Auditoría de tráfico de red doméstica sin software de pago

  • Inventariar todos los dispositivos y servicios activos es la base de una auditoría de red doméstica eficaz.
  • Herramientas gratuitas como Nmap, Wireshark o Aircrack-ng permiten analizar puertos, tráfico y seguridad WiFi sin coste.
  • La combinación de escaneos puntuales, revisión de configuración y análisis de vulnerabilidades reduce de forma drástica la superficie de ataque.
  • Automatizar revisiones periódicas y saber cuándo pedir ayuda externa marca la diferencia entre una red “que funciona” y una red realmente segura.
Joaquin RomeroActualizado el

16 minutos

red doméstica

La mayoría de redes domésticas y de pequeñas empresas funcionan “porque se enciende el WiFi y navega”, pero nadie sabe con precisión cuántos dispositivos hay conectados, qué servicios están expuestos ni qué puertas están abiertas hacia Internet. Lo preocupante es que, en este contexto, un fallo básico (como un puerto mal cerrado o una contraseña débil) es más la norma que la excepción. Puedes empezar por herramientas que te ayudan a localizar equipos en tu red local para saber qué hay conectado.

La buena noticia es que hoy puedes hacer una auditoría puntual del tráfico y de la seguridad de tu red doméstica sin gastar un euro en licencias. Con un puñado de herramientas gratuitas bien escogidas y una metodología clara, podrás saber qué hay en tu red, qué hace cada dispositivo, qué puertos no deberían estar abiertos y qué riesgos estás asumiendo, sin necesidad de montar un laboratorio profesional ni convertirte en hacker.

¿Qué es realmente una auditoría de red doméstica?

Cuando hablamos de auditar una red doméstica (o de una pyme pequeña) no nos referimos a un pentest de varias semanas, sino a una revisión estructurada de dispositivos, tráfico y configuración básica de seguridad. El objetivo es responder a preguntas muy concretas:

  • ¿Qué dispositivos hay conectados a mi red (PC, móviles, tablets, televisores, cámaras IP, NAS, IoT…) y cuáles no esperaba encontrar?
  • ¿Qué puertos y servicios están expuestos dentro de la red y hacia Internet?
  • ¿Qué tráfico circula por la red y si hay comunicaciones sospechosas o no cifradas.
  • ¿Cómo de segura es mi WiFi (cifrado, contraseña, WPS, red de invitados, aislamiento, firmware del router)?

El enfoque práctico para un hogar o una microempresa es centrarse en inventario, exposición de servicios, seguridad WiFi y vulnerabilidades básicas. No necesitas explotar fallos ni «romper» nada; basta con detectar configuraciones peligrosas y servicios que no deberían estar donde están.

Principales riesgos en redes domésticas y pequeñas empresas

En entornos domésticos y pymes es habitual encontrar errores de seguridad muy básicos que se repiten en casi todas las auditorías. Detectarlos rápido es clave para reducir el riesgo sin grandes inversiones.

  • Contraseñas WiFi por defecto o débiles: nombres de mascota, nombre de la empresa, teléfono o claves de fábrica impresas en la pegatina del router. Con un diccionario decente se rompen en minutos.
  • Panel de administración del router con credenciales por defecto (admin/admin, 1234) o accesible desde cualquier dispositivo sin control, permitiendo cambiar DNS, abrir puertos o redirigir tráfico.
  • WPS activado: el famoso botón de emparejamiento rápido es cómodo, pero tiene vulnerabilidades conocidas. En muchos routers sigue activo sin que el usuario lo sepa.
  • Red de invitados mal segmentada o directamente inexistente: visitas, proveedores o incluso dispositivos IoT comparten la misma red que ordenadores con datos sensibles.
  • Firmware del router sin actualizar: muchos modelos arrastran fallos graves parcheados hace años, pero nunca se han aplicado las actualizaciones de firmware.
  • Servicios expuestos innecesariamente (RDP, servidores FTP en Windows, SMB, paneles web, cámaras) con puertos abiertos a Internet o incluso sin contraseña.
  • Tráfico no cifrado (HTTP, FTP, Telnet) en entornos donde ya debería ser todo HTTPS, SSH o VPN.

