Perché il router di casa può essere una backdoor per la tua privacy online e come risolverlo
Il miglior telefono sicuro 2025
Google Pixel 9 GrapheneOS VPN Cifrato
Google Pixel 9a GrapheneOS VPN Cifrato
Il miglior router sicuro 2025
Router criptato CryptHub V3 portatile 4G VPN
Router criptato CryptHub V2 Portable 4G VPN
Quella piccola scatola che ti ha dato il tuo provider internet, quella che sta in un angolo a prendere polvere, gestisce ogni singola cosa che fai online. Ogni password, ogni trasferimento bancario, ogni messaggio, ogni ricerca. Tutto passa attraverso il tuo router.
Ed ecco la parte che nessuno ti dice: se il tuo router è compromesso, non importa cos’altro fai. VPN, app crittografate, browser sicuri: niente di tutto ciò è utile se qualcuno controlla già il dispositivo che si trova tra te e internet.
In questa guida ti spiegheremo come fare:
- Come i router diventano strumenti di spionaggio invisibili (con esempi reali)
- Perché la maggior parte dei router domestici è incredibilmente facile da hackerare
- Come capire se il tuo è già compromesso
- Esattamente come comportarsi – passo dopo passo
- Quando ha senso dotarsi di un router dedicato alla privacy
Niente gergo. Niente tattiche allarmistiche. Solo informazioni pratiche su cui puoi agire oggi stesso.
Cos'è una backdoor per router?
Pensa al tuo router come alla porta d’ingresso della tua casa. Una porta sul retro è una seconda entrata, che non hai installato, di cui probabilmente non sei a conoscenza e che sicuramente non hai chiuso a chiave.
In termini di router, una backdoor è un modo in cui qualcuno può entrare nella tua rete senza passare attraverso la normale sicurezza. Questo accade più spesso di quanto si pensi:
- La password di default non è mai stata cambiata ed è stampata su un adesivo che chiunque può leggere.
- Il firmware non è stato aggiornato da anni, lasciando aperte le note falle di sicurezza.
- Il malware è stato installato sul router stesso – sì, anche i router possono essere infettati da virus
- Il tuo ISP o il produttore ha lasciato un punto di accesso nascosto, a volte di proposito, per “assistenza”.
Il tuo router è essenzialmente un piccolo computer. Una volta che qualcuno lo controlla, può vedere, reindirizzare o manomettere tutto ciò che passa attraverso di esso. Ciò significa che ogni dispositivo della tua rete – telefono, laptop, smart TV, telecamere di sicurezza, computer di lavoro – è esposto.
La parte spaventosa? Non riceverai alcuna notifica. Non c’è nessun pop-up. Nessun avviso. La maggior parte delle persone lo scopre mesi dopo, se lo scopre del tutto.
Perché il tuo router è insicuro?
Siamo onesti: la maggior parte dei router domestici è stata progettata per essere economica e facile da configurare. La sicurezza non è mai stata una priorità. Ecco cosa c’è di solito di sbagliato:
1. La password è ancora “admin”
Un numero impressionante di router utilizza ancora credenziali predefinite come admin/admin o admin/password. Queste sono di dominio pubblico: gli hacker non hanno bisogno di “craccare” nulla, ma semplicemente di accedere. E alcuni router ISP non ti permettono nemmeno di cambiare la password di amministrazione perché il firmware è bloccato.
2. Il firmware non è aggiornato da anni
Senza aggiornamenti regolari, le vulnerabilità note rimangono aperte per sempre. Non si tratta di una questione teorica: campagne di malware reali hanno sfruttato il firmware obsoleto dei router su larga scala:
- VPNFilter (2018) – Ha infettato oltre 500.000 router in 54 paesi. Poteva intercettare il traffico, rubare le credenziali e distruggere permanentemente i dispositivi. Attribuito ad attori statali russi. L’FBI ha dovuto emettere un avviso pubblico.
- ZuoRAT (2022) – Ha preso di mira router domestici e per piccoli uffici di ASUS, Cisco, DrayTek e NETGEAR. Dirottava i DNS, rubava le credenziali e poi attaccava tutti i dispositivi della rete.
- Camaro Dragon (2023) – Ha impiantato un firmware personalizzato nei router TP-Link. La backdoor è sopravvissuta ai reset di fabbrica.
