Respuesta corta: Sí. Respuesta larga: Depende de a qué te refieras con ‘segura’.
Por mucho tiempo se ha dicho de forma constante e incansable que conectar un computador antiguo a Internet es peligroso. Y esta afirmación es correcta, basta con ver cualquier video donde un PC resulta infectado en cuestión de minutos. Sin embargo, para un entusiasta de la retro computación esto podría parecerle un tanto inverosímil, y con justa razón, pero hay que ahondar en un par de cosas.
Las antiguas conexiones a Internet
Para entender un poco más de qué va este artículo, es menester recordar cómo se realizaban las conexiones a Internet en el pasado. Cuando IPv4 parecía todavía poder durar muchos años, lo habitual es que, independiente del medio que utilizara alguien para conectarse (sea esto por modem telefónico, ADSL o HFC para el caso de Chile), no existían otros intermediarios entre el ISP y el computador que se conectaría.
Hablando en términos más duros de redes, esto implicaba que una dirección IPv4 pública le era asignada a cada conexión, y que por tanto, todas las solicitudes que se hicieran a cualquier puerto a través de cualquier otro punto dentro de Internet, eran efectivamente gestionadas y/o respondidas por el computador, sean estas solicitudes legítimas o ataques de malware.
Recuerdo con especial cariño la época donde mi conocimiento en redes era bastante más limitado que ahora, donde invitaba gente a jugar conmigo a través de las funcionalidades Netplay de los emuladores de consolas. Poco me importaba entonces entender el trasfondo del funcionamiento del juego por red, y de seguro que a mis amigos de aquel entonces, en ocasiones varios años mayores que yo, ya lo entendían o no les sorprendían. Pero ahí estaba yo, viendo cómo en mi emulador se veía al jugador comandado por otra persona que estaba a varios kilómetros de uno.
El mundo antes de la masificación del firewall
Entonces, poco se sabía entre los usuarios, incluso los que en esa época ya gozaban de más conocimiento que el promedio, que esta capacidad intrínseca del Internet de esa época en realidad era una puerta de entrada gigante a cuanto vector de ataque estuviera dando vueltas en internet. Quizás los más viejos recuerden haber recibido spam por el servicio de mensajería de Windows, que venía activado por defecto en Windows 2000:
En esa época, para mí era parte de la funcionalidad del computador que de vez en cuando aparecieran esos mensajes. Por esos años (2006 aprox) mi PC tenía Windows 2000 porque era lo que podía funcionar en la máquina con las capacidades que tenía. Y de esta misma forma, incluso en Windows XP y hasta el día de hoy, existen malwares virales que están constantemente consultando direcciones IP públicas en busca de víctimas frescas.
Y de pronto, la capa 3 llegó al hogar
Para el que no es tan entendido en telecomunicaciones, la capa 3 (del modelo OSI) refiere a la capa de Red, donde residen los routers. A finales de la década del 2000 empezaron a masificarse los computadores portátiles (laptops, o notebooks) con conectividad inalámbrica integrada, y el paradigma comenzó a moverse hacia un nuevo fenómeno, reservado nuevamente para los experimentados en primera instancia: Los routers inalámbricos.
Un nuevo equipo que se conectaba entre el módem que se usaba hasta entonces y el PC que se conectaba a Internet, y que ahora abría la posibilidad de conectar más computadores, tanto por cable como por Wi-Fi a gloriosos 54 megabits por segundo. Posteriormente los ISP comenzaron a ofrecer soluciones integradas que nuevamente reducían la cantidad de equipos requeridos a uno, pero que dentro hacía el trabajo del módem y del router.
Cuando finalmente se hicieron masivas los routers integrados de los ISP los problemas relacionados a ataques virales parecieran haberse esfumado casi por completo. Y es que al existir un equipo de capa 3 en la red, ahora esa IP pública que antes era controlada por el PC, ahora era controlada por este router, que se encarga de compartir esta conexión a internet entre todos los equipos que tiene conectados, que hoy por hoy abarcan una gran gama de posibilidades.