Todo esto se puede detectar haciendo una auditoría de red doméstica apoyada en herramientas gratuitas de escaneo, análisis de tráfico y revisión de vulnerabilidades. No necesitas un SOC ni un SIEM, solo orden y método.

Inventario de dispositivos y servicios con herramientas gratuitas

El primer paso siempre es saber exactamente qué está conectado y qué servicios están vivos en tu red. Aquí Nmap y herramientas similares son tus mejores aliados, tanto en casa como en oficinas pequeñas.

Nmap: la navaja suiza del escaneo de red

Nmap es una herramienta de software libre, multiplataforma, que permite descubrir dispositivos, escanear puertos y detectar sistemas operativos. Aunque suene a herramienta de hackers, es uno de los básicos para auditar redes de forma legítima.

Con un simple escaneo de ping (o con comandos avanzados como ipconfig o ping) puedes obtener un inventario de todos los equipos activos en tu subred doméstica:

nmap -sn 192.168.1.0/24

El siguiente paso es profundizar en puertos y servicios. Un escaneo más completo te dirá qué puertos están abiertos y qué servicio escucha en cada uno:

nmap -sV 192.168.1.0/24

Entre lo más útil que puedes extraer para una auditoría doméstica están:

  • Lista de dispositivos activos con su IP y, muchas veces, nombre de host (por ejemplo, SmartTV-Salon, NAS-Oficina).
  • Puertos abiertos por dispositivo (HTTP/HTTPS, SSH, RDP, SMB, servicios propietarios de cámaras, etc.).
  • Detección aproximada de sistema operativo (Windows, Linux, routers con firmware embebido, cámaras IP basadas en Linux, etc.).

Nmap incluye además los scripts NSE, que permiten ir más allá del simple escaneo de puertos y comprobar vulnerabilidades conocidas o configuraciones peligrosas en servicios Samba, FTP, SSH y otros. Usados con cabeza, son una forma muy potente de detectar problemas sin pagar licencias.

Herramientas de inventario y escaneo más visuales

Si prefieres algo con interfaz gráfica, existen soluciones pensadas para entornos corporativos que también sirven como inventario y auditoría básica de red doméstica:

  • Lansweeper: descubre activos Windows, Linux, macOS y dispositivos IP, generando un inventario centralizado. Su versión gratuita es suficiente para redes pequeñas.
  • Spiceworks, Total Network Inventory, Open-Audit o EMCO Network Inventory: permiten un inventario más clásico de red y, aunque están más orientados a empresa, en una pyme pequeña aportan mucha visibilidad.
  Zscaler compra SquareX para llevar el modelo Zero Trust al navegador

Estos programas no sustituyen al escaneo con Nmap, pero lo complementan proporcionando informes, clasificación de activos y, en algunos casos, alertas básicas sobre cambios o problemas.

Análisis del tráfico de red: ver qué pasa por los cables y el aire

Una vez sabes qué dispositivos tienes, toca mirar el tráfico que circula por tu red para detectar comunicaciones inseguras o sospechosas. Aquí entran en juego los analizadores de protocolos.

TCPDump y Wireshark: analizando paquetes al detalle

TCPDump (en Unix/Linux) y su variante WinDump para Windows son herramientas de línea de comandos que capturan y muestran el tráfico que pasa por una interfaz de red. Son muy potentes, pero su uso puede resultar algo áspero para quien no está acostumbrado a la consola.

Por eso, lo habitual es recurrir a Wireshark, que ofrece una interfaz gráfica clara sobre la misma idea: capturar paquetes y diseccionarlos por protocolos. Wireshark permite:

  • Filtrar tráfico por protocolo (HTTP, HTTPS, DNS, FTP, Telnet, etc.).
  • Identificar comunicaciones no cifradas en servicios que deberían ir protegidos (por ejemplo, ver credenciales circulando por HTTP o Telnet).
  • Detectar patrones anómalos, como conexiones frecuentes a destinos poco habituales o un volumen de tráfico elevado desde un dispositivo concreto.

