¿Qué es el protocolo UPnP? Riesgos que debes conocer

¿Qué es UPnP?

Con frecuencia aparece asociado a las siglas IGD (Internet Gateway Device), que hacen referencia al protocolo que UPnP usa para atravesar la NAT. En la práctica, UPnP IGD es la capacidad de tu router para conectarse automáticamente con cualquier dispositivo compatible con este protocolo.

¿Para qué sirve UPnP?

UPnP está pensado para simplificar la conectividad en el hogar. Estos son los usos más habituales:

• Dispositivos del Internet de las cosas (IoT). Asistentes de voz como Amazon Echo o Google Home, cámaras de seguridad, bombillas inteligentes e interruptores conectados.
• Consolas de videojuegos. La conectividad online de PlayStation, Xbox o Nintendo Switch depende en gran medida de UPnP para abrir los puertos necesarios.
• Dispositivos de streaming. reproductores como Amazon Fire TV Stick o Google Chromecast también lo utilizan.
• Impresoras y escáneres en red. Se conectan automáticamente a los demás dispositivos sin necesidad de configuración manual.

La ventaja de UPnP es clara: simplifica enormemente la experiencia del usuario. El problema es que esa simplicidad tiene un precio en términos de seguridad.

¿Qué es un punto de acceso UPnP?

Un punto de acceso UPnP es un puerto o conjunto de puertos que queda disponible para conexiones entrantes cuando UPnP está activado. Cada vez que un dispositivo solicita abrir un puerto a través de UPnP, el router lo hace de forma automática y sin verificar si esa solicitud es legítima.

Esto significa que cualquier dispositivo de tu red, ya sea tu Smart TV, tu consola o incluso un dispositivo infectado con malware, puede abrir puertos en tu router sin que tú lo sepas ni lo autorices.

¿Cuáles son las vulnerabilidades de UPnP?

La vulnerabilidad más crítica de UPnP es estructural. No tiene ningún sistema de autenticación. El protocolo está diseñado para aceptar y ejecutar solicitudes de cualquier dispositivo conectado a la red local, sin comprobar si quien las hace es un dispositivo de confianza o no.

¿Qué consecuencias tiene esto?

• Un dispositivo comprometido puede abrir puertos y exponerlos a internet sin que el usuario lo sepa.
• Un hacker que acceda a tu red puede enviar comandos UPnP directamente al router.
• El malware diseñado específicamente para explotar UPnP puede convertir tu router en un punto de distribución de tráfico malicioso.

Aunque existe el estándar UPnP-UP (Universal Plug and Play User Profile), que añade una capa de autenticación opcional, muy pocos dispositivos y routers lo implementan. Y los que lo hacen, presentan a su vez carencias en la gestión del cifrado.

Vulnerabilidades detectadas en los últimos años

En mayo de 2025 se identificaron dos vulnerabilidades críticas en el servicio UPnP Device Host de Windows: la CVE-2025-48819 y la CVE-2025-48821. 

Ambas permiten a un atacante dentro de la misma red local escalar privilegios en el sistema objetivo sin necesidad de autenticación previa. Esto confirma que UPnP seguirá siendo una superficie de ataque activa y explotable.

¿Cuáles son los riesgos reales de UPnP?

Si un hacker consigue explotar UPnP en tu router, puede hacer lo siguiente:

• Acceder a todos los dispositivos de tu red, incluyendo el ordenador, el móvil, las cámaras de seguridad y cualquier gadget inteligente.
• Robar información sensible: correos electrónicos, contraseñas, datos bancarios o listas de contactos.
• Redirigir tu tráfico DNS para enviarte a páginas falsas y ejecutar ataques de phishing sin que te des cuenta.
• Convertir tu router en parte de una botnet, usándolo para lanzar ataques contra terceros desde tu conexión.
• Saltarse el firewall de tu router abriendo puertos de forma silenciosa, dejando expuestos servicios que deberían estar protegidos. Esto compromete la seguridad de la red.

Un caso real y muy documentado es el del troyano bancario QakBot (también conocido como Pinkslipbot), que usa UPnP para convertir los routers de sus víctimas en servidores proxy y lanzar ataques contra otras personas. Las cámaras de seguridad domésticas también han sido históricamente uno de los vectores favoritos para construir botnets a través de UPnP mal configurado.

Si sospechas que tu dispositivo podría estar comprometido, te explicamos cómo saber si te han hackeado el móvil y qué hacer al respecto.

¿Debo tener UPnP activado o desactivado?

Desactivado, salvo que tengas una razón muy concreta para mantenerlo activo.

La comodidad que ofrece UPnP no compensa los riesgos que introduce. Con UPnP desactivado, tienes que configurar el reenvío de puertos de forma manual en tu router para cada dispositivo o servicio que lo necesite. Es algo más de trabajo, pero el resultado es una red mucho más controlada y segura: solo quedan abiertos los puertos que tú decides abrir, para los dispositivos que tú eliges.

Si juegas online con consola o usas servicios que dependen de UPnP, valora si realmente lo necesitas o si puedes sustituirlo por port forwarding manual para esos casos concretos.

¿Cómo proteger tu red si usas UPnP?

Si no puedes desactivar UPnP por ahora, aquí tienes medidas concretas para reducir tu exposición:

• Desactiva UPnP directamente en tu router. Es la medida más efectiva. Accede al panel de administración de tu router (normalmente en 192.168.1.1 o 192.168.0.1) y busca la opción UPnP en la sección de configuración de red.
• Actualiza el firmware de tu router regularmente. Los fabricantes publican parches de seguridad que corrigen vulnerabilidades conocidas. Tener el firmware al día es una de las formas más sencillas de mantener tu red protegida.
• Revisa qué puertos están abiertos. Muchos routers permiten consultar la tabla de reglas UPnP desde su interfaz. Si ves puertos abiertos que no reconoces, ciérralos.
• Cambia las credenciales de acceso a tu router. El usuario y contraseña por defecto son públicos y los primeros que prueban los hackers. Crea unas contraseñas robustas y únicas para proteger el acceso a la configuración.
• Segmenta tu red. Si tu router lo permite, crea una red wifi separada para tus dispositivos IoT. Así, si uno de ellos se ve comprometido, el atacante no tiene acceso directo a tu ordenador o móvil.
• Usa una VPN en tu router. Instalar una VPN en el router cifra todo el tráfico que sale de tu red, dificultando que un intruso intercepte tus comunicaciones aunque logre acceder a la red local. Descubre por qué usar una VPN es una de las mejores decisiones que puedes tomar para tu privacidad online.
• Activa la Protección contra amenazas Pro™ de NordVPN. Bloquea el tráfico malicioso antes de que llegue a tus dispositivos, incluyendo intentos de conexión desde dominios peligrosos asociados a exploits UPnP.

¿Es seguro usar UPnP hoy en día?

UPnP sigue siendo un protocolo con riesgos reales. Su falta de autenticación por diseño, combinada con las nuevas vulnerabilidades detectadas en 2025 en Windows y la forma en que el malware lo explota activamente, hacen que mantenerlo activado sin necesidad sea una decisión difícil de justificar.

Si puedes desactivarlo, hazlo. Si no, aplica todas las medidas de este artículo para reducir tu exposición al mínimo. Y recuerda: la seguridad de tu red doméstica no depende solo del router, sino de todo lo que conectas a él. Conocer los riesgos es el primer paso para gestionarlos bien.