Seguridad al Utilizar la API de MikroTik (Puerto 8728)

El servicio API de MikroTik permite que sistemas externos, como iWISP, se conecten al router para realizar diversas operaciones administrativas. Sin embargo, habilitar este servicio sin restricciones puede representar un riesgo importante, especialmente cuando el MikroTik cuenta con una dirección IP pública accesible desde Internet.

¿Por qué es peligroso habilitar la API con una IP pública?

El puerto 8728 es el puerto estándar de la API de MikroTik. Debido a que este puerto es ampliamente conocido, existen múltiples bots y escáneres automatizados que realizan búsquedas constantes en Internet intentando acceder a routers vulnerables.

Si el puerto 8728 está abierto hacia Internet sin filtros, los atacantes pueden:

Realizar intentos masivos de fuerza bruta para adivinar la contraseña del router.
Bloquear el router mediante ataques de sobrecarga o scanner continuo.
Intentar modificar configuraciones o acceder a datos internos si logran autenticarse.
Registrar el equipo en botnets o usarlo para ataques posteriores.

Debido a esto, nunca es recomendable dejar la API accesible desde cualquier dirección cuando se tiene una IP pública directa.

Importancia de una contraseña segura

Incluso si la API está limitada, es indispensable utilizar contraseñas robustas para el usuario con el que iWISP se conecta. Una contraseña débil facilita los ataques de fuerza bruta.

Una contraseña segura debe incluir:

Mayúsculas
Minúsculas
Números
Caracteres especiales
Una longitud mínima de 12 caracteres

Esto reduce de manera considerable la probabilidad de que un atacante logre acceder.

¿Se puede cambiar el puerto 8728?

No. En este caso no debe cambiar el puerto API, ya que iWISP utiliza por defecto el puerto 8728 para conectarse al MikroTik. Cambiarlo ocasionará que el sistema deje de enlazar correctamente.

En lugar de modificar el puerto, la forma correcta de asegurar el acceso es limitar quién puede conectarse.

Cómo proteger la API: Permitir solo conexiones internas

La manera más segura de utilizar la API con iWISP es restringirla únicamente a la red interna donde se usa el sistema. De esta forma, aunque su MikroTik tenga IP pública, los bots y atacantes de Internet no podrán acceder.

Por ejemplo, si su red local es 192.168.10.0/24, solo esa red debe tener permiso para conectarse a la API.

Para configurarlo:

Ingrese a IP > Services.
Seleccione el servicio api.
En el campo Available From, escriba: 192.168.10.0/24.
Guarde los cambios.

Con esto, cualquier intento de acceso desde Internet será bloqueado automáticamente, pero iWISP podrá seguir conectándose desde su red local sin problemas.

Información: Si administra su red mediante VPN, también puede agregar la red VPN en esta lista, asegurando que solo usted tenga acceso remoto.

Conclusión

La API de MikroTik es una herramienta poderosa, pero debe usarse con responsabilidad. Mantener el puerto 8728 habilitado sin filtros en una IP pública es arriesgado, pero puede operarse de manera segura si se aplican las restricciones correctas.

Limitar el acceso a la red interna y usar contraseñas fuertes garantiza que iWISP funcione correctamente mientras mantiene la seguridad de su infraestructura.