Contraseñas seguras
El primer paso del hardening es evitar que cualquier persona pueda acceder a la configuración del router.

1. Usar “enable secret”
Protege la contraseña del modo privilegiado utilizando un hash fuerte (MD5).
Es más seguro que enable password.

Ventajas del enable secret:

difícil de descifrar,
resistente a ataques de fuerza bruta,
recomendado por Cisco para ambientes seguros.
Nota: enable password guarda la contraseña en texto claro o con cifrado débil, por lo que no debe usarse en producción.

Comando: configurar enable secret
 
enable
configure terminal
enable secret MiClaveSegura123

 
 1.2 Activar “service password-encryption”
Sirve para que las contraseñas de acceso (consola, vty, usuarios locales):

no aparezcan en texto plano en la configuración,
tengan una protección básica contra personas que puedan ver la pantalla.
Aunque no es un cifrado fuerte, es mejor que dejar las contraseñas visibles.

 Comando: activar cifrado básico
 
configure terminal
service password-encryption

 
 1.3 Cambiar contraseñas periódicamente
Esto reduce el riesgo si alguna contraseña fue comprometida.

Buenas prácticas:

cambiar cada 60–90 días,
usar mayúsculas, minúsculas, números y símbolos,
evitar reutilizar contraseñas antiguas.
 Comando: actualizar contraseña de usuario local
 
configure terminal
username admin secret NuevaClaveSegura456

 
 1.4 Eliminar usuarios predeterminados
Algunos routers pueden incluir:

usuarios por defecto,
cuentas creadas por técnicos previos.
Estas cuentas representan un riesgo porque pueden ser conocidas por atacantes.
Se deben modificar o eliminar inmediatamente.

Comando: eliminar usuario
 
configure terminal
no username default

(el nombre puede variar según el equipo)