Ciberseguridad · Capítulo 7
Redes y Protocolos de Seguridad: La Infraestructura de Internet
Entender cómo viajan los datos a través de internet es el prerequisito para entender cómo los atacantes los interceptan — y cómo los defensores los protegen.
El Modelo OSI: Las 7 Capas de la Comunicación
El modelo OSI (Open Systems Interconnection) divide la comunicación en red en 7 capas abstractas, cada una con responsabilidades específicas. Para los profesionales de seguridad, cada capa representa una superficie de ataque diferente.
| Capa | Nombre | Función | Amenazas de seguridad |
|---|
| 7 | Aplicación | Interfaz con software del usuario (HTTP, FTP, DNS) | Inyección SQL, XSS, phishing |
| 6 | Presentación | Cifrado, compresión, formato de datos | Ataques a cifrado débil (SSL antiguo) |
| 5 | Sesión | Gestión de sesiones entre aplicaciones | Secuestro de sesión, hijacking |
| 4 | Transporte | Control de flujo, segmentación (TCP/UDP) | SYN floods, escaneo de puertos |
| 3 | Red | Enrutamiento de paquetes (IP) | Spoofing de IP, ataques DDoS |
| 2 | Enlace de datos | Transferencia en la red local (MAC, Ethernet) | ARP poisoning, MAC flooding |
| 1 | Física | Medios físicos (cables, Wi-Fi, fibra) | Intercepción física, jamming |
TCP/IP: El Lenguaje Real de Internet
En la práctica, internet usa el modelo TCP/IP, que simplifica las 7 capas OSI en 4. TCP (Transmission Control Protocol) garantiza la entrega ordenada de datos mediante un proceso de tres pasos llamado three-way handshake: SYN → SYN-ACK → ACK. Si un paquete se pierde, TCP lo retransmite automáticamente.
UDP (User Datagram Protocol) no garantiza la entrega — simplemente envía datos y no verifica si llegaron. Se usa para streaming de video, videollamadas y juegos en línea donde la velocidad importa más que la perfección.
DNS: La Guía Telefónica de Internet
El Sistema de Nombres de Dominio (DNS) traduce nombres legibles (google.com) a direcciones IP numéricas (142.250.80.14) que las computadoras usan realmente. Cuando escribes una URL, tu computadora consulta un servidor DNS para obtener la IP correspondiente.
DNS Poisoning (Envenenamiento de DNS): Un atacante manipula las respuestas DNS para redirigir a las víctimas a sitios falsos. Si el servidor DNS de tu proveedor responde que "banco.com" tiene la IP 45.33.32.156 (controlada por el atacante), visitarás un sitio de phishing idéntico al banco real sin saberlo. La solución: DNSSEC firma criptográficamente las respuestas DNS para verificar su autenticidad. DNS-over-HTTPS (DoH) cifra las consultas DNS para que nadie en el camino pueda leerlas ni modificarlas.
Firewalls: La Primera Línea de Defensa
Un firewall es un sistema que controla el tráfico de red entrante y saliente basándose en reglas predefinidas. Los tipos principales:
- Firewall de filtrado de paquetes: Analiza cada paquete de forma independiente (IP origen/destino, puerto, protocolo). Rápido pero limitado — no ve el contexto.
- Firewall de inspección de estado (Stateful): Rastrea el estado de las conexiones activas. Sabe si un paquete entrante es respuesta a una solicitud interna legítima o una conexión no solicitada.
- Firewall de próxima generación (NGFW): Inspección profunda de paquetes, identificación de aplicaciones, prevención de intrusiones, filtrado de contenido. Productos como Palo Alto Networks, Fortinet, Cisco.
Regla de firewall típica:
ALLOW TCP desde cualquier IP a servidor web en puerto 443 (HTTPS)
ALLOW TCP desde cualquier IP a servidor web en puerto 80 (HTTP)
DENY TCP desde cualquier IP a servidor web en puerto 3306 (MySQL — base de datos)
DENY todo lo demás
Este conjunto de reglas permite tráfico web legítimo pero bloquea acceso directo a la base de datos desde internet.
VPN: Túneles Seguros en Redes Públicas
Una VPN (Virtual Private Network) crea un "túnel" cifrado entre tu dispositivo y un servidor VPN. Todo tu tráfico viaja dentro de ese túnel, invisible para cualquier observador en el camino (tu ISP, el administrador de la red pública, etc.).
Cuándo una VPN ayuda realmente
- Al usar Wi-Fi público en aeropuertos, hoteles o cafeterías — oculta tu tráfico de espías en la red local.
- Para acceder a recursos corporativos internos desde fuera de la oficina.
