Este artículo ofrece información detallada sobre las funciones de seguridad y las recomendaciones aplicables a los routers Teltonika, así como la forma correcta de implementarlas para garantizar las mejores prácticas de ciberseguridad.
Importante: Los routers Teltonika están diseñados para operar dentro de un entorno de red seguro. Para garantizar la integridad de los datos y prevenir el acceso no autorizado, el dispositivo debe desplegarse detrás de controles de seguridad adecuados, como una Red Privada Virtual (VPN), una línea de comunicación dedicada o una infraestructura de red protegida física y/o lógicamente. Se desaconseja firmemente su uso en entornos de red no seguros o públicos, ya que puede exponer el dispositivo a riesgos de ciberseguridad, incluida la interceptación, la manipulación o el control no autorizado. Por favor, revisa esta guía en su totalidad para conocer las opciones de seguridad reforzada disponibles.
Directrices de Seguridad
A continuación se enumeran recomendaciones generales de seguridad y técnicas de reforzamiento. Deben aplicarse no solo a los productos de Teltonika Networks, sino a todos los dispositivos conectados a internet para garantizar la mejor postura de seguridad posible y la resiliencia frente a ciberataques.
Categorías de Directrices
Mejores Prácticas Generales de Seguridad
Recomendaciones de Reforzamiento del Dispositivo
Operación y Mantenimiento Seguros
Directrices Generales de Seguridad
Recomendación
Prioridad
Detalles
Mitigación
Mantener el firmware actualizado
Crítica
Utiliza siempre el firmware estable más reciente. Las actualizaciones contienen parches para vulnerabilidades críticas.
Previene la explotación de vulnerabilidades conocidas corregidas en versiones más nuevas.
Usar contraseñas complejas
Crítica
Usa contraseñas complejas con un mínimo de 12 caracteres que incluyan números, símbolos, mayúsculas y minúsculas. Evita palabras comunes.
Protege contra ataques comunes de contraseñas como la fuerza bruta.
Aplicar HTTPS y SSH
Crítica
Usa únicamente protocolos seguros (HTTPS, SSH). Evita HTTP, Telnet y otros protocolos inseguros cuando sea posible.
Previene la interceptación del tráfico de red.
Instalar solo paquetes de confianza
Crítica
Instala únicamente paquetes de fuentes verificadas y de confianza. Teltonika Networks firma digitalmente todo su firmware y paquetes para garantizar su integridad.
Previene la ejecución de software malicioso o manipulado y los ataques a la cadena de suministro.
Deshabilitar servicios no utilizados
Crítica
Desactiva interfaces no usadas como CLI web, WiFi, utilidades SMS, etc., para reducir la superficie de ataque.
Reduce la superficie de ataque minimizando los posibles puntos de entrada.
Usar WiFi WPA3
Alta
WPA2 sigue considerándose seguro; sin embargo, WPA3 introduce funciones que ofrecen mejor seguridad para dispositivos IoT.
Proporciona mayor seguridad inalámbrica. WPA3 mitiga los ataques de fuerza bruta sin conexión.
Asignar permisos mínimos necesarios
Alta
Otorga la mínima cantidad de permisos requeridos a cualquier cuenta de usuario adicional creada.
Limita el impacto de cuentas comprometidas y previene la escalada de privilegios.
Usar autenticación SSH basada en clave
Alta
Si es posible, utiliza autenticación SSH mediante par de claves pública/privada en lugar de contraseñas.
Proporciona una autenticación más sólida que las contraseñas, que pueden ser robadas o adivinadas.
Revisar periódicamente el uso de la SIM
Media
Monitoriza y limita el uso de SMS/datos de la SIM. Deshabilita la gestión por SMS si no se usa.
Ayuda a detectar actividad anormal y posibles compromisos del sistema de forma temprana.
Recomendaciones de Reforzamiento de Seguridad
Recomendación
Prioridad
Detalles
Mitigación
Limitar el acceso administrativo
Crítica
No expongas la interfaz WebUI ni SSH a internet público. Usa VPN o listas blancas de IP si necesitas acceso remoto.
Reduce la superficie de ataque. Usar canales seguros como VPN proporciona una postura de seguridad más sólida para el acceso remoto.
Usar VPN para el acceso remoto
Crítica
Usa IPsec, OpenVPN, WireGuard u otro servicio VPN fiable para el acceso remoto. Nunca expongas las interfaces de administración directamente.
Las VPN cifran los datos en tránsito, impidiendo que actores maliciosos intercepten las comunicaciones.
Aplicar lista blanca de IPs
Crítica
Restringe el acceso a servicios remotos en base a direcciones IP específicas mediante un cortafuegos.