En una auditoría doméstica sencilla, basta con capturar entre 15 y 30 minutos de tráfico en horario de uso normal y revisar:

  • Si hay protocolos inseguros (HTTP, FTP, Telnet) que deberías sustituir por sus equivalentes cifrados (HTTPS, SFTP, SSH).
  • Si algún dispositivo genera tráfico constante a direcciones IP extrañas o dominios que no reconoces.
  • Si las consultas DNS apuntan a servidores raros que no has configurado tú (posible manipulación en el router o malware).

Wireshark no solo sirve para seguridad: también es útil para diagnosticar problemas de rendimiento, cortes y latencias, ya que permite ver reenvíos, pérdidas de paquetes y retransmisiones.

Auditoría de la red WiFi: cifrado, contraseña y vecindario inalámbrico

red doméstica

En la mayoría de hogares y microempresas, el WiFi es el punto de entrada más expuesto y a la vez más descuidado. De poco sirve tener una red cableada impecable si cualquiera puede colarse por la red inalámbrica con una clave ridícula; por eso conviene mejorar la seguridad de tu WiFi de forma proactiva.

Qué revisar en una auditoría WiFi doméstica

Una auditoría WiFi mínimamente seria debería revisar, al menos, estas capas:

  • Descubrimiento de redes: SSID visibles y ocultos, canales, potencias de señal, puntos de acceso activos (incluyendo posibles APs “fantasma” que nadie recuerda haber instalado).
  • Cifrado y autenticación: tipo de seguridad utilizado (WEP, WPA, WPA2, WPA3) y robustez de la contraseña.
  • Configuración del router: WPS activado o no, usuario y contraseña de administración, firmware, servicios expuestos al exterior.
  • Segmentación: existencia de red de invitados separada y aislamiento respecto a la red principal y dispositivos IoT. Si no sabes cómo segmentar, configura tus redes WiFi de forma avanzada.
  • Cobertura: zonas muertas, solapamientos, puntos donde la señal se escapa fuera de la vivienda o local.
  • Dispositivos conectados: inventario de equipos en la WiFi y detección de intrusos o dispositivos desconocidos.

Herramientas WiFi gratuitas útiles en entornos domésticos

Para auditar la parte inalámbrica sin gastar dinero en licencias puedes combinar varias utilidades especializadas:

  • Aircrack-ng: suite para auditorías WiFi, especialmente útil en Linux. Incluye herramientas para capturar tráfico (airodump-ng), inyectar paquetes (aireplay-ng) y analizar handshakes. Permite comprobar si una clave WPA/WPA2 es robusta realizando ataques de diccionario sobre el handshake capturado. Es la referencia para evaluar la solidez de la contraseña.
  • Wireshark de nuevo juega un papel interesante, ya que puede analizar tráfico WiFi en modo monitor si tu tarjeta de red lo soporta, viendo qué se transmite realmente por el aire.
  • Nmap, aplicado al segmento inalámbrico (por ejemplo, 192.168.1.0/24), te ayuda a listar todos los dispositivos asociados a tu WiFi y sus servicios.
  • Acrylic WiFi (Windows): ofrece una vista gráfica de redes cercanas, canales, tipo de cifrado y dispositivos conectados, con una versión gratuita bastante completa.
  • NetSpot (Windows/macOS): muy útil para mapear cobertura sobre el plano de la casa u oficina y localizar zonas sin señal o con interferencias. Su versión gratuita cubre necesidad básicas.

A nivel legal, es imprescindible recalcar que solo debes auditar redes para las que tengas autorización expresa. En España, analizar o intentar romper la seguridad de una WiFi ajena sin permiso puede constituir delito según el Código Penal (art. 197 bis).

red doméstica
Artículo relacionado:
Auditoría de tráfico de red doméstica sin software de pago

Escáneres de vulnerabilidades gratuitos y de código abierto

Detectar dispositivos y tráfico es la mitad del trabajo; la otra mitad consiste en identificar vulnerabilidades conocidas, malas configuraciones y software desactualizado. Aquí entran en juego los escáneres de vulnerabilidades.

