Separar tu red doméstica en “principal”, “IoT” e “invitados” reduce riesgos y te da control: si un dispositivo barato queda expuesto, no debería poder ver tu portátil, tu NAS o tu cámara de trabajo.
1) Opción rápida: red de invitados (sin VLAN)
Para la mayoría de hogares, el “Wi‑Fi de invitados” es el primer paso: crea un SSID separado y, si tu router lo permite, desactiva el acceso a la red local (a veces aparece como “Permitir acceso a intranet/LAN”).
- Invitados: SSID Invitados con aislamiento (sin acceso a LAN).
- IoT: si tu router permite múltiples SSID, crea uno para IoT; si no, usa el de Invitados para IoT y comparte el QR solo cuando lo necesites.
- 2.4 GHz: muchos IoT solo soportan 2.4. Mantén el nombre/contraseña estable para evitar re‑emparejamientos.
Consejo práctico
Si usas altavoces/TV para transmitir (Chromecast/AirPlay), una red de invitados con aislamiento total puede romper el “descubrimiento”. En ese caso, pasa a VLAN o crea una excepción controlada (ver más abajo).
2) Opción ordenada: VLAN (cuando tu equipo lo soporta)
VLAN significa separar el tráfico como si fueran redes distintas, incluso usando el mismo cableado. Suele requerir: router con VLAN/firewall, AP que soporte múltiples SSID con VLAN y (a veces) un switch gestionable.
Un esquema simple:
VLAN 10: LAN (PC, móviles, NAS)
VLAN 20: IoT (bombillos, cámaras, enchufes)
VLAN 30: Guest (visitas)
La idea es que el firewall decida quién habla con quién. Reglas típicas:
- Bloquear IoT → LAN por defecto.
- Permitir LAN → IoT para control (apps, Home Assistant, etc.).
- Permitir IoT → Internet solo lo necesario (idealmente con DNS filtrado).
- Guest → LAN/IoT bloqueado siempre.
Excepciones comunes (para que no se “rompa” la casa)
Algunos protocolos de descubrimiento no cruzan subredes fácilmente. Si separas con VLAN, considera estas opciones (de menor a mayor complejidad):
- Poner el “controlador” en la VLAN IoT (por ejemplo, un hub o un servidor Home Assistant con acceso a ambas VLAN).
- Habilitar mDNS/Bonjour reflector para discovery (p. ej., AirPlay/Chromecast). No abras todo: filtra por servicios si tu equipo lo permite.
- Reglas puntuales (ej.: permitir UDP 5353 entre segmentos para mDNS, o rangos específicos hacia una TV). Documenta cada excepción.
3) DNS: tu filtro de seguridad “barato”
Aunque no tengas VLAN, controlar DNS reduce conexiones a dominios maliciosos o trackers. Tres enfoques:
- DNS en el router: rápido y centralizado (si permite DoH/DoT y listas).
- DNS local (Pi-hole / AdGuard Home): más control y reportes en tu red.
- DNS por dispositivo: útil si el router es limitado, pero es más difícil de mantener.
Idealmente fuerza DNS desde el router/firewall (bloquea DNS directo a Internet desde IoT y redirígelo al resolutor que tú controlas). Esto evita que un dispositivo “se salte” tu filtro usando DNS propio.
4) Reglas básicas que casi siempre valen la pena
Wi‑Fi y acceso
- WPA2/WPA3, clave larga y única.
- Desactiva WPS.
- Cambia credenciales de admin del router.
Red y servicios
- Desactiva UPnP si no lo necesitas.
- Reserva IP/DHCP para hubs críticos (más estabilidad).
- Actualiza firmware del router y AP.
Checklist rápido (decide tu camino)
- ¿Tu router permite “Invitados sin acceso a LAN”? Empieza ahí.
- ¿Tienes TV/altavoces que dependen de discovery? Considera VLAN + mDNS reflector (o un controlador en IoT).
- ¿Tienes cámaras/NAS/teletrabajo? Prioriza bloquear IoT → LAN y forzar DNS.
- ¿Tu Wi‑Fi se cae o no llega? Primero estabiliza cobertura; luego segmenta.