Restringir el acceso a las interfaces de administración evita la sobreexposición a internet, mitigando descubrimientos accidentales y ataques.
No confiar únicamente en puertos poco habituales
Alta
Evita usar puertos no estándar como defensa principal. Úsalos junto con reglas de cortafuegos.
Los puertos oscuros ofrecen protección limitada; los controles basados en cortafuegos (como la lista blanca de IPs) ofrecen mayor fiabilidad.
Deshabilitar WiFi si no es necesario
Alta
Desactiva el WiFi por completo o reduce la potencia de transmisión si el acceso inalámbrico no es necesario.
Reduce la superficie de ataque global eliminando puntos de entrada inalámbricos no utilizados.
Usar validación segura del firmware
Alta
El firmware de Teltonika está firmado digitalmente. Aplica únicamente firmware con hashes SHA-256 verificados. Evita MD5/SHA-1.
Garantiza la autenticidad del firmware y previene la instalación de software manipulado o malicioso.
Deshabilitar SMS/llamadas por defecto
Media
Desactiva los comandos SMS salvo que sean estrictamente necesarios. Usa listas blancas de números y registra todos los comandos.
Reduce la superficie de ataque eliminando SMS como interfaz de comandos.
Tiempo de espera de sesión personalizado
Media
Permite configurar un tiempo de espera de sesión inactiva (en segundos) tras el cual el usuario es desconectado automáticamente de la interfaz de administración web. Para entornos de alto riesgo se recomienda entre 60 y 300 segundos; para entornos de bajo riesgo, entre 900 y 1800 segundos.
Garantiza que el acceso de administración se revoca automáticamente cuando deja de estar en uso activo, reduciendo el riesgo de acceso no autorizado.
Operación y Mantenimiento Seguros
Recomendación
Prioridad
Detalles
Mitigación
Monitorización continua del acceso
Crítica
Supervisa regularmente los intentos de inicio de sesión y los registros de acceso. Activa alertas de Event Juggler para cambios críticos.
Ayuda a detectar señales tempranas de compromiso o cambios no autorizados en el sistema.
Revisar y auditar las reglas del cortafuegos
Crítica
Mantén las reglas del cortafuegos actualizadas. Elimina las reglas no utilizadas o excesivamente permisivas.
Las reglas inadecuadas u obsoletas pueden debilitar la seguridad o interrumpir el tráfico legítimo.
Rotar contraseñas y claves SSH periódicamente
Alta
Rota las credenciales y claves SSH a intervalos regulares. Revoca inmediatamente las credenciales comprometidas.
Reduce el riesgo derivado de credenciales filtradas, reutilizadas o de larga duración.
Auditar protocolos y servicios
Alta
Asegúrate de que solo se usen protocolos seguros. Deshabilita opciones heredadas o inseguras (por ejemplo, FTP, Telnet).
Minimiza la exposición a vulnerabilidades conocidas asociadas con protocolos obsoletos.
Realizar auditorías periódicas de WiFi
Media
Reevalúa periódicamente los SSIDs, métodos de cifrado y permisos de acceso de usuarios.
Garantiza que los controles de seguridad inalámbrica sigan siendo eficaces y correctamente configurados.
Verificar copias de seguridad de forma segura
Media
Cifra las copias de seguridad. Usa hashes SHA-256/SHA-512 para validarlas antes de restaurarlas. Almacénalas de forma segura.
Permite una recuperación fiable ante pérdida de datos, incluidos ransomware o fallos del sistema.
Terminación de sesión
Media
Garantiza que todas las sesiones de administración locales y remotas (WebUI, SSH, Telnet) sean supervisadas y controladas activamente para evitar conexiones no autorizadas o inactivas.
Proporciona la capacidad de terminar manualmente sesiones activas para liberar recursos o desconectar conexiones sospechosas.
Realizar verificaciones periódicas de integridad
Media
Verifica regularmente que los archivos de configuración y scripts críticos no hayan sido alterados. Regenera las líneas de base de integridad tras cualquier cambio de configuración autorizado.
Garantiza la detección oportuna de modificaciones no autorizadas o no deseadas en archivos críticos del sistema.
Funciones de Seguridad implmentadas en los routers Teltonika
La siguiente tabla recoge todas las funciones de seguridad internamente implementeada en los routers de Teltonika:
Categoría
Función
Por defecto
Propósito/Descripción
Protección DDoS
Protección contra ataque SYN
Activado
Bloquea solicitudes SYN excesivas para evitar el agotamiento de recursos.
Protección contra ataque Ping
Desactivado
Mitiga los ataques de inundación ICMP (Ping).
Prevención de ataque SSH
Desactivado
Bloquea solicitudes SSH excesivas.
