La red es el sistema nervioso de cualquier organización. Todo fluye por ella: correos, bases de datos, credenciales, transacciones, copias de seguridad. Si la red está comprometida, el resto de controles importan poco. Por eso la seguridad de redes no es una capa más del modelo de defensa en profundidad: es la capa sobre la que se construyen todas las demás.
Esta guía cubre el tema de forma exhaustiva y práctica: cómo funcionan las redes desde el punto de vista de un defensor, qué ataques existen y cómo operan, qué herramientas y arquitecturas se usan para protegerlas, cómo se monitorizan, y cómo formarte y certificarte en este dominio. Si estás empezando, encontrarás la base que necesitas. Si ya tienes experiencia, encontrarás profundidad técnica en cada sección.
Qué es la seguridad de redes y por qué es la base de todo
La seguridad de redes (network security) engloba el conjunto de políticas, controles, herramientas y prácticas diseñadas para proteger la integridad, confidencialidad y disponibilidad de una red y los datos que circulan por ella. No se limita a poner un firewall en el perímetro: incluye la segmentación interna, la detección de intrusiones, el cifrado del tráfico, la gestión de accesos, la monitorización continua y la respuesta a incidentes a nivel de red.
¿Por qué es la base? Porque el 80 % de las técnicas de ataque documentadas en el framework MITRE ATT&CK implican algún tipo de comunicación de red: reconocimiento, explotación remota, movimiento lateral, exfiltración de datos, comunicación con servidores de mando y control (C2). Sin visibilidad y control sobre la red, la detección de cualquiera de esas fases es prácticamente imposible.
La seguridad de redes tiene tres objetivos clásicos, que comparte con el modelo CIA:
- Confidencialidad: que solo las entidades autorizadas accedan al tráfico y a los recursos de red.
- Integridad: que los datos no sean alterados en tránsito ni los dispositivos de red comprometidos.
- Disponibilidad: que la red funcione de forma continua y resistente a ataques de denegación de servicio.
A estos tres se suma la autenticidad (verificar que los participantes son quienes dicen ser) y la no repudio (demostrar quién envió qué), especialmente relevantes en redes corporativas y entornos regulados.
Fundamentos de redes vistos desde la seguridad
Antes de hablar de ataques y defensas, es imprescindible entender cómo funcionan las redes. Un atacante explota los puntos débiles del diseño de los protocolos; un defensor necesita conocerlos igual de bien para detectar el abuso.
El modelo OSI y TCP/IP: por qué importa a un analista
El modelo OSI (Open Systems Interconnection) divide la comunicación en red en siete capas. El modelo TCP/IP más pragmático las agrupa en cuatro. En ambos casos, cada capa añade una cabecera al dato (encapsulación) y tiene responsabilidades específicas.
Desde el punto de vista de la seguridad, cada capa es una superficie de ataque distinta:
- Capa 2 (Enlace / Acceso a red): ARP, tramas Ethernet, switches. Aquí ocurren los ataques ARP spoofing, MAC flooding y los ataques de VLAN hopping.
- Capa 3 (Red / Internet): IP, ICMP, enrutamiento. Ataques de IP spoofing, ICMP tunneling, BGP hijacking.
- Capa 4 (Transporte): TCP, UDP. Ataques SYN flood, TCP session hijacking, escaneos de puertos.
- Capa 7 (Aplicación): HTTP/S, DNS, SMTP, FTP, SSH. DNS spoofing, HTTP request smuggling, ataques a servicios expuestos.
Cuando analizas un pcap en Wireshark o una alerta de Suricata, estás operando mentalmente en este modelo: ¿qué capa genera esta anomalía? ¿Es un problema de ARP (capa 2) o de DNS (capa 7)?
Puertos y protocolos: la tabla de referencia del analista
Un puerto es un número de 16 bits (0-65535) que identifica un servicio en un host. Los puertos bien conocidos (0-1023) están asignados por la IANA. Conocerlos de memoria marca la diferencia entre detectar un servicio legítimo y una conexión anómala:
| Puerto | Protocolo | Servicio | Riesgo principal |
|---|---|---|---|
| 21 | TCP | FTP | Credenciales en claro, bounce attacks |
| 22 | TCP | SSH | Fuerza bruta, claves débiles |
| 23 | TCP | Telnet | Tráfico no cifrado, obsoleto |
| 25 | TCP | SMTP | Open relay, spam, phishing |
| 53 | TCP/UDP | DNS | DNS spoofing, tunneling, amplificación |
| 80 | TCP | HTTP | Inyecciones, datos en claro |
| 443 | TCP | HTTPS | TLS obsoleto (TLS 1.0/1.1), certificados caducados |
| 445 | TCP | SMB | EternalBlue/WannaCry, movimiento lateral |
| 3306 | TCP | MySQL | Exposición directa a Internet |
| 3389 | TCP | RDP | BlueKeep, fuerza bruta, ataques credential stuffing |
Un escaneo rápido con nmap de los puertos abiertos en un segmento de red a menudo revela servicios olvidados (FTP activo en un servidor de 2015, Telnet en un switch de gestión) que son vectores de entrada inmediatos para un atacante.
