Cómo Acceder a un Router MikroTik sin Contraseña: Guía Completa

By /

El acceso a los dispositivos MikroTik, especialmente para la configuración inicial o en situaciones de olvido de credenciales, puede presentar desafíos. Afortunadamente, existen métodos para acceder a estos equipos, incluso cuando la contraseña parece ser un obstáculo insuperable. Este artículo explorará diversas técnicas, desde la manipulación de credenciales de fábrica hasta el uso de protocolos de acceso remoto y la configuración de autenticación por llaves SSH, proporcionando una guía detallada para técnicos de redes y entusiastas.

Acceso Inicial a un Equipo MikroTik de Fábrica

Cuando un equipo MikroTik se adquiere nuevo o se restablece a su configuración de fábrica, el acceso inicial es fundamental para su posterior configuración. Rony Alcarraz, Técnico en Redes y Telecomunicaciones certificado en MikroTik MTCNA, explica que básicamente podemos optar por dos métodos para acceder a un equipo MikroTik tal cual nos viene de fábrica.

Equipo MikroTik recién sacado de la caja

El primer paso, independientemente del método elegido, es conectar el MikroTik a la corriente. Es importante notar que no todos los equipos MikroTik llevan un puerto etiquetado explícitamente con la palabra "Internet". Una vez conectado, el MikroTik nos asignará una dirección IP, permitiendo así el acceso.

Opción 1: Acceso con Credenciales Predeterminadas

Esta es la forma más común y directa de acceder a un router MikroTik recién configurado. El proceso implica el uso de la herramienta Winbox, una utilidad gráfica muy popular para la administración de dispositivos MikroTik.

  1. Abrir Winbox: Ejecuta la aplicación Winbox en tu ordenador.
  2. Conexión: En la ventana de conexión de Winbox, encontrarás varios campos.
    • En el campo "Login", introduce la credencial predeterminada: admin.
    • Deja el campo de "Password" (contraseña) completamente en blanco.
    • En el campo "Connect To", se te pedirá la dirección IP del router. Si el router está en la misma subred que tu ordenador y no tiene una configuración IP previa, Winbox a menudo lo detectará automáticamente. Si no es así, deberás ingresar la dirección IP asignada por el router.
  3. Conectar: Haz clic en el botón "Connect".

Si has seguido estos pasos correctamente, deberías poder acceder a la interfaz de administración de tu router MikroTik.

Opción 2: Consideraciones Adicionales con Credenciales

En algunos casos, el acceso directo con "admin" y contraseña en blanco puede no ser exitoso debido a pequeñas variaciones en la configuración o en la percepción de los caracteres.

  • Confusión entre ‘0’ y ‘O’: En ciertos modelos de MikroTik, puede haber una confusión visual entre el número cero ('0') y la letra 'O' mayúscula. Al ingresar la contraseña de fábrica (si la hubiera), es crucial verificar cuál de los dos caracteres se está utilizando.
  • Espacios en el usuario ‘admin’: En algunos escenarios específicos, el nombre de usuario 'admin' podría requerir que añadas un espacio al principio o al final. Aunque parezca inusual, esta pequeña variación puede ser la clave para un acceso exitoso.
  • Espacios en la contraseña: Del mismo modo, al ingresar la contraseña, verifica si es necesario incluir un espacio al final. Esta pequeña variación puede marcar la diferencia entre el acceso exitoso y un error de autenticación.

Si después de intentar estas variaciones sigues sin poder acceder, es posible que el router haya sido preconfigurado con credenciales distintas a las de fábrica o que requiera un método de acceso diferente.

Métodos Avanzados de Acceso: Telnet y SSH

El acceso por Telnet y SSH a un router MikroTik es una de las formas más directas y potentes de administrar equipos con RouterOS. Estos protocolos permiten conectarse a un router MikroTik mediante una consola de comandos, ofreciendo un control granular sobre el dispositivo.

Diagrama comparativo de Telnet y SSH

¿Qué es el Acceso por Telnet y SSH en MikroTik?