Prevención de ataque HTTP
Desactivado
Bloquea solicitudes HTTP excesivas.
Prevención de ataque HTTPS
Desactivado
Bloquea solicitudes HTTPS excesivas.
Configuración personalizada
Reglas personalizadas
Vacías
Permite añadir reglas de cortafuegos personalizadas mediante comandos iptables.
DMZ
Desactivado
Permite separar la red del lado LAN en zonas con acceso muy restringido.
Protección contra escaneo de puertos y ataques TCP
Prevención de escaneo de puertos
Desactivado
Detecta y bloquea intentos de escaneo de puertos.
Ataque SYN-FIN
Desactivado
Bloquea paquetes con los flags SYN y FIN activos simultáneamente.
Ataque SYN-RST
Desactivado
Previene reinicios abruptos de sesiones TCP.
Ataque X-Mas
Desactivado
Bloquea paquetes TCP con múltiples flags inusuales activos.
Escaneo FIN
Desactivado
Bloquea paquetes FIN utilizados para eludir cortafuegos.
Ataque de flags NULL
Desactivado
Bloquea paquetes TCP sin ningún flag activo.
Control de acceso – Remoto
Acceso SSH
Desactivado
Desactivado por defecto; usar solo con contraseñas seguras.
Acceso HTTP
Desactivado
Desactivado por defecto; usar solo con contraseñas seguras.
Acceso HTTPS
Desactivado
Desactivado por defecto; usar solo con contraseñas seguras.
Acceso CLI
Desactivado
Desactivado por defecto; usar solo con contraseñas seguras.
Control de acceso – Local
Acceso SSH
Activado
Permite configuración local a través de LAN.
Acceso HTTP
Activado
Permite configuración local de la interfaz WebUI a través de LAN.
Acceso HTTPS
Activado
Permite configuración local de la interfaz WebUI a través de LAN.
Acceso CLI
Activado
Permite configuración local por línea de comandos a través de LAN.
Protección de inicio de sesión
Intentos de inicio de sesión SSH
Activado
Bloquea la IP tras 10 intentos fallidos (por defecto).
Intentos de inicio de sesión WebUI
Activado
Bloquea la IP tras 10 intentos fallidos (por defecto).
Seguridad de configuración
Utilidades SMS
Contraseña de administrador
Los comandos SMS requieren la contraseña de administrador.
Contraseña de administrador por defecto
Activado
La contraseña por defecto está presente en la etiqueta del dispositivo.
Certificados
CA Raíz
Precargado
Certificado raíz incluido por defecto; puede ser reemplazado.
Otras protecciones
UPnP
No instalado / Desactivado
Desactivado para evitar el reenvío de puertos no autorizado.
Interfaz UART
Contraseña de administrador
Requiere contraseña para evitar acceso físico no autorizado.
Integridad del sistema
Integridad
No generada
Genera y verifica la integridad de los archivos especificados del sistema. Garantiza la detección de modificaciones no autorizadas.
Directrices de Eliminación Segura
Al dar de baja un dispositivo, es esencial asegurarse de que todos los datos sensibles sean eliminados de forma segura. Sigue estos pasos:
Retira el producto — Desconéctalo de su entorno de trabajo: desenchufa todos los cables, desatornillalo si está fijado a una superficie y retíralo de su carcasa.
Haz una copia de seguridad de los datos importantes — Antes de iniciar la desinstalación, guarda cualquier configuración o datos importantes que puedan necesitarse en el futuro.
Restablece el dispositivo a la configuración de fábrica — Sigue las instrucciones específicas del modelo para el restablecimiento de fábrica. NOTA: Este restablecimiento borrará todas las configuraciones, datos de RMS, registros y el código PIN, restaurando el dispositivo a su estado original de fábrica.
Verifica el restablecimiento — Una vez completado, inicia sesión con las credenciales por defecto para verificar que el dispositivo se ha restablecido correctamente y que no quedan configuraciones ni datos antiguos.
Gestiona los soportes de almacenamiento físicos — Si el dispositivo incluye almacenamiento extraíble (unidades USB, tarjetas SD, etc.) que también deba eliminarse, asegúrate de que sean borrados de forma segura con herramientas certificadas de borrado de datos o destruidos físicamente de acuerdo con la normativa de protección de datos.
Cadena de custodia — Si los dispositivos se envían a terceros para su eliminación, mantén una cadena de custodia clara.
Defensa en Profundidad
La Defensa en Profundidad (DiD) es una estrategia de seguridad por capas que combina múltiples controles en distintos niveles —aplicación, red, físico y operacional— para proteger sistemas y datos. Garantiza que, aunque un control falle, otros permanezcan activos para mitigar las amenazas. Un enfoque DiD completo incluye controles de acceso, segmentación de red, actualizaciones periódicas, sistemas de prevención de ataques y formación de usuarios.
