El filtrado MAC consiste en sólo aceptar dispositivos de red de confianza, para ello tienes que identificar el MAC del dispositivo e introducirlo en la lista del filtrado. Ahora, esta medida puede ser vulnerada capturando el MAC de la víctima y suplantandolo en la red.

Sucede que si la víctima intenta comunicarse con el router, lo más probable es que atacante y víctima a parte de compartir dirección MAC también la dirección IP, por lo tanto habría una denegación de servicio hacia la víctima para así el atacante hacer uso de la red.

El WPS tiene varios modos, el de mas riesgo es el de conexión mediante PIN-WPS. Lo mejor desactivarlo y si es muy necesario para ti, entonces cambia el PIN. Probablemente el router detecte ataques y haga larga la espera entre la estación y el dispositivo del atacante.

Saludos.

Así es. Normalmente en la configuración de redes Wi-Fi del router se le da al usuario a elegir entre WPA, WPA/WPA2 (combinado) o WPA2. Si todos los dispositivos de la red son compatibles con WPA2 (que hoy día lo son), lo mejor dejar WPA2.

El porque: WPA utiliza por debajo TKIP el cual es vulnerable bajo cierto escenario, y WPA2 introdujo AES-CTR para cifrado y CBC-MAC para la autenticación, a esto se le conoce por AES-CCMP y es lo que suele aparecer en los router. A día de hoy este modo se considera seguro.

El atacante debe estar en la misma red para suplantar la MAC de cara al router, significa que algo en la seguridad ha fallado y ha conseguido acceso, sería como una medida de post-explotación. Aun así si el propósito es la denegación de servicio, mediante Wi-Fi es posible mediante otras técnicas.

Hombre en principio no y menos si sigues los consejos de configuración pero...

Siempre hay un vector de ataque que no depende de las políticas de seguridad del cliente, quien sabe si el vendedor tiene alguna vulnerabilidad en su producto, como ha pasado tantas veces con routers convencionales. O bien que la propia ISP se vea vulnerada, el protocolo TR-069 se utiliza para actualizar el firmware del router y se han comprometido estaciones de control. También servidores DNS y posiblemente en la ruta de direccionamiento haya habido casos.

Tú como cliente no debes de alarmarte pues lo normal es que no seamos objetivo de ataques sotisficados, lo mejor es adoptar una política de seguridad siempre que compramos tecnología, en el caso de redes domésticas: WPA2-AES con passphrase alfanumérica y 10+ caracteres, quitar PIN WPS, quitar auto-update de firmware, revisar el firewall y bloquear entradas del ISP, restringir uso de ICMP desde el exterior, DNS que respeten la privacidad y ya si te animas instalar un firmware libre y configurarlo al uso. Y alguna herramienta de monitoreo de la red, no hace falta que este corriendo siempre, pero en plan preventivo.

Saludos.

Si, a toque personal uso Fing y Net Analyzer Pro. Desde la config del router también puedes listar la tabla ARP y DHCP, para ver que IPs y MAC rondan tu red, aunque mucho mejor verlo con las apps que te dicen la marca del dispositivo.

Ten en cuenta que si un atacante pasa por tu red, tiene que dejar alguna marca, aunque no use DHCP tiene que asociarse al router para poder acceder al resto de dispositivos de la red o bien a Internet.

Alternativas radicales existen como desactivar la WIFI y dejar sólo el acceso por cable, o quizá dejar solo el acceso por PUSH WPS que es apretando el boton WPS cada vez que un equipo se une a la red. Creo que todo esto no es necesario si ya estás debidamente protegido.

Saludos.