3. Il tuo ISP controlla l’hardware
I router forniti dall’ISP sono bloccati, ma non a tuo vantaggio. Non puoi controllare il software in esecuzione, non puoi disabilitare l’accesso remoto e non puoi verificare quali dati vengono raccolti. La maggior parte utilizza il protocollo TR-069 per la gestione remota, che ha dimostrato più volte di avere gravi falle nella sicurezza. In sostanza, il tuo ISP ha una backdoor permanente nel tuo router. Devi solo fidarti di loro.
4. Anche i router di marca hanno avuto delle backdoor
Netgear, TP-Link, D-Link e altri marchi importanti hanno scoperto modelli con vulnerabilità di accesso remoto, alcune accidentali, altre sospettosamente intenzionali. Se non hai controllato il tuo modello specifico, potresti avere un router con una backdoor nota.
Chi controlla il tuo router?
Quando si parla di “router compromesso”, la gente immagina un hacker in una stanza buia. La realtà è più ampia e più inquietante.
Criminali informatici
Gli hacker scansionano costantemente Internet alla ricerca di router con porte aperte, password predefinite o firmware non aggiornati. Una volta entrati, rubano le credenziali di accesso, intercettano i dati bancari o aggiungono il tuo router a una botnet – una rete di dispositivi dirottati utilizzati per attaccare altri obiettivi. Diventi un complice inconsapevole.
Gruppi sponsorizzati dallo Stato
È stato documentato che i team di hacker sostenuti dal governo (APT) utilizzano i router domestici come trampolino di lancio verso obiettivi più grandi. La tua rete domestica diventa un trampolino di lancio che usano per mascherare i loro veri attacchi. L’FBI, il CISA e le agenzie europee per la sicurezza informatica hanno lanciato avvertimenti in merito.
Il tuo ISP
A seconda del luogo in cui vivi, il tuo provider internet potrebbe essere obbligato per legge a registrare le tue attività, oppure potrebbe semplicemente decidere di farlo. I router gestiti dall’ISP lo rendono banalmente facile. In molti paesi, la raccolta di metadati (con chi parli, quando, quanto spesso) avviene per impostazione predefinita. Non hai mai scelto di farlo. Non puoi scegliere di non farlo.
Operatori di malware
Una volta che il malware infetta un router, può reindirizzare il tuo traffico, registrare ogni sito web che visiti, iniettare annunci o codice maligno nelle pagine che navighi e persino intercettare dati su connessioni criptate manipolando le risposte DNS. Il tutto in modo invisibile per te.
Come vengono attaccati i router?
Dimentica la versione hollywoodiana. I veri attacchi ai router sono noiosi, sistematici ed efficaci proprio perché nessuno presta attenzione al proprio router.
DNS Hijacking – “Pensi di essere sul sito della tua banca. Non è così”.
Il tuo router traduce i nomi dei siti web in indirizzi IP. Un aggressore modifica queste impostazioni in modo che quando digiti l’URL della tua banca, vieni inviato a una copia perfetta controllata da lui. Il tuo browser mostra l’indirizzo giusto. La pagina sembra identica. Inserisci la tua password. Loro ce l’hanno. Questo è il modo in cui il furto di credenziali avviene su larga scala, senza che tu te ne accorga.
Malware backdoor – “Sopravvive se lo scolleghi”.
Un malware come VPNFilter non si limita a rimanere in memoria, ma si incorpora nel firmware del router. Ripristino della fabbrica? Si ripresenta. Riavvio? È ancora lì. Intercetta silenziosamente il traffico e ne invia copie all’aggressore per mesi o anni. L’unica soluzione è la sostituzione completa del firmware o la sostituzione del router.
Sorveglianza del firmware dell’ISP – “Il tuo provider ti osserva per impostazione predefinita”.
Alcuni router ISP sono dotati di una telemetria integrata che riporta i tuoi modelli di utilizzo a monte. Non si tratta di un bug, ma di una funzione integrata dall’ISP. Non puoi disattivarla perché il firmware è bloccato. Non puoi nemmeno vederla in funzione. In alcuni casi, gli ISP sono stati sorpresi a vendere questi dati agli inserzionisti.
Attacchi Man-in-the-Middle – “Qualcuno sta leggendo la tua posta prima che arrivi”.