Capacidades de Seguridad y Estrategia de Defensa en Profundidad
Capa de aplicación:
Autenticación y Autorización — Garantiza que solo los usuarios autorizados puedan acceder a las interfaces de administración y programación del dispositivo.
Mecanismo de control de acceso — Previene el acceso no autorizado a las configuraciones del dispositivo y protege la información sensible.
Capa de red:
NAC (Control de Acceso a la Red) — Restringe el acceso a la red a dispositivos autorizados y conformes según políticas predefinidas.
Cifrado de red — Utiliza mecanismos de cifrado para la comunicación inalámbrica e IPsec.
Cortafuegos de red — Controla el tráfico de red entrante y saliente según reglas de seguridad predeterminadas.
Segmentación de red — Divide la red en segmentos más pequeños y aislados para reducir la superficie de ataque.
VPN (Redes Privadas Virtuales) — Cifra los datos transmitidos y garantiza un canal de comunicación seguro para el acceso remoto.
Sistema de conmutación por error de red — Garantiza la disponibilidad continua de la red en caso de fallo de hardware, enlace o servicio.
Prevención de ataques — Mitiga los riesgos de los ataques más comunes de la capa de red (por ejemplo, DoS, inundación SYN).
Recomendaciones de Defensa en Profundidad
Segmentación de red — Segmenta la red para aislar diferentes tipos de tráfico y dispositivos.
Controles de acceso seguros — Utiliza mecanismos robustos de autenticación y autorización.
Actualizaciones regulares de software — Mantén todo el software y firmware actualizado para protegerte frente a vulnerabilidades conocidas.
Cambiar la configuración por defecto — Cambia los nombres de usuario, contraseñas y ajustes por defecto del dispositivo.
Deshabilitar servicios no utilizados — Apaga los servicios y puertos no utilizados para reducir la superficie de ataque.
Habilitar funciones de seguridad — Activa las funciones de seguridad integradas y configurables como la protección contra inundación SYN, mitigación de ataques HTTP, detección de escaneo de puertos y limitación de velocidad.
Seguridad física — Restringe el acceso físico al dispositivo y al hardware de red crítico al personal autorizado.
Verificación periódica de integridad — Realiza comprobaciones de integridad periódicas para asegurarse de que no se han producido cambios no autorizados.
IEC 62443-4-1
Teltonika Networks ha obtenido recientemente la certificación conforme a la norma IEC 62443-4-1, que especifica los requisitos para los procesos de desarrollo seguro de software.
Declaración de Seguridad de Software de RutOS
Las pruebas de penetración son una de las herramientas más eficaces en relación coste-beneficio para detectar, analizar y tomar decisiones informadas sobre cómo corregir vulnerabilidades y configuraciones incorrectas. El firmware RutOS de Teltonika fue sometido a pruebas de penetración y, tras una revisión exhaustiva, se determinó que no es susceptible a ninguna amenaza externa inmediata. La versión más reciente del firmware para cada dispositivo está disponible en la wiki oficial de Teltonika Networks.
Declaración de Seguridad de Software de RMS
La aplicación web RMS de Teltonika fue sometida a pruebas de penetración mediante una combinación de herramientas automatizadas y pruebas manuales para identificar controles de seguridad faltantes, defectuosos o mal aplicados. Todas las vulnerabilidades encontradas fueron corregidas. Se probaron tanto la aplicación web como la infraestructura externa de RMS.
Artículos relacionados
Descubriendo las Novedades de RutOS 7.08: Innovaciones que Transforman tu Red Routers Teltonika RutOS 7.08 de Teltonika permite una gestión eficiente de datos a través de la integración con Lua, mejoras en el TRB143 para telemetría M-Bus y técnicas de filtrado de datos, lo cual se traduce en una notable reducción de costos operativos y una experiencia de usuario optimizada.
eSIM mucho más que una SIM virtual: de SPG.22 a SPG.32 Tecnología En esta artículo exploramos la complejidad de las soluciones eSIM en dispositivos IoT, comparando los estándares SPG.22 y SPG.32 y cómo Teltonika y Robustel a través de sus plataformas cloud RMS y RCMS contribuyen a suavizar el salto funcional entre ambos estándares.
IP Passthrough: Conectividad Directa para dispositivos Teltonika Routers Teltonika El IP Passthrough permite que un dispositivo tenga acceso directo a Internet mediante la asignación de una IP pública, eliminando complicaciones de NAT y mejorando la conectividad, especialmente en entornos industriales.