Protocolos clave que el defensor debe conocer en profundidad
DNS (Domain Name System): traduce nombres de dominio a direcciones IP. Es la agenda de teléfonos de Internet. El problema es que fue diseñado sin autenticación: cualquier respuesta DNS puede ser falsificada. DNSSEC añade firmas criptográficas pero su despliegue es aún parcial. El DNS también es el canal de exfiltración favorito de los atacantes avanzados, porque el tráfico DNS raramente se bloquea.
ARP (Address Resolution Protocol): resuelve direcciones IP a direcciones MAC en redes locales. No tiene autenticación; cualquier host puede enviar respuestas ARP no solicitadas (gratuitous ARP) para envenenar las tablas de otros hosts o del gateway, redirigiendo el tráfico hacia sí mismo.
DHCP: asigna dinámicamente configuración IP a los clientes. Un servidor DHCP rogue puede asignarse a sí mismo como gateway y DNS, capturando todo el tráfico de la red sin que los clientes lo detecten.
BGP (Border Gateway Protocol): el protocolo de enrutamiento entre sistemas autónomos (ISPs, grandes redes) en Internet. Los incidentes de BGP hijacking (secuestro de prefijos IP) han afectado históricamente a grandes proveedores; el caso más conocido fue el de MySpace/Pakistan Telecom en 2008, aunque hay incidentes recientes documentados en el registro público de anomalías BGP (BGPStream de Cisco Crosswork).
Amenazas de red: cómo operan los atacantes
Sniffing y análisis de tráfico pasivo
El sniffing consiste en capturar paquetes en tránsito para extraer información. En redes Ethernet antiguas con hubs (que replicaban el tráfico a todos los puertos), cualquier nodo podía capturar todo el tráfico del segmento. Los switches modernos aíslan el tráfico por puerto, pero un atacante con acceso al mismo segmento puede recurrir a técnicas activas (ARP poisoning) para redirigir el tráfico hacia su interface.
Herramientas usadas por atacantes: Wireshark, tcpdump, Ettercap, Bettercap. Las mismas herramientas sirven para la defensa: el analista las usa para inspeccionar tráfico capturado en un sensor de monitorización o un puerto SPAN del switch.
El sniffing pasivo de tráfico cifrado no proporciona datos legibles, de ahí que el cifrado ubicuo (TLS para HTTP, SSH para administración, IPSec o WireGuard para VPN) sea la primera línea de defensa contra esta amenaza.
Ataques Man-in-the-Middle (MITM)
Un ataque man-in-the-middle implica que el atacante se interpone entre dos partes de una comunicación, pudiendo leer y modificar el tráfico en tiempo real. Requiere primero conseguir que el tráfico fluya a través del sistema del atacante. Las técnicas para lograrlo incluyen:
- ARP spoofing: el atacante envía respuestas ARP falsas asociando su MAC a la IP del gateway, haciendo que los hosts de la red envíen su tráfico a través de él.
- DHCP spoofing: el atacante responde primero a las solicitudes DHCP, asignándose como gateway.
- DNS spoofing: respuestas DNS falsas que redirigen a los usuarios a servidores controlados por el atacante.
- SSL stripping: el atacante hace downgrade de HTTPS a HTTP entre el usuario y él, mientras mantiene HTTPS con el servidor real. El usuario ve HTTP en la barra de direcciones pero cree estar en una conexión segura.
La defensa principal es el cifrado extremo a extremo con verificación de certificados. HTTP Strict Transport Security (HSTS) y el pinning de certificados en aplicaciones nativas previenen el SSL stripping. En entornos corporativos, el DHCP Snooping en switches y el Dynamic ARP Inspection (DAI) bloquean estas técnicas a nivel de red local.
ARP Spoofing y DNS Spoofing en detalle
El ARP spoofing (también llamado ARP poisoning) es la base de la mayoría de los ataques MITM en redes locales. Un atacante envía paquetes ARP reply gratuitos diciendo «la IP 192.168.1.1 [gateway] tiene la MAC XX:XX:XX:XX:XX:XX [mi MAC]». Los hosts actualizan sus tablas ARP sin verificación y el tráfico fluye hacia el atacante.