Una volta compromesso un router, gli aggressori possono posizionarsi tra te e ogni sito web che visiti. Possono leggere il traffico non criptato, modificare i download durante il trasferimento (scambiando un file legittimo con un malware) e persino declassare le connessioni criptate per renderle più facili da intercettare.
Cosa protegge effettivamente un router per la privacy?
Un router privacy non è solo un normale router con un nome di fantasia. Si tratta di un approccio fondamentalmente diverso alla rete domestica. Invece di dare priorità alla convenienza e al costo, dà priorità alla tua sicurezza.
Ecco cosa cambia quando ne usi uno:
- Tutto il traffico internet è crittografato per impostazione predefinita, non solo i dispositivi su cui è installata un’applicazione VPN.
- Le query DNS sono criptate: il tuo ISP non può vedere quali siti web visiti e nessuno può dirottare il tuo DNS.
- Ogni dispositivo connesso è protetto, comprese le smart TV, le telecamere e i gadget IoT che non possono gestire una propria VPN.
- Le restrizioni del firmware dell’ISP sono scomparse: sei tu a controllare cosa viene eseguito sul tuo hardware.
- L‘accesso remoto è disabilitato: niente backdoor, niente TR-069, niente sorprese.
Vedila in questo modo: una VPN sul tuo telefono protegge il tuo telefono. Un router per la privacy protegge tutto ciò che è presente nella tua rete, in modo automatico e costante, senza dover dipendere dalla corretta configurazione di ciascun dispositivo.
Con un router per la privacy, sei tu a controllare il firmware, il DNS, il routing e decidi chi può accedere. Nessun altro.
Costruiamo i nostri router CryptHub proprio per questo: preconfigurati, protetti e pronti per essere collegati.
Come capire se il tuo router è compromesso
La maggior parte degli hack del router sono invisibili – è proprio questo il punto. Ma ci sono dei segnali di pericolo se sai dove guardare:
Controlla le impostazioni del router
- Accedi al tuo pannello di amministrazione. Le impostazioni DNS sono diverse da quelle che hai configurato? Qualcuno potrebbe averle modificate.
- Vedi dei dispositivi nell’elenco delle connessioni che non riconosci? Questo è un segnale di allarme.
- La password di amministrazione ha smesso di funzionare o è stata modificata a tua insaputa?
Osserva il comportamento della tua rete
- I siti web vengono reindirizzati a pagine inaspettate, in particolare a pagine di login che sembrano un po’ fuori luogo
- Internet insolitamente lento senza alcuna spiegazione da parte del tuo ISP
- Il router si riavvia da solo ripetutamente
Scansione dall’esterno
- Usa uno strumento come ShieldsUP! (di GRC.com) o nmap per scansionare l’IP pubblico del tuo router alla ricerca di porte aperte. Se vedi porte aperte che non hai configurato, c’è qualcosa che non va.
- Usa Fing (applicazione gratuita) per scansionare la tua rete locale e identificare tutti i dispositivi connessi. C’è qualcosa di sconosciuto? Indaga.
Se noti uno di questi segnali, non aspettare. Cambia immediatamente la password di amministrazione, controlla le impostazioni DNS, aggiorna il firmware e considera seriamente la possibilità di sostituire completamente il router. Non sempre un router compromesso può essere ripulito: a volte il malware vive in luoghi che un reset di fabbrica non può raggiungere.
Come risolvere il problema - passo dopo passo
Se il tuo router è compromesso o semplicemente vuoi bloccarlo correttamente, ecco cosa fare. Inizia dall’alto e scendi verso il basso.
Passo 1: Cambia immediatamente la password predefinita
Accedi al pannello di amministrazione del router (di solito 192.168.1.1 o 192.168.0.1 nel browser). Cambia la password di amministrazione con qualcosa di forte, almeno 20 caratteri, casuale, utilizzando un gestore di password. Se il tuo router utilizza ancora “admin/admin”, è possibile che qualcuno sia già entrato.
Passo 2: Aggiornare il firmware
Controlla il sito web del produttore per conoscere l’ultima versione del firmware. Meglio ancora, se il tuo router lo supporta, flasha un firmware open-source come OpenWRT o DD-WRT. Questi ti danno il pieno controllo, aggiornamenti regolari della sicurezza da parte di una comunità attiva e nessuna telemetria nascosta. Se il flashing del firmware ti intimidisce, ti offriamo router preconfigurati e pronti all’uso.