Telnet y SSH son protocolos de acceso remoto que permiten conectarse a un router MikroTik mediante una consola de comandos. Una vez autenticado con usuario y contraseña, se puede gestionar completamente el equipo usando RouterOS. En MikroTik, tanto Telnet como SSH se utilizan siempre a través de una dirección IP. No existe otra forma estándar de acceder por estos métodos salvo en escenarios específicos como el acceso por MAC Telnet, que se detallará más adelante.

La diferencia principal entre ambos radica en la seguridad:

  • Telnet: Transmite la información en texto plano, lo que significa que los datos (incluyendo credenciales) pueden ser interceptados y leídos por terceros si la red no está protegida.
  • SSH (Secure Shell): Cifra toda la comunicación entre el cliente y el servidor, garantizando la confidencialidad e integridad de los datos transmitidos.

Requisitos para Acceder a un Router MikroTik por Telnet o SSH

Para acceder a un router MikroTik mediante Telnet o SSH, se requieren los siguientes elementos:

  • Dirección IP del router: Debes conocer la dirección IP del router MikroTik al que deseas acceder.
  • Usuario y contraseña: Necesitarás las credenciales de acceso válidas para el router.
  • Herramienta de cliente: Un programa en tu ordenador que soporte conexiones Telnet y/o SSH.

Herramientas Necesarias en Windows

Si trabajas desde Windows, es necesario contar con una herramienta que permita conexiones Telnet y SSH. Algunas opciones populares incluyen:

  • PuTTY: Un cliente SSH y Telnet gratuito y muy utilizado que ofrece una interfaz sencilla para establecer conexiones remotas.
  • Windows Terminal: La aplicación moderna de terminal de Windows, que soporta SSH de forma nativa.

Cómo Acceder a un Router MikroTik Mediante Telnet

El acceso por Telnet permite conectarse rápidamente a un router MikroTik usando su IP y el puerto 23 por defecto.

Inicio de Sesión por Terminal

El flujo normal para conectarse vía Telnet es el siguiente:

  1. Abrir la herramienta cliente: Inicia PuTTY o tu cliente Telnet preferido.
  2. Ingresar la IP del router: En el campo correspondiente, escribe la dirección IP del router MikroTik.
  3. Seleccionar protocolo y puerto: Asegúrate de que el protocolo seleccionado sea Telnet y el puerto sea el 23 (por defecto).
  4. Conectar: Haz clic en el botón de conexión.
  5. Aparece la consola: Si la conexión es exitosa, se abrirá una ventana de consola.
  6. Introducir usuario y contraseña: Se te solicitará el nombre de usuario y la contraseña. Ingresa las credenciales válidas para el router.
  7. Acceder directamente a RouterOS: Una vez autenticado, tendrás acceso a la línea de comandos de RouterOS.

En más de una ocasión he utilizado Telnet para realizar configuraciones básicas o verificar parámetros cuando necesitaba una conexión rápida sin cifrado adicional.

Limitaciones de Seguridad de Telnet

La principal desventaja de Telnet es que toda la comunicación viaja en texto plano. Esto lo hace vulnerable a la interceptación de datos, especialmente en redes no seguras. Por esta razón, su uso se desaconseja en entornos donde la seguridad es una prioridad, y se prefiere SSH.

Cuándo Usar Telnet en MikroTik (Casos Prácticos Reales)

Aunque SSH es el método más seguro, Telnet puede ser clave en situaciones específicas donde la rapidez y la simplicidad son más importantes que la seguridad extrema, siempre y cuando se comprendan los riesgos.

Recuperar el Acceso Cuando Winbox No Responde

Un escenario muy común es perder el acceso por Winbox a un router secundario. En una situación real que me ha ocurrido, tenía:

  • Un router MikroTik principal.
  • Un segundo router conectado directamente.
  • Pérdida total del acceso gráfico al segundo equipo.

Gracias a que ambos routers estaban conectados físicamente, fue posible acceder por Telnet desde el router principal (si este tenía acceso al segundo) y recuperar la configuración necesaria para volver a ingresar por Winbox. Esto demuestra la utilidad de Telnet como una herramienta de rescate en ciertos escenarios.

Acceso Mediante MAC Telnet Entre Routers MikroTik

Cuando dos routers MikroTik están conectados directamente, se puede utilizar MAC Telnet, que permite el acceso por dirección MAC en lugar de IP. Este método es extremadamente útil cuando:

  • La IP está mal configurada.
  • No hay conectividad IP.
  • Se necesita recuperar el equipo desde la terminal.