Pero volviendo al tema del artículo: El computador ya no tenía que recibir todo lo que le llegaba desde Internet, y si el router no tenía configurado explícitamente que algo que le llegue desde afuera sea redirigido a un equipo dentro de su red, ese algo no tiene cómo llegar. Posteriormente también el malware evolucionó y se lograron mutaciones que tenían forma de hacerse camino en la red (aunque con muchas limitaciones que no voy a comentar acá), y también la incorporación de un firewall integrado en el Service Pack 2 de Windows XP ayudó bastante a contener el problema para el resto de los usuarios que todavía disponían de conexiones directas.
¿Y en la actualidad?
Hoy por hoy tenemos CGNAT, amado por algunos y odiado por muchos más. Las direcciones IPv4 se acabaron hace años, y mientras la transición a IPv6 se hace cada vez más lenta e insufrible, se inventó una forma de optimizar las direcciones IPv4, de la misma forma que un router administraba una dirección pública entre los computadores de la casa, pero a un nivel mucho más grande y con muchas más implicaciones en el camino. Esto ha permitido contener en cierto nivel la crisis de direcciones IPv4, y a la hora de conectar un computador antiguo a Internet puede resultar en un aliado. Muy débil, pero aliado a fin de cuentas.
DISCLAIMER: Debo advertir a partir de este punto, que todo lo que planteo acá puede estar sujeto a omisiones y equivocaciones, y de seguro hay formas mucho más simples y económicas de lograr soluciones similares. Esto es lo que hasta ahora, a mí me ha funcionado. No está de más recordar que pese a todo lo que hablado hasta ahora, conectar un equipo obsoleto sin las precauciones adecuadas es peligroso tanto para el equipo obsoleto como para el resto de la red local. Si tiene dudas, pregunte.
Idea 1: Usar un router adicional en la misma red local
A pesar de que en casi cualquier otro escenario conectar un router doméstico debajo de otro router doméstico es en general una mala idea, puede resultar útil para conectar equipos obsoletos a una red local. El truco en este caso es usar aislamiento: Casi todos los routers domésticos tienen la opción de aislar un host para que este no sea visto por los otros equipos de la red local, y este equipo aislado tampoco pueda interactuar con otra cosa más que la salida a Internet. Al colocar la IP del segundo router en aislamiento, como consecuencia se aísla también toda su red.
Idea 2: Usar un router de banda ancha móvil
Si bien es muy poco práctico, una buena idea si no se tiene el conocimiento necesario es usar un equipo que no dependa de otra red local, como es el caso de los routers de banda ancha móvil, como los famosos Huawei B310 o B612. Es también la mejor opción si es que no se necesita acceder a otros recursos en la red local.
Idea 3: Usar VLAN
Esta es la que uso en mi red, las VLAN (Virtual LAN) son capaces de generar sub-redes dentro de una misma red, que pueden o no interactuar entre sí. En mi caso particular, tengo una VLAN para equipos obsoletos aparte de mi red ‘principal’ que tiene dentro de la sub-red un equipo de almacenamiento adecuado para sistemas operativos muy antiguos, todo con acceso a Internet, sin publicar ningún servicio del servidor local hacia Internet, manteniendo su funcionamiento estrictamente en la red local.
Conclusiones y recomendaciones
Yo personalmente defiendo a sangre el uso de VLAN si se quiere tener la posibilidad de conectar computadores viejos a Internet sin poner en riesgo el resto de la red. Si bien la curva de aprendizaje puede resultar algo empinada al principio, es una herramienta muy poderosa para cualquier entusiasta de las TI y/o las redes. A mí me costó bastante tiempo entender la verdadera importancia de segmentar las redes en estos casos, pero ahora que está implementado en mi red local, es una solución con la cual me cuesta trabajo imaginarme ahora sin ella.