Detección: herramientas como arpwatch (disponible en Linux) monitorizan cambios en el mapeo IP-MAC y alertan cuando una IP cambia de MAC o se detectan respuestas ARP no solicitadas. Los switches empresariales implementan Dynamic ARP Inspection (DAI), que valida los paquetes ARP contra una tabla DHCP snooping de asignaciones legítimas.
El DNS spoofing puede ocurrir en la caché de un resolver (cache poisoning), en el tráfico entre el cliente y el resolver (si va sin cifrar por UDP/53), o mediante un servidor DNS rogue en la red local. DNSSEC firma criptográficamente las respuestas DNS, pero su implementación en el lado del resolver es lo que marca la diferencia. DNS over HTTPS (DoH) y DNS over TLS (DoT) cifran el canal del cliente al resolver, impidiendo el spoofing en tránsito.
Ataques de denegación de servicio: DoS y DDoS
Un ataque de denegación de servicio (DoS) busca hacer inaccesible un servicio o red. Cuando se coordina desde múltiples fuentes (generalmente una botnet), se habla de ataque distribuido de denegación de servicio (DDoS).
Tipos principales:
- Volumétrico: inundar el enlace de red con tráfico (UDP flood, ICMP flood, amplificación DNS/NTP/memcached). El objetivo es saturar el ancho de banda. Las amplificaciones con memcached han generado ataques superiores a 1 Tbps.
- Protocolo: explotar debilidades en los protocolos para consumir recursos del servidor o de dispositivos intermedios. El SYN flood explota el handshake de tres vías de TCP: el atacante envía miles de paquetes SYN sin completar la conexión, llenando la tabla de conexiones semiabierta del servidor.
- Capa de aplicación (L7): ataques HTTP flood que imitan tráfico legítimo pero en volumen masivo, HTTP Slowloris (conexiones lentas que agotan los workers del servidor), o ataques a APIs concretas. Son los más difíciles de mitigar porque requieren distinguir tráfico legítimo de malicioso.
La mitigación de DDoS de gran escala requiere servicios especializados (Cloudflare, Akamai, AWS Shield) porque depende de tener capacidad de absorción de tráfico distribuida globalmente. A nivel interno, los firewalls con limitación de velocidad (rate limiting), las listas de reputación de IPs y el anycast routing son las herramientas disponibles.
Movimiento lateral: cuando el atacante ya está dentro
El movimiento lateral describe la fase post-compromiso en que un atacante, tras ganar acceso a un primer sistema, se desplaza por la red hacia objetivos de mayor valor. Es la fase más crítica porque ocurre dentro del perímetro y muchas organizaciones no tienen visibilidad interna suficiente para detectarla.
Técnicas de movimiento lateral comunes (documentadas en MITRE ATT&CK bajo la táctica Lateral Movement):
- Pass-the-Hash: reutilizar el hash NTLM de una contraseña capturada en un sistema Windows para autenticarse en otro sin conocer la contraseña en claro.
- Pass-the-Ticket: reutilizar tickets Kerberos robados.
- SMB / RDP: conectarse a otros sistemas Windows usando credenciales comprometidas o vulnerabilidades (EternalBlue sobre SMBv1).
- SSH forwarding: en redes Linux/Unix, aprovechar claves SSH sin passphrase o agentes SSH para saltar entre hosts.
- WMI / PsExec: ejecutar comandos remotos en Windows usando Windows Management Instrumentation o herramientas de administración legítimas.
La defensa principal contra el movimiento lateral es la segmentación de red (que se cubre en la sección de defensas): sin segmentación, un atacante que compromete un puesto de trabajo puede alcanzar directamente los servidores de bases de datos. Con segmentación y microsegmentación, cada movimiento requiere cruzar un control adicional que puede detectarlo o bloquearlo.
Otros ataques a protocolos de red
BGP hijacking: un sistema autónomo anuncia prefijos IP que no le pertenecen, secuestrando el tráfico destinado a esos rangos. Puede usarse para interceptar tráfico, ataques de exfiltración o simplemente como sabotaje. La mitigación implica RPKI (Resource Public Key Infrastructure), que permite a los titulares de recursos IP firmar los anuncios BGP autorizados.
ICMP tunneling: encapsular tráfico arbitrario dentro de paquetes ICMP echo (ping) para eludir firewalls que permiten ICMP. Herramientas como ptunnel-ng implementan este canal encubierto. La detección se basa en analizar el tamaño del payload ICMP (un ping normal tiene 32-64 bytes; un túnel tiene cientos o miles) y la frecuencia.