OpenVAS: un clásico del análisis de vulnerabilidades

OpenVAS es un escáner de vulnerabilidades de código abierto que permite analizar equipos y servicios en busca de fallos conocidos, configuraciones inseguras y software sin parchear. Es pesado para usarlo solo en una casa, pero en una pequeña empresa o despacho profesional rinde muy bien.

Su funcionamiento típico en una auditoría básica es:

  • Definir un objetivo (la IP o rango de la red doméstica o de la oficina).
  • Ejecutar un escaneo completo que combine descubrimiento de servicios con chequeos de vulnerabilidades.
  • Revisar el informe de resultados, donde se listan problemas clasificados por criticidad (crítico, alto, medio, bajo) con explicación e instrucciones de mitigación.
  MSI Afterburner: optimiza el rendimiento y temperatura de tu gráfica

OpenVAS se apoya en una base de datos actualizada de fallos (vinculada a identificadores CVE y puntuaciones CVSS), lo que resulta muy útil para priorizar qué corregir primero. Por ejemplo, puede alertarte de un servidor web integrado en tu NAS con vulnerabilidades críticas o de un firmware de cámara IP con agujeros conocidos.

Otras herramientas de pentesting y análisis complementario

En el ecosistema de auditoría de red hay muchas herramientas pensadas para hacking ético que también son muy válidas en manos de administradores responsables:

  • Metasploit: framework de pruebas de penetración que permite explotar vulnerabilidades conocidas. En un entorno doméstico no suele ser necesario llegar tan lejos, pero en una pyme sirve para demostrar el impacto real de determinados fallos.
  • OWASP ZAP y herramientas como Burp Suite (edición gratuita), Vega, Nikto o Uniscan: orientadas al análisis de seguridad en aplicaciones web y servidores HTTP, útiles si tienes servicios web internos o pequeños portales expuestos.
  • Seccubus: plataforma que orquesta varios escáneres (Nessus, OpenVAS, Nmap, ZAP…) y automatiza revisiones periódicas, con énfasis en detectar cambios entre escaneos (muy interesante en empresas pequeñas con crecimiento continuo de servicios).
  • Suite Aircrack-ng, Hashcat y similares: además de valorar la seguridad WiFi, permiten evaluar la robustez de contraseñas frente a ataques de diccionario o fuerza bruta una vez que dispones de hashes o handshakes capturados de forma legítima.

Aunque muchas de estas utilidades se ven también en manos de atacantes, su uso legítimo en una auditoría consiste en simular lo que haría un agresor para adelantarte y tapar los huecos. La línea roja es clara: nunca usar estas herramientas contra sistemas o redes de terceros sin permiso explícito.

Monitorización y control continuo: ir más allá de la foto puntual

Una auditoría puntual es muy útil para saber “dónde estás hoy”, pero la realidad es que las redes cambian constantemente: nuevos dispositivos, actualizaciones, servicios que se habilitan y se olvidan… Si quieres mantener cierto nivel de seguridad en el tiempo, necesitas algo de monitorización continua.

Monitorización del rendimiento, disponibilidad y tráfico

Las herramientas de monitorización de red se suelen clasificar en varias categorías según su foco principal:

  • Rendimiento: miden ancho de banda, latencia, pérdida de paquetes, uso de CPU y memoria en dispositivos de red. Ejemplo: PRTG Network Monitor, SolarWinds Network Performance Monitor, ntopng, Datadog. Si necesitas medir la velocidad LAN, estas herramientas o utilidades específicas te serán de ayuda.
  • Disponibilidad: comprueban que routers, switches, servidores y servicios están “vivos” mediante ICMP (ping), SNMP o chequeos HTTP/SMTP/… Ejemplos: Nagios XI, Zabbix, WhatsUp Gold.
  • Tráfico y ancho de banda: analizan quién consume qué, cuándo y hacia dónde fluyen los datos, ayudando a detectar cuellos de botella y tráfico inusual. Ejemplos: ntopng, NetFlow/sFlow collectors, herramientas de análisis de tráfico integradas en routers avanzados.
  • Seguridad: se centran en eventos sospechosos, cambios en configuración, intentos fallidos de acceso, escaneos de puertos, etc.. Ejemplos: Netwrix Auditor para dispositivos de red, Cisco Stealthwatch, SentinelOne, soluciones SIEM.