Para utilizar MAC Telnet, generalmente se accede a través de Winbox. En la ventana "Neighbors" (Vecinos), se puede ver una lista de los dispositivos MikroTik conectados en la red local. Al hacer clic derecho sobre un dispositivo y seleccionar "MAC Telnet", se puede iniciar una sesión de consola sin necesidad de conocer la dirección IP del dispositivo de destino. Aunque la comunicación no es cifrada, en entornos controlados puede salvar literalmente la administración del router.

Cómo Acceder a un Router MikroTik Mediante SSH

SSH es el protocolo preferido para el acceso remoto seguro a routers MikroTik. Utiliza cifrado para proteger toda la comunicación.

Inicio de Sesión por SSH

El proceso de conexión vía SSH es similar al de Telnet, pero con un enfoque en la seguridad:

  1. Abrir la herramienta cliente: Inicia PuTTY o tu cliente SSH preferido.
  2. Ingresar la IP del router: Escribe la dirección IP del router MikroTik.
  3. Seleccionar protocolo y puerto: Asegúrate de que el protocolo seleccionado sea SSH y el puerto sea el 22 (por defecto).
  4. Conectar: Haz clic en el botón de conexión.
  5. Advertencia de seguridad: Es posible que la primera vez que te conectes a un router, PuTTY te muestre una advertencia sobre la clave del host. Esto es normal; verifica la autenticidad del dispositivo si es posible y acepta la conexión.
  6. Introducir usuario y contraseña: Se te solicitará el nombre de usuario y la contraseña.
  7. Acceder a RouterOS: Una vez autenticado, tendrás acceso a la línea de comandos de RouterOS.

Ventajas de SSH

La principal ventaja de SSH es la seguridad. Toda la comunicación está cifrada, protegiendo las credenciales y los comandos de ser interceptados. Esto lo convierte en el método estándar y recomendado para la administración remota de dispositivos MikroTik.

Buenas Prácticas de Seguridad al Usar Telnet y SSH en MikroTik

Independientemente del método de acceso remoto que utilices, la seguridad debe ser una prioridad.

Cambio de Puertos por Defecto

Si el router MikroTik tiene una dirección IP pública y es accesible desde Internet, es fundamental modificar los puertos por defecto para aumentar la seguridad:

  • Cambiar el puerto 22 (SSH): Modifica el puerto SSH a un valor no estándar (por ejemplo, 2222).
  • Cambiar el puerto 23 (Telnet): Si usas Telnet, también debes cambiar su puerto por defecto. Sin embargo, la recomendación es deshabilitarlo si no es estrictamente necesario.
  • Evitar dejar servicios expuestos innecesariamente: Deshabilita cualquier servicio de acceso remoto que no estés utilizando activamente.

En la práctica, los ataques automatizados suelen apuntar directamente a los puertos por defecto (22 y 23), por lo que cambiarlos puede reducir significativamente el número de intentos de acceso no deseados.

Riesgos al Tener IP Pública

Los servicios de acceso remoto (como SSH y Telnet) son uno de los principales objetivos de los ataques cibernéticos, especialmente cuando el router tiene una dirección IP pública. Por ello:

  • Usa SSH siempre que sea posible: Prioriza SSH sobre Telnet debido a su seguridad inherente.
  • Restringe accesos por IP: Configura el firewall del router para permitir el acceso SSH/Telnet solo desde direcciones IP específicas y confiables. Esto es crucial si administras el router desde una ubicación fija.
  • Deshabilita Telnet si no lo necesitas: Si no tienes una razón específica para usar Telnet, desactívalo por completo para eliminar la superficie de ataque.

En redes productivas, estas simples medidas marcan una gran diferencia en la seguridad general del dispositivo y de la red.

Recuperación de Contraseña Olvidada en MikroTik

Si olvidaste la contraseña de tu router MikroTik, aquí tienes varias opciones para recuperarla o restablecer el acceso.

1. Acceder con Otra Cuenta de Usuario

Si en algún momento configuraste otro usuario con permisos de administrador en el router, intenta acceder con esas credenciales. Esta es la forma más sencilla si existe una cuenta alternativa.