VLAN hopping: explotar la configuración incorrecta de puertos trunk en switches para acceder a VLANs que deberían estar aisladas. La técnica más común es el switch spoofing (el atacante negocia un trunk con el switch) o el double tagging (encapsular una trama con dos cabeceras VLAN). Mitación: deshabilitar el protocolo DTP en puertos de acceso y usar una VLAN nativa distinta a la VLAN 1.
Defensas de red: arquitectura y controles
Firewalls: tipos y cuándo usar cada uno
Un firewall controla el tráfico de red basándose en reglas. Hay cuatro generaciones principales:
- Packet filtering (stateless): inspecciona cada paquete de forma independiente (IP origen/destino, puerto, protocolo). Rápido pero ciego al contexto de la conexión. Implementado en routers y iptables básico.
- Stateful inspection: mantiene el estado de las conexiones (tabla de sesiones TCP). Puede detectar paquetes que no pertenecen a ninguna conexión legítima. La gran mayoría de firewalls actuales son stateful.
- Next-Generation Firewall (NGFW): integra inspección SSL/TLS, identificación de aplicaciones (más allá del puerto), IPS integrado, filtrado por usuario (integración con Active Directory), y sandboxing para ficheros. Productos representativos: Palo Alto Networks, Fortinet FortiGate, Check Point.
- Web Application Firewall (WAF): especializado en tráfico HTTP/S. Protege aplicaciones web contra SQLi, XSS, CSRF, path traversal y otras vulnerabilidades de capa 7. Puede ser una appliance on-premise, integrado en un CDN (Cloudflare WAF, AWS WAF) o un módulo del servidor web (ModSecurity).
Un error frecuente es tratar el firewall como la única defensa. Los NGFWs son potentes pero no reemplazan la segmentación interna, la monitorización de comportamiento o el control de acceso a la identidad.
IDS e IPS: detección y prevención de intrusiones
Un IDS (Intrusion Detection System) analiza el tráfico de red o los logs del sistema y alerta cuando detecta patrones asociados a ataques conocidos o comportamientos anómalos. Un IPS (Intrusion Prevention System) añade la capacidad de bloquear el tráfico en tiempo real.
Los IDS/IPS de red (NIDS/NIPS) se sitúan en puntos estratégicos de la red (normalmente en línea o en un puerto SPAN del switch principal) y analizan el tráfico que fluye por ellos. Las dos aproximaciones de detección son:
- Basada en firmas: compara el tráfico con una base de datos de patrones conocidos de ataques. Muy precisa para amenazas conocidas, ciega ante ataques nuevos (zero-day).
- Basada en anomalías: establece una línea base del comportamiento normal y alerta cuando el tráfico se desvía de ella. Genera más falsos positivos pero puede detectar ataques desconocidos.
Las herramientas open source de referencia son Snort y Suricata. Suricata soporta procesamiento multihilo nativo y puede procesar decenas de gigabits por segundo en hardware moderno. Se cubre en más detalle en la sección de monitorización.
Segmentación de red, VLANs y microsegmentación
La segmentación de red divide la infraestructura en zonas con políticas de comunicación diferenciadas. El principio es simple: si un sistema es comprometido, el atacante no debe poder alcanzar directamente el resto de la red.
La arquitectura más básica define tres zonas:
- DMZ (Demilitarized Zone): servidores accesibles desde Internet (web, correo, DNS). Aislados de la red interna.
- Red interna: usuarios y sistemas corporativos. No directamente accesible desde Internet.
- Zona de gestión / OOB: acceso a la administración de dispositivos de red. Estrictamente controlada.
Las VLANs (Virtual Local Area Networks) implementan la segmentación a nivel de capa 2. Permiten separar el tráfico de distintos departamentos (finanzas, RRHH, IT) en la misma infraestructura física de switches. El tráfico entre VLANs requiere pasar por un router o firewall, donde se aplican políticas de control.
La microsegmentación lleva el concepto mucho más lejos: aplica políticas de firewall a nivel de workload individual (máquina virtual, contenedor). En entornos cloud y virtualizados, herramientas como VMware NSX, Cisco ACI, o las políticas de red de Kubernetes permiten definir que el servidor web solo puede hablar con el servidor de aplicación en el puerto 8080, y este solo puede hablar con la base de datos en el 5432. Todo lo demás se bloquea por defecto.
