Se você usar um dispositivo fornecido por alguém, leve em consideração que eles podem personalizar o firmware como desejarem - isso inclui deixar um servidor SSH com sua chave autorizada a acessar a conta raiz, para que eles possam acessar remotamente a qualquer momento e fazer o que eles querem no roteador.
Mesmo se eles não tiverem acesso remoto direto, o firmware pode ser projetado para verificar periodicamente atualizações do servidor do ISP, para que eles possam adicionar a funcionalidade de acesso remoto a qualquer momento.
Agora, isso geralmente não significa que será usado com intuito malicioso. Também faço isso no equipamento que forneço e sinto que está bem, desde que o cliente esteja plenamente ciente disso. Isso permite correções e diagnósticos rápidos antes que o cliente perceba que havia um problema em primeiro lugar. Mas você precisa entender que o nível de controle que seu ISP pode ter está muito além de ver qual SSID e chave sem fio você define. Com acesso root completo, é possível ver e adulterar o tráfego que passa pelo dispositivo.
Se você confia nesse roteador, depende do seu ISP e de como seus sistemas estão protegidos (se um invasor roubar as credenciais usadas para fazer login no roteador ou comprometer a infraestrutura de gerenciamento / atualização remota, ele terá o mesmo nível de controle que o ISP possui )
Finalmente, com a maioria dos roteadores fornecidos pelo ISP, eu ficaria mais assustado com a falta de atualizações e segurança incorporadas ao firmware do que com a funcionalidade de acesso remoto. O acesso remoto é ruim, mas é provável que existam várias outras vulnerabilidades que fornecem acesso root completo a um invasor, independentemente de o acesso remoto fornecido pelo ISP estar em vigor ou não.
Para sua segunda pergunta, não - seu ISP não poderá ver as configurações do seu próprio equipamento, a menos que ele conheça sua senha administrativa (e faça login na interface da Web, exatamente como você faz ao configurar o dispositivo). No entanto, eles ainda podem saber qual SSID você está transmitindo e que tipo de criptografia, pois eles têm controle sobre o roteador e a placa sem fio e nada os impede de executá airodump-ng
-lo. Duvido que eles façam isso (por que conhecer o seu próprio SSID é tão importante para eles?), Mas eles definitivamente podem.