En un hogar o pyme pequeña no tiene sentido desplegar todo el arsenal empresarial, pero sí puedes aprovechar versiones gratuitas o ediciones comunitarias de soluciones como PRTG, Zabbix, Observium, Nagios o ntopng para vigilar puntos críticos: router principal, NAS, servidor de copias, VPN, etc.

Monitorización en la nube y entornos híbridos

Cada vez es más habitual que, incluso en pequeñas organizaciones, parte de la infraestructura esté en la nube (servidores virtuales, aplicaciones SaaS, almacenamiento). En esos casos, una auditoría completa pasa por entender también el tráfico y la seguridad en estos entornos:

  • Soluciones como Datadog, LogicMonitor, Auvik o herramientas nativas de AWS, Azure y GCP permiten monitorizar instancias en la nube, tráfico entre microservicios y posibles cuellos de botella.
  • Servicios específicos como Amazon Inspector analizan las instancias EC2 y otras cargas en AWS en busca de vulnerabilidades y desviaciones de configuración, generando hallazgos priorizados según impacto.

Aunque esto se aleja del escenario puramente doméstico, es muy relevante para pequeñas empresas que combinan red local con servicios en la nube, y que quieren una foto completa de su superficie de ataque.

Escáneres de vulnerabilidades: qué hace que uno sea realmente útil

No todos los escáneres de vulnerabilidades son iguales. Para que merezca la pena integrarlo en tu auditoría (aunque sea con versión gratuita limitada), conviene que cumpla ciertas características clave:

  • Cobertura amplia: debe ser capaz de detectar vulnerabilidades de red, de sistema operativo, de aplicaciones web y problemas de configuración.
  • Buena precisión: cuanto menos ruido (falsos positivos) y menos olvidos (falsos negativos), mejor. Un escáner que te obliga a revisar cientos de alertas inútiles acaba en el cajón.
  • Capacidad de escaneo automatizado y programable: lo ideal es poder programar revisiones periódicas y recibir un informe sin tener que lanzar todo a mano cada vez.
  • Informes claros y accionables: no basta con decir “vulnerable”; debe explicar el problema, el impacto y cómo solucionarlo.
  • Facilidad de uso razonable: si la curva de aprendizaje es brutal, no la usarás con regularidad.
  • Integración con otras herramientas (firewall, sistemas de tickets, SIEM), algo más propio de entornos de empresa, pero muy valioso si tu red doméstica forma parte de una infraestructura mayor.
  Ubuntu 26.04 LTS Beta con Linux 7.0 y GNOME 50: todas las novedades

Herramientas como Nessus (edición gratuita limitada), OpenVAS, Intruder o soluciones comerciales con pruebas gratuitas encajan en este perfil, con mayor o menor orientación a hogar o empresa. Para una red doméstica exigente, OpenVAS más Nmap y Wireshark suele ser un combo muy razonable.

Bases de datos de vulnerabilidades: de dónde se alimentan estas herramientas

Buena parte de la potencia de los escáneres modernos viene de su conexión con bases de datos públicas de vulnerabilidades. No está de más conocer las principales:

  • CVE (Common Vulnerabilities and Exposures): catálogo abierto en el que cada vulnerabilidad recibe un identificador único (por ejemplo, CVE-2024-XXXX). Sirve como lenguaje común entre fabricantes, analistas y herramientas.
  • NVD (National Vulnerability Database): mantenida por el NIST, complementa la información de CVE con datos adicionales y puntuaciones CVSS (Common Vulnerability Scoring System) que indican gravedad (bajo, medio, alto, crítico).
  • CERT y otros equipos de respuesta a incidentes: recopilan y publican detalles técnicos, fabricantes afectados y medidas de mitigación.

Los escáneres de red y vulnerabilidades utilizan estas fuentes para mantener su base de conocimiento actualizada. Por eso es tan importante mantenerlos al día y no fiarse de un análisis hecho con firmas de hace años.