Passo 3: Disabilitare la gestione remota
A meno che tu non abbia la necessità di accedere al router da fuori casa, disattiva completamente la gestione remota. In questo modo si chiude uno dei vettori di attacco più comuni. Già che ci sei, disattiva il WPS (ha vulnerabilità note di brute-force) e l’UPnP (apre automaticamente le porte senza chiedertelo).
Passo 4: bloccare il Wi-Fi
Usa il WPA3 se il tuo router lo supporta, oppure il WPA2 come minimo. Non usare mai il WEP: può essere decifrato in pochi minuti. Usa una passphrase forte (non il tuo nome, non il tuo indirizzo, non “password123”). Nascondi il nome della tua rete (SSID) se vuoi un ulteriore livello di oscurità.
Passo 5: passare al DNS criptato
Configura il DNS-over-TLS (DoT) o il DNS-over-HTTPS (DoH) sul tuo router. Puntalo a un resolver affidabile come Quad9 (9.9.9.9) o Mullvad DNS. In questo modo si blocca il DNS hijacking e si impedisce al tuo ISP di registrare ogni sito che visiti. Questa singola modifica è una delle cose più efficaci che puoi fare.
Passo 6: Chiudere le porte non necessarie
Esegui una scansione delle porte sull’IP pubblico del tuo router. Chiudi tutto ciò che non usi attivamente. L’interfaccia di amministrazione non dovrebbe mai essere accessibile dal lato internet.
Passo 7: Segmentare la rete
Metti i dispositivi IoT (smart TV, telecamere, assistenti vocali) su una rete separata dai tuoi computer e telefoni. Se un dispositivo intelligente viene violato, non dovrebbe essere in grado di raggiungere il tuo laptop. La maggior parte dei router moderni supporta le reti guest o VLAN proprio per questo motivo.
Passo 8: Configurare una VPN a livello di router
Configura una VPN direttamente sul router in modo che tutto il traffico da ogni dispositivo passi attraverso un tunnel crittografato. In questo modo si proteggono i dispositivi che non possono gestire una propria VPN: smart TV, console di gioco, gadget IoT. Utilizza un provider come Mullvad o IVPN con WireGuard o OpenVPN.
Fase 9: Impostare un promemoria per il controllo mensile del firmware
Il firmware obsoleto è il motivo principale per cui i router vengono compromessi. Controlla una volta al mese. Con OpenWRT, gli aggiornamenti sono trasparenti e guidati dalla comunità. Per quanto riguarda il firmware stock, controlla il sito del produttore.
Passo 10: Controlla regolarmente la tua rete
Ogni mese, apri il pannello di amministrazione del tuo router e controlla quali dispositivi sono connessi. Usa Fing o uno strumento simile. Se c’è qualcosa che non quadra, indaga immediatamente. Una buona sicurezza non è un’operazione da fare una volta sola: è un’abitudine.
Perché vale la pena di acquistare un router per la privacy
È possibile rendere più resistente un normale router consumer. Ma siamo onesti: la maggior parte delle persone non flasha OpenWRT, non configura VLAN, non imposta DNS criptati e non controlla la propria rete mensilmente. E anche se lo facesse, un router consumer ha delle limitazioni insite nel suo hardware e nel suo design.
Un router per la privacy appositamente costruito fa tutto questo:
- Hardware e firmware controllati per la sicurezza, non solo per superare i test di certificazione Wi-Fi
- Firewall configurato correttamente fin dal primo giorno, non aperto con “lasciamo che sia l’utente a capirlo”.
- DNS crittografato e VPN integrati, non come un ripensamento o un componente aggiuntivo a pagamento.
- Nessun servizio inutile in esecuzione: nessuna telemetria, nessuna gestione remota, nessuna backdoor ISP.
- Tutti i dispositivi connessi sono protetti automaticamente, anche quelli che non sono in grado di proteggersi da soli.
La differenza è come tra una normale porta d’ingresso e una porta blindata. Entrambe sono porte. Una delle due impedisce a qualcuno di entrare.
