menú principal, ve a «panel de control» y haz clic en «usuarios».
  • Haz clic en la cuenta «admin», luego haz clic en «editar».
  • Marca la casilla «deshabilitar esta cuenta» y haz clic en «Aceptar».

Ahora que tenemos una nueva cuenta de administrador y hemos deshabilitado la antigua cuenta predeterminada, veamos cómo configurar la verificación en dos pasos.

Verificación en dos pasos

Este proceso requiere un teléfono móvil con una aplicación de autenticación instalada, como Google Authenticator. Instala la aplicación ahora antes de continuar. Siempre necesitarás tu teléfono cuando inicies sesión en DSM.

Habilitar la verificación en dos pasos significa que un atacante que intenta acceder a tu cuenta necesita tu contraseña y tu teléfono, lo que reduce en gran medida la posibilidad de compromiso.

  • Haz clic en el ícono de usuario, luego haz clic en «opciones».
  • Marca la casilla «habilitar la verificación en dos pasos» para iniciar el asistente. Haz clic en Siguiente.»
  • Ingresa una dirección de correo electrónico en caso de que pierdas tu teléfono. Haz clic en Siguiente.»
  • Abre la aplicación de autenticación en tu teléfono y escanea el código QR que muestra el asistente. Haz clic en Siguiente.»
  • Ingresa el código generado por la aplicación de autenticación. Los códigos se actualizan periódicamente, así que hazlo rápidamente antes de que caduque. Haz clic en Siguiente.»
  • Haz clic en «cerrar» y haz clic en «Aceptar» para guardar los cambios.

Ahora te pedirá que ingreses un código de verificación cada vez que inicies sesión en el DSM. Si bien puede parecer una molestia al principio, solo toma unos segundos y aumenta considerablemente la seguridad de tu NAS.

Habilitación del bloqueo automático

Por último, habilitaremos el bloqueo automático. Los atacantes usan herramientas automatizadas para escanear y explotar otras computadoras, y al habilitar el bloqueo automático, podemos incluir en la lista negra la dirección IP de cualquier atacante después de una cierta cantidad de fallas.

  • Desde el menú principal, haz clic en «panel de control», luego haz clic en «seguridad».
  • Haz clic en «bloqueo automático», luego marca la casilla etiquetada «habilitar bloqueo automático».
  • Ingresaremos el número cinco para «intentos de inicio de sesión» y «dentro de (minutos)» aquí, ya que este es un valor predeterminado seguro.
  • Puedes marcar la casilla para «habilitar la caducidad del bloque» si deseas que el bloque caduque después de una cierta cantidad de días.
  • Haz clic en «aplicar» para guardar tus cambios.

Siempre puedes editar la lista de bloqueo volviendo a esta pantalla y haciendo clic en «permitir/lista de bloqueo». Habilitar el bloqueo automático, la autenticación en dos pasos y crear una nueva cuenta de administrador son tres sencillos pasos para mejorar la seguridad de tu dispositivo NAS.

Proteger un NAS de QNAP

QNAP ofrece varias funciones integradas que reforzarán la seguridad de tu dispositivo. Similar al bloqueo automático de Synology, QNAP ofrece «protección de acceso a la red» para bloquear ataques repetidos contra tu NAS. También utilizaremos el antivirus integrado de QNAP para mantener tu NAS libre de sorpresas desagradables.

Activación de la protección de acceso a la red

  • Desde el panel de control, haz clic en «configuración del sistema».
  • Haz clic en «seguridad» y en «protección de acceso a la red».
  • Haz clic en «habilitar la protección de acceso a la red» y «aplicar todo».

Puedes marcar la casilla de cada servicio que hayas activado en tu NAS. En general, debes habilitar la protección de acceso a la red para cada servicio que hayas habilitado. Detener los ataques automatizados es tan fácil como activarlo.

Habilitar el antivirus de QNAP

  • Desde el panel de control, haz clic en «aplicaciones».
  • Haz clic en «antivirus» y en «habilitar».
  • Marca la casilla «comprobar y actualizar automáticamente…» y establece el valor en un día. Mantener tus definiciones de virus actualizadas asegura que tu antivirus no permita que se escape nuevo malware.

QNAP ofrece una gran cantidad de funciones, que incluyen notificaciones por SMS/correo electrónico de actividad inusual, configuración de tu dispositivo como un servidor VPN y mucho más que va más allá del alcance de esta guía.

Conclusión

Proteger tu NAS es fácil, especialmente con todas las funciones integradas en los dispositivos modernos. Bloquear su NAS es solo cuestión de tener en cuenta los principios básicos de seguridad, cambiar las contraseñas predeterminadas y marcar algunas casillas.

Un NAS es una excelente adición para el hogar o la oficina, y no tienes que preocuparte de que los atacantes roben tus datos o los pierdas en un accidente.