Uso legítimo de herramientas “de hacking” y riesgos legales

Muchos de los programas comentados (Nmap, Wireshark, Metasploit, Aircrack-ng, Hashcat…) son herramientas estándar para profesionales de seguridad y administradores de sistemas, pero también aparecen de forma habitual en manuales de ciberdelincuencia.

La diferencia entre un uso legítimo y un uso delictivo está en el consentimiento y el objetivo:

  • Es legítimo emplearlas para auditar tu propia red doméstica o la de un cliente que te ha dado autorización por escrito.
  • Es ilegal usarlas para acceder, escanear o intentar vulnerar sistemas de terceros sin permiso, aunque solo sea “por curiosidad” y no causes daños.

Además, al capturar tráfico con herramientas como Wireshark, es fácil obtener datos sensibles (credenciales, contenido de comunicaciones no cifradas). Eso te convierte en responsable de custodiar esa información adecuadamente y de eliminar capturas cuando ya no sean necesarias.

Cómo lidiar con falsos positivos y negativos

Un aspecto que a menudo se pasa por alto es que ningún escáner es perfecto. En la práctica te encontrarás con:

  • Falsos positivos: problemas marcados como vulnerabilidad que en realidad ya están solucionados o no aplican en tu entorno (por ejemplo, una versión de software supuestamente vulnerable que ha sido parcheada por el fabricante sin cambiar el número de versión).
  • Falsos negativos: fallos reales que el escáner no detecta por limitaciones técnicas o de base de datos.
Formas sencillas de encontrar la IP de dispositivos en tu red local
Artículo relacionado:
Formas sencillas de encontrar la IP de dispositivos en tu red local

Para minimizar el impacto de estos errores conviene:

  • Cruzar resultados entre diferentes herramientas (por ejemplo, comparar OpenVAS con un escaneo específico de Nmap NSE o con informes de otra solución).
  • Verificar manualmente vulnerabilidades críticas comprobando versiones de software, configuración del dispositivo y documentación del fabricante.
  • Repetir escaneos tras cambios importantes (nuevos equipos, actualizaciones de firmware, cambio de proveedor de Internet).

El objetivo no es tener una auditoría perfecta al milímetro, sino reducir de manera significativa la superficie de ataque y evitar errores de principiante.

Cuándo es razonable hacerlo tú y cuándo pedir ayuda externa

En un hogar o microempresa es totalmente razonable hacer tú mismo la auditoría básica con las herramientas gratuitas comentadas, siempre que tengas cierta soltura técnica. Es especialmente recomendable en estos escenarios:

  • Red con menos de 20-25 dispositivos.
  • Sin datos extremadamente sensibles (salud, información financiera de terceros, expedientes legales confidenciales).
  • Uso interno, sin necesidad de informes formales para clientes o auditorías de cumplimiento.

En cambio, es mucho más sensato externalizar al menos una parte del trabajo si:

  • Gestionas decenas de dispositivos, varias sedes o una red muy heterogénea.
  • Manejas datos regulados o especialmente sensibles (sanitarios, financieros, legales).
  • Necesitas informes oficiales para certificaciones, auditorías o contratos con clientes.
  • Has sufrido, o sospechas, un incidente de seguridad reciente.

En muchos casos, el enfoque más práctico es un modelo mixto: tú haces auditorías ligeras y frecuentes con herramientas gratuitas, y cada cierto tiempo (por ejemplo, una vez al año o tras grandes cambios) encargas una auditoría profesional más profunda que también revise lo que no ves en el día a día.

Dar el salto de “mientras funcione, no lo toques” a revisar de forma metódica tu red con herramientas gratuitas como Nmap, Wireshark, Aircrack-ng u OpenVAS supone pasar de la improvisación a un control real de qué dispositivos tienes, cómo se comunican y qué agujeros de seguridad conviene cerrar cuanto antes; con unas pocas horas bien invertidas y algo de disciplina para repetir la revisión periódicamente, una red doméstica o de pequeña empresa deja de ser un conjunto opaco de cacharros conectados y se convierte en una infraestructura que sabes cómo proteger y mantener bajo control. Comparte la información y otros usuarios conocerán del tema.