I nostri router per la privacy CryptHub vengono forniti con OpenWRT, integrazione VPN, DNS criptato e monitoraggio continuo della sicurezza. Basta collegarlo, connettere i dispositivi e la rete è protetta. Non è necessario passare un fine settimana a leggere la documentazione.
Router per la privacy vs app VPN
“Non posso semplicemente usare un’app VPN sul mio telefono?”. Lo sentiamo dire spesso. Ecco perché non è la stessa cosa:
| Cosa fa | Router per la privacy | App VPN |
|---|---|---|
| Copre tutti i dispositivi della rete | Sì – automaticamente | No – solo per il dispositivo su cui è installato |
| Sempre attivo | Sì – 24 ore su 24, 7 giorni su 7 | Dipende dal fatto che l’utente si ricordi di accenderlo |
| Protezione dalle fughe DNS | Sì – a livello di rete | Varia – molte applicazioni perdono query DNS |
| Protegge i dispositivi IoT | Sì – smart TV, telecamere, ecc. | No – questi dispositivi non possono eseguire app VPN |
| Blocca le minacce prima che ti raggiungano | Sì – al gateway | No – le minacce passano prima attraverso la rete |
Un’app VPN è meglio di niente. Ma protegge solo un dispositivo alla volta e solo quando ti ricordi di accenderla. Un router per la privacy protegge l’intera rete, sempre e comunque, senza che tu o altri membri della tua famiglia dobbiate intervenire.
La configurazione migliore? Entrambi. Un router per la privacy come base, con applicazioni VPN sui dispositivi mobili quando sei fuori casa.
Router criptato CryptHub V2 Portable 4G VPN
Router criptato CryptHub V3 portatile 4G VPN
Router criptato VPN domestico CryptHub V1
Domande frequenti
Il mio ISP può spiare attraverso il mio router domestico?
Sì, ed è più comune di quanto si pensi. I router forniti dall’ISP spesso includono una telemetria che riporta i tuoi modelli di utilizzo. Il firmware è bloccato, quindi non puoi vedere cosa fa o disabilitarlo. L’approccio più sicuro consiste nel sostituire completamente il router dell’ISP con un hardware che controlli tu. Se devi utilizzare il router dell’ISP (alcuni provider lo richiedono per la connessione), mettilo in modalità bridge e collega il tuo router dietro di esso.
I router per la privacy garantiscono l'anonimato?
Nessuno strumento garantisce l’anonimato totale: chi sostiene il contrario sta vendendo qualcosa. Ma un router per la privacy riduce drasticamente ciò che può essere visto a livello di rete. In combinazione con un DNS crittografato, una VPN affidabile e una buona sicurezza a livello di dispositivo (come GrapheneOS sul tuo telefono), rendi estremamente difficile per chiunque monitorare la tua attività. È una questione di livelli e il router è il livello più importante che la maggior parte delle persone ignora.
Proteggerà i miei dispositivi dal malware?
Non del tutto, e questa è una distinzione importante. Un router per la privacy protegge la tua rete: blocca le minacce al gateway e cripta il traffico prima che lasci la tua casa. Ma non può proteggerti dal malware che scarichi, dai link di phishing che clicchi o dalle app con permessi errati sul tuo telefono. È come chiudere bene la porta di casa: è essenziale, ma devi comunque fare attenzione a ciò che lasci entrare. Per una protezione completa, combina un router per la privacy con un sistema operativo resistente (come GrapheneOS), un gestore di password e il buon senso su ciò che clicchi.
Il tuo router è la base: inizia da lì
Il tuo browser non è la tua prima linea di difesa. Non lo sono nemmeno la VPN, l’antivirus o il gestore di password. Il tuo router è. È la base su cui poggia tutto il resto.
Se il tuo router è debole, obsoleto, controllato dal tuo ISP o già compromesso, nulla a valle è veramente sicuro. Ogni password, ogni messaggio, ogni transazione bancaria passa attraverso di esso.
La buona notizia? Questo è assolutamente risolvibile. Sostituisci la scatola dell’ISP, installa un firmware di cui ti puoi fidare, blocca le impostazioni e presta attenzione a ciò che accade sulla tua rete. Oppure lascia che ce ne occupiamo noi: i nostri router per la privacy CryptHub sono pronti per l’uso, già temprati e monitorati.
Inizia da dove è veramente importante. Inizia dal router.