- Para eludir censura o restricciones geográficas.
Limitaciones importantes de las VPNs
- La VPN no te hace anónimo — el proveedor VPN ve todo tu tráfico.
- No te protege de malware, phishing ni ataques en el sitio web de destino.
- Proveedores VPN gratuitos frecuentemente monetizan vendiendo tus datos — exactamente lo contrario de lo que buscas.
- VPNs confiables: Mullvad, ProtonVPN (con auditorías de seguridad independientes y política de no logs verificada).
IDS vs IPS: Detectar y Prevenir
| Sistema | Función | Acción | Ejemplo |
|---|
| IDS (Intrusion Detection System) | Monitorea y alerta sobre tráfico sospechoso | Solo alerta — no bloquea | Snort, Suricata (modo pasivo) |
| IPS (Intrusion Prevention System) | Monitorea y bloquea tráfico malicioso en tiempo real | Bloquea automáticamente | Snort, Suricata (modo activo), Palo Alto |
Segmentación de Red y DMZ
La segmentación de red divide la red en zonas con diferentes niveles de confianza y acceso. Una arquitectura típica de tres zonas:
- Red externa (Internet): No confiable — cualquier atacante puede estar aquí.
- DMZ (Zona Desmilitarizada): Zona intermedia donde viven los servidores que necesitan ser accesibles desde internet (servidores web, mail). Separada de la red interna.
- Red interna: Alta confianza — servidores de bases de datos, sistemas internos críticos. Nunca directamente accesible desde internet.
Escaneo de Puertos: Lo Que los Atacantes Hacen Primero
Antes de atacar un sistema, los atacantes realizan reconocimiento. El escaneo de puertos con Nmap es casi siempre el primer paso: identifica qué servicios están escuchando en qué puertos.
Ejemplo de salida de Nmap:
nmap -sV 192.168.1.1
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 7.4
80/tcp open http Apache 2.4.6
443/tcp open https Apache 2.4.6
3306/tcp open mysql MySQL 5.7.21
Un atacante vería que MySQL está expuesto en el puerto 3306 — una configuración peligrosa. También vería las versiones de software para buscar vulnerabilidades conocidas (CVEs).
Protocolos Seguros vs. Inseguros
| Inseguro (evitar) | Seguro (usar) | Diferencia clave |
|---|
| HTTP (puerto 80) | HTTPS (puerto 443) | HTTPS cifra todo el tráfico con TLS |
| Telnet (puerto 23) | SSH (puerto 22) | SSH cifra la sesión de administración remota |
| FTP (puerto 21) | SFTP / FTPS | SFTP cifra archivos y credenciales en tránsito |
| SMTP sin TLS | SMTP con STARTTLS / SMTPS | Cifra el correo en tránsito |
| DNS estándar | DNS over HTTPS (DoH) | Oculta las consultas DNS de observadores |
Zero Trust: La Nueva Filosofía de Seguridad
Principio Zero Trust: "Nunca confíes, siempre verifica." En el modelo tradicional de seguridad, una vez dentro de la red corporativa, se asumía confianza implícita. Con Zero Trust, cada solicitud de acceso se verifica independientemente, sin importar si proviene de dentro o fuera de la red. Esto es especialmente relevante con el trabajo remoto y la nube, donde el perímetro de red tradicional ya no existe.
Los pilares de Zero Trust son: verificar explícitamente la identidad en cada acceso, usar el principio de menor privilegio (acceso mínimo necesario), y asumir siempre que hay una brecha (diseñar como si el atacante ya estuviera adentro).
Resumen del Capítulo
- El modelo OSI divide las redes en 7 capas — cada una es una superficie de ataque diferente que requiere controles específicos.
- DNS es crítico pero frágil — el envenenamiento de DNS puede redirigir usuarios a sitios maliciosos; DNSSEC y DNS-over-HTTPS mitigan este riesgo.
- Los firewalls de inspección de estado son el mínimo aceptable hoy; los NGFW añaden inspección profunda de paquetes e identificación de aplicaciones.
- Las VPNs protegen el tráfico en redes públicas pero no garantizan anonimato — el proveedor VPN siempre puede ver tu tráfico; elige uno con auditorías independientes.
- La segmentación de red y la DMZ limitan el daño de una intrusión — los servidores web no deben tener acceso directo a bases de datos.
- Los protocolos inseguros (HTTP, Telnet, FTP) transmiten datos en texto plano — reemplazarlos con sus equivalentes cifrados es obligatorio.
- Zero Trust reemplaza el modelo de "castillo y foso" — en la era del cloud y el trabajo remoto, no existe un perímetro de red confiable.