2. Recuperar la Contraseña Desde un Backup (Si Tienes un Respaldo)

Si alguna vez exportaste la configuración del router (ya sea como un archivo .backup o .rsc), puedes buscar la contraseña en ese respaldo.

  • Descarga el archivo de respaldo: Accede al archivo de respaldo desde Winbox o mediante FTP.
  • Utiliza una herramienta de descifrado: Si la contraseña está cifrada en el archivo de configuración, puedes usar herramientas como "MikroTik Password Decryptor" (disponible en línea o como aplicación local) para intentar extraer las contraseñas.

3. Revisar en Winbox (Si Aún Tienes Acceso)

Si accediste al router anteriormente con Winbox y la sesión aún está activa, puedes intentar ver o cambiar la contraseña:

  • Navega a System > Users: En Winbox, dirígete al menú System y luego selecciona Users.
  • Cambiar la contraseña: Si puedes ver la lista de usuarios, intenta cambiar la contraseña del usuario actual o de otro usuario administrador.

Este método solo funciona si ya tenías una sesión activa antes de olvidar la contraseña principal.

4. Restablecimiento de Fábrica

Si ninguna de las opciones anteriores funciona, el último recurso es realizar un restablecimiento de fábrica del router. Esto borrará toda la configuración actual, incluyendo la contraseña, y devolverá el dispositivo a su estado original. El procedimiento exacto varía según el modelo de MikroTik, pero generalmente implica mantener presionado un botón de reset mientras se enciende el dispositivo. Después de un restablecimiento de fábrica, podrás acceder al router utilizando el método de "Acceso Inicial a un Equipo MikroTik de Fábrica" descrito al principio de este artículo.

Acceso por SSH sin Contraseña Mediante Llaves SSH

En ocasiones, no es deseable que los usuarios conozcan las contraseñas de los equipos, pero sí que puedan acceder a ellos por SSH. Para ello, se han creado las llaves SSH (llave pública y privada) que facilitan esta tarea. Este método es especialmente útil cuando se gestionan muchos equipos remotos, ya que evita tener que recordar y teclear múltiples contraseñas.

Representación gráfica de la autenticación por llaves SSH

¿Qué son las Llaves SSH?

Al usar una llave SSH (una pública y una privada, para ser precisos), se puede conectarse fácilmente a un servidor, o a múltiples servidores, sin tener que ingresar una contraseña cada vez. Este método se basa en la criptografía asimétrica y protocolos de desafío-respuesta.

Una ventaja inmediata de este método sobre el clásico método de autenticación con contraseña es que es posible autenticarse sin necesidad de enviar la contraseña por la red. Así, alguien espiando la red no podrá interceptar e intentar descifrar la contraseña, ya que esta nunca será enviada. Adicionalmente, el uso de llaves SSH virtualmente elimina el riesgo de ataques de fuerza bruta al reducir la probabilidad de que un atacante adivine las credenciales correctamente.

Además de ofrecer seguridad adicional, la autenticación con llaves SSH puede ser más conveniente que el método tradicional de autenticación con contraseña. Cuando se usa con un programa conocido como Agente SSH, las llaves SSH le permiten conectarse con uno o múltiples servidores sin necesidad de tener que recordar la contraseña de cada sistema.

Las llaves SSH también tienen algunas desventajas y pueden no funcionar en todos los ambientes, pero en muchas circunstancias ofrecen bastantes ventajas. Un entendimiento general de cómo funcionan las llaves SSH le ayudará a decidir cómo y cuándo usarlas para satisfacer su caso específico.

Requerimientos para la Configuración de Llaves SSH

Los únicos requerimientos para seguir este tutorial son los siguientes:

  • Equipo con RouterOS instalado.
  • Winbox para la configuración inicial en MikroTik.
  • Paquete completo de Putty (incluyendo PuTTYgen) en Windows.
  • Conectividad de red entre los equipos a probar.

Instalación de PuTTY

Lo primero que necesitamos instalar es el paquete completo de PuTTY. La instalación es muy sencilla: simplemente descarga el instalador y ejecútalo haciendo doble clic. Debes aceptar todos los pasos y hacer clic en "siguiente" -> "siguiente" -> "siguiente"… ¡y listo!

