Un router è in realtà un piccolo computer; molti di loro usano lo stesso tipo di software dei server a pieno titolo (tipicamente alcune varianti di Linux). Come tale, ha buchi di sicurezza, che dovrebbero essere tempestivamente riparati una volta scoperti. Le vulnerabilità che non sono fisse potrebbero essere sfruttabili e fornire il controllo remoto agli aggressori, a quel punto possono fare quello che vogliono con il router e, in particolare, vedere tutto il traffico interno (a meno che non siano bloccati da ulteriori firewall). Il vero problema qui è che gli aggiornamenti software sui router vengono effettuati raramente; si chiama "aggiornamento del firmware" e quasi mai fatto.
La maggior parte degli ISP cablati fornisce il modem e tende a considerare che il modem è ancora il loro, non il tuo. Alcuni spingeranno gli aggiornamenti del firmware da soli, senza alcun preavviso. Alcuni tenteranno di bloccare automaticamente a livello di rete i tentativi di connessione in entrata che sembrano attacchi a vulnerabilità note. Ad alcuni non interessa.
Alcuni ISP possono anche affermare che con l'hosting di "server" si stanno violando le condizioni di utilizzo, quindi si blocca l'accesso a Internet o si addebita di più. In ogni caso, l'ISP applica una larghezza di banda asimmetrica, con molto più download rispetto al caricamento. Nella mia esperienza (*), il server hosting a casa tua, se possibile, non è davvero degno di questo sforzo. Devi fare attenzione a volare sotto il tuo radar ISP (o utilizzare uno dei rari ISP che non si preoccupa di "utilizzo del server"), e le prestazioni sono scarse. Affittare un server da qualche parte (un semplice VPS) è economico, veloce e molto meno fastidioso.
(*) La mia esperienza include l'esecuzione del DNS principale per il mio dominio e il mio server di posta da una macchina domestica. Non lo faccio più.