¿Cómo proteger mi contraseña de Wi-Fi para que no sea mostrada por los teléfonos Android al compartirla con un código QR?

La respuesta a esta pregunta es más general que el hardware específico que mencionaste en tu pregunta, y no específica de Android de ninguna manera, pero como esta pregunta parece surgir de vez en cuando, la responderé lo mejor que pueda para que la gente pueda ver que no es "magia" de ninguna manera.

La razón por la que se muestra tu contraseña es que el código QR con información de WiFi almacena y transmite la contraseña de WiFi en texto plano, por lo que cualquier persona que escanee el código QR tendrá tu contraseña de WiFi. El código QR no es algo especial aquí: aunque no puedes "leerlo" per se, cualquier dispositivo que conozca el código estándar utilizado para el símbolo QR puede leerlo igual que las palabras en un papel. Así es como se hacen los códigos QR para WiFi y no importa si es un TP-Link, Asus, Linksys o cualquier otro dispositivo que los crea: la contraseña está en texto plano. Tampoco importa qué dispositivo está leyendo el código QR: ya sea Redmi, Samsung, Apple, Google, Huawei o cualquier otro, puede leer el código QR y mostrar el nombre de la red y la contraseña en texto plano, aunque algunas aplicaciones podrían "enmascarar" la contraseña por privacidad básica (pero tienen la información).

La forma correcta de manejar esta seguridad en un entorno doméstico es no dar tu contraseña de WiFi a tus amigos, solo a tu familia (o configurarlo tú mismo para ellos, aunque todavía podrían recuperar la contraseña). Y para el uso de tus amigos o invitados, tener un SSID separado con una contraseña simple configurada para solo acceder a Internet (comúnmente llamado Aislamiento de Cliente), posiblemente a una velocidad limitada. No sé acerca de TP-Link, pero muchas empresas como Asus tienen una aplicación para tu teléfono celular que te permite habilitar rápidamente una red WiFi de invitados por un cierto período de tiempo (digamos 4, 24, 72 horas) y luego la deshabilita automáticamente. Este ejemplo es útil para amigos que vienen a cenar, durante todo el día o quizás durante un fin de semana. Algunas personas, incluyéndome a mí, simplemente habilitan una red de invitados con una contraseña todo el tiempo, pero esta red tiene aislamiento de cliente (los usuarios solo pueden acceder a Internet) y está limitada a aproximadamente el 1-2% de las velocidades de mi ISP (tienen 5 Mbps de descarga y 500 Kbps de subida para usar) y cambio la contraseña 3-4 veces al año y la pongo en el refrigerador. Ninguna de estas son respuestas perfectas para la seguridad, pero generalmente son suficientemente buenas.

De lo contrario, si estás dando acceso a las personas a tu red, bien podrías darles la contraseña de WiFi... Una vez que estén conectados a WiFi, es en gran medida lo mismo que si se hubieran conectado a tu red con un cable y pueden acceder a todo, por lo que tener acceso físico a la red y tener la contraseña de WiFi son básicamente lo mismo. Además, es bastante fácil cambiar la contraseña de WiFi más tarde si es necesario restringir el acceso. También no es una mala idea cambiar tu contraseña de WiFi de forma regular, una vez cada 30-90 días aproximadamente, para que si la contraseña está por ahí, no pueda ser accesible más tarde si las cosas cambian, como si tu amigo por alguna razón ya no es tu amigo.

La respuesta corta a esta pregunta es que no se puede detener a nadie que tenga la contraseña de WiFi de compartirla. Lo que es exactamente lo que hace el teléfono cuando genera el código QR.

Si quieres evitar que los usuarios de tu red compartan el acceso con otros, entonces debes usar algo diferente a la contraseña predeterminada WPA para asegurar la red. Hay varias soluciones posibles

• Usar listas blancas de direcciones MAC, esto significa que solo se permitirá la conexión de hardware conocido incluso si tienen la contraseña (las direcciones MAC son fácilmente falsificadas con computadoras portátiles, no estoy seguro si es posible sin hacerle jailbreak a un teléfono)

• Usar WPA-TLS, esto utiliza certificados individuales para cada usuario, una vez instalado en el teléfono no hay forma de exportar la clave privada para compartirla con otros (es posible extraer claves en algunos teléfonos con jailbreak que no tienen elementos seguros de hardware)

• Usar un portal cautivo y requerir una segunda contraseña que cambie regularmente (esto podría ser a través de un token 2FA solo entregado a usuarios autorizados)

Esta lista no es completa pero debería darte algunas opciones para considerar.

Puedes tener un SSID de invitado dedicado (si tu enrutador lo admite). Esto puede separar a los invitados de ti en cierta medida, dependiendo de las capacidades del enrutador.

Si no quieres dar acceso permanente a los invitados, puedes cambiar la contraseña de vez en cuando.

Si deseas ir más allá, puedes considerar WPA2/WPA3 Enterprise. Esto permite un mejor control de acceso. Sin embargo, probablemente no quieras hacer esto en tu Wi-Fi doméstico, porque es demasiado complejo de configurar y podrías necesitar un enrutador Wi-Fi mejor (y más caro) para eso.

Para una explicación sobre por qué el código QR no oculta la contraseña, mira la publicación de @acejavelin.

Tengo un segundo enrutador, solo uno pequeño y barato, conectado por cable al enrutador principal. Tienen diferentes redes wifi y contraseñas diferentes. Le doy a mis amigos solamente la contraseña del segundo enrutador.

Puedo cambiarla en cualquier momento fácilmente. O desconectarla.

Encuentro que es una solución fácil y efectiva.