Creación de un Nuevo Usuario en MikroTik

Para configurar el acceso por llaves SSH, es una buena práctica crear un usuario específico con los permisos necesarios (idealmente, permisos limitados para mayor seguridad).

  1. Abrir Winbox: Utiliza la interfaz gráfica gratuita Winbox.
  2. Crear Usuario: Ve al menú principal System -> Users.
  3. Configurar Usuario: Crea un nuevo usuario (por ejemplo, llamado sshuser). Puedes configurarlo con permisos de solo lectura (read) o con permisos más amplios según tus necesidades. Para este ejemplo, se creará un usuario llamado rouser (read only user) y se le asignará al grupo read, sin contraseña inicial.

Captura de pantalla de la creación de usuario en Winbox

Generar Llave Pública y Privada SSH

Ahora, utilizaremos PuTTYgen para generar el par de llaves SSH.

  1. Abrir PuTTYgen: Ejecuta el programa PuTTYgen.
  2. Seleccionar Tipo de Llave: Asegúrate de que el tipo de llave seleccionado sea SSH-2 RSA.
  3. Número de Bits: Selecciona el número de bits para la longitud de la clave. Valores como 2048 o 4096 bits son considerados seguros y suficientes.
  4. Generar Par de Llaves: Haz clic en el botón "Generate key pair".
  5. Generar Entropía: Para generar un poco de entropía a la hora de generar la llave, mueve el ratón continuamente en el área marcada en el recuadro verde.

Generando par de llaves SSH RSA-2 en PuTTYgen

Una vez que el proceso ha finalizado, tendrás tu llave pública y privada generadas.

Exportar Llave Pública

La llave pública es la que se colocará en el router MikroTik.

  1. Guardar Llave Pública: En la ventana de PuTTYgen, ve al menú superior Conversions -> Export OpenSSH Key.
  2. Guardar Archivo: Guarda la llave pública con un nombre identificativo, por ejemplo, RemoteSSHReadOnly.

Existe la posibilidad de poner una contraseña a la llave SSH (passphrase). Cada vez que la vayas a usar (hacer login), se te preguntará por esa contraseña. En este caso, se ha optado por dejar la contraseña en blanco para un acceso más directo.

Exportando llave pública SSH en formato OpenSSH

Copiar Llave Pública al MikroTik

Ahora, debemos transferir la llave pública al router MikroTik.

  1. Abrir Winbox: Conéctate a tu router MikroTik con Winbox.
  2. Arrastrar y Soltar: Simplemente arrastra el archivo de la llave pública (RemoteSSHReadOnly) a la ventana de Winbox. Verás que el fichero se transfiere sin ningún problema.

Copiando llave pública SSH al MikroTik mediante arrastrar y soltar en Winbox

Asignar Llave Pública al Usuario

Ahora debemos asignar la llave pública generada a nuestro usuario sshuser (o el que hayas creado).

  1. Navegar a SSH Keys: En Winbox, ve a System -> Users. Selecciona el usuario al que quieres asociar la llave.
  2. Importar Llave: Haz clic en la pestaña SSH Keys. Luego, haz clic en el botón Import SSH Key.
  3. Seleccionar Llave: Se te pedirá que selecciones el archivo de la llave pública que acabas de transferir.

Importando y asignando llave pública SSH a un usuario en MikroTik

Exportar Llave Privada

La llave privada es la que utilizará tu cliente SSH (PuTTY) para autenticarse. Debes guardarla en un lugar seguro.

  1. Guardar Llave Privada: En PuTTYgen, haz clic en el botón "Save private key".
  2. Guardar Archivo: Guarda la llave privada con un nombre identificativo, por ejemplo, RemoteSSHReadOnly.prv.

Guardando llave privada SSH en formato .ppk

Configuración de PuTTY con Llaves SSH

Finalmente, debemos configurar PuTTY para que utilice nuestra llave privada para conectar con el MikroTik.

  1. Abrir PuTTY: Ejecuta PuTTY.
  2. Configuración de Sesión:
    • En la categoría Session, introduce la dirección IP o el nombre de host de tu equipo MikroTik remoto.
    • Asegúrate de que el puerto sea el 22 (o el puerto SSH que hayas configurado en el router).
    • En el campo Saved Sessions, ponle un nombre descriptivo a esta configuración (por ejemplo, MikroTik_SSH_ llave) y haz clic en Save.
  3. Configuración de Autenticación:
    • Navega a Connection -> Data.
    • En el campo Auto-login username, introduce el nombre de usuario que creaste en el MikroTik para el acceso por SSH (por ejemplo, sshuser).
  4. Asignar Llave Privada:
    • Navega a Connection -> SSH -> Auth.
    • Haz clic en el botón Browse... junto a "Private key file for authentication".
    • Selecciona el archivo de la llave privada (RemoteSSHReadOnly.prv) que guardaste anteriormente.
  5. Guardar Configuración: Vuelve a la categoría Session y haz clic en Save para guardar todos los cambios realizados.

Ahora, cuando selecciones esta sesión guardada en PuTTY y hagas clic en Open, PuTTY utilizará automáticamente la llave privada para autenticarse en el router MikroTik, permitiendo el acceso SSH sin necesidad de ingresar una contraseña.

Autenticación de Dispositivos en Hotspot MikroTik

En el contexto de un Hotspot WiFi gestionado por MikroTik, el proceso de autenticación o inicio de sesión es la acción requerida para permitir el acceso a Internet en un dispositivo, como un smartphone o una computadora portátil. En este proceso, el usuario normalmente debe ingresar su correo electrónico/contraseña o número de teléfono. Sin embargo, en algunas situaciones, es necesario conectar equipos donde no hay posibilidad de ingresar a una cuenta de perfil de red social. En estas situaciones, es necesario habilitar la autenticación del dispositivo en el Hotspot de MikroTik, permitiendo un acceso "bypass" o sin autenticación manual para dispositivos específicos.

Diagrama del flujo de autenticación en un Hotspot MikroTik

Liberación de Dispositivos en Hotspot

Para liberar un dispositivo, permitiendo que acceda a Internet sin necesidad de iniciar sesión en el portal cautivo:

  1. Acceder a la Configuración del Hotspot: Una vez abierta la pantalla de configuración del Hotspot, ve a la pestaña Hotspot. Aquí encontrarás todos los dispositivos que están conectados a la red.
  2. Configurar Liberación: En la siguiente pantalla, se presentarán las opciones de configuración para esta liberación "bypassed". En este paso, solo necesitas completar los campos necesarios.
    • MAC Address: Este campo se llenará automáticamente con la dirección MAC del dispositivo que deseas liberar.
    • Server: Aquí definirás si la liberación se realizará solo en la interfaz del Hotspot o en todo el enrutador.
  3. Definir Tipo de Acción: El siguiente paso es definir el tipo de acción que deseas para este dispositivo. En nuestro caso, será la liberación "Bypassed".

Pantalla de configuración de liberación de dispositivo en Hotspot MikroTik

La opción "Blocked" debe usarse cuando el objetivo es bloquear el dispositivo en el Hotspot.

¡Listo! Acabas de liberar una autenticación de dispositivo en el Hotspot de MikroTik. Con soluciones como WiFire Hotspot, el rendimiento de tu red Wi-Fi será satisfactorio para tus empleados y visitantes, e incluso podrás utilizarlo para aumentar tus resultados comerciales.

Conclusión: Cuál Método de Acceso Conviene Usar en MikroTik

El acceso por SSH es la mejor opción para administrar routers MikroTik de forma segura, especialmente en entornos de producción o cuando se accede desde redes no confiables. El uso de llaves SSH ofrece una capa adicional de seguridad y conveniencia. Para el acceso inicial o en situaciones de recuperación, los métodos de Winbox con credenciales de fábrica (o variaciones de las mismas) y el acceso por MAC Telnet son herramientas valiosas. Telnet, aunque menos seguro, puede ser útil en escenarios muy específicos de diagnóstico rápido o recuperación en redes locales controladas.

Instalar servidor SSH y configurar autenticación para usar solo llaves.

tags: #como #entrar #en #un #router #mikrotik

Publicaciones populares:

  • Control de acceso router ZTE MF253
  • Velocidad de internet para un ping de 60ms
  • Guía completa para Blink
  • Aprovechamiento del UniFi AC Lite
  • Más allá de lo convencional: HDMI y UTP