VPN: tipos y cuándo usar cada uno
Una VPN (Virtual Private Network) crea un canal cifrado sobre una red pública. Hay dos casos de uso principales:
- Remote Access VPN: permite a usuarios remotos conectarse de forma segura a la red corporativa. Protocolos: OpenVPN, WireGuard, IKEv2/IPSec, SSL/TLS (Cisco AnyConnect). WireGuard ha ganado popularidad por su simplicidad de configuración, rendimiento elevado y superficie de ataque pequeña (menos de 4.000 líneas de código frente a las decenas de miles de OpenVPN).
- Site-to-Site VPN: conecta de forma permanente dos redes corporativas (sedes, datacenter y nube). Usa IPSec en modo túnel. Es la alternativa más económica a las líneas MPLS dedicadas para organizaciones más pequeñas.
Las VPNs tradicionales de acceso remoto tienen un problema: una vez conectado, el usuario tiene acceso a toda (o gran parte de) la red interna. Si las credenciales del usuario se comprometen o el dispositivo está infectado, el atacante hereda ese acceso. Esto ha llevado a la adopción del modelo Zero Trust y ZTNA.
Zero Trust Network Access (ZTNA)
El modelo Zero Trust parte de la premisa «nunca confiar, siempre verificar». Elimina la distinción tradicional entre red «de confianza» (interna) y red «no confiable» (Internet): todo el tráfico se trata como potencialmente hostil, independientemente de su origen.
En la práctica, ZTNA sustituye a la VPN de acceso remoto tradicional con los siguientes principios:
- Acceso mínimo necesario: el usuario solo puede acceder a las aplicaciones o servicios concretos para los que está autorizado, no a un segmento de red completo.
- Verificación continua: cada solicitud de acceso se verifica (identidad del usuario, estado del dispositivo, contexto) antes de concederse, no solo al inicio de la sesión.
- Visibilidad total: todo el tráfico se registra, independientemente de dónde provenga.
ZTNA se implementa mediante productos como Zscaler Private Access, Cloudflare Access, Google BeyondCorp Enterprise o Palo Alto Prisma Access. Muchos de ellos son proxies en la nube que median el acceso entre el usuario y la aplicación sin que el dispositivo del usuario esté nunca en la red interna directamente.
Network Access Control (NAC)
El NAC controla qué dispositivos pueden conectarse a la red y con qué permisos. Antes de conceder acceso, evalúa el estado de seguridad del dispositivo (¿tiene el antivirus actualizado? ¿el SO está parcheado? ¿está gestionado por la empresa?) y lo coloca en el segmento de red correspondiente: si cumple las políticas, a la red corporativa; si no, a una VLAN de cuarentena para remediación.
El estándar de referencia es IEEE 802.1X, que requiere autenticación antes de conceder acceso al puerto del switch. El protocolo RADIUS actúa como servidor de autenticación. En entornos de invitados o dispositivos IoT, el NAC es especialmente importante para evitar que dispositivos no gestionados accedan a recursos críticos.
Seguridad WiFi
WPA2 y WPA3: diferencias y por qué importan
La seguridad de las redes inalámbricas es una extensión directa de la seguridad de redes cableadas, con la particularidad de que el medio físico (el aire) es accesible a cualquiera dentro del rango de señal. Esto hace que los controles de autenticación y cifrado sean críticos.
WPA2 (Wi-Fi Protected Access 2), definido en el estándar IEEE 802.11i, usa el cifrado AES-CCMP. Tiene dos modos: Personal (PSK, Pre-Shared Key, para uso doméstico) y Enterprise (802.1X con servidor RADIUS, para entornos corporativos). La vulnerabilidad principal de WPA2-PSK es que si se captura el 4-way handshake durante la asociación de un cliente, se puede intentar recuperar la contraseña por fuerza bruta offline (con herramientas como hashcat). WPA2 también fue afectado por la vulnerabilidad KRACK (Key Reinstallation Attack) en 2017, que permitía a un atacante en rango descifrar parte del tráfico en condiciones específicas.
WPA3, introducido por la Wi-Fi Alliance en 2018, mejora varios aspectos:
- SAE (Simultaneous Authentication of Equals, basado en Dragonfly): reemplaza al PSK de WPA2 Personal. Elimina los ataques de diccionario offline porque, aunque se capture el handshake, no se puede intentar la contraseña sin interacción con el punto de acceso (resistencia a ataques pasivos).
- Protección de gestión de tramas obligatoria (802.11w): en WPA2 es opcional; en WPA3 es obligatoria. Previene ataques de deautenticación que forzaban a los clientes a desconectarse para capturar el handshake WPA2.
- WPA3-Enterprise con 192 bits: suite criptográfica más robusta para entornos con mayores requisitos de seguridad, alineada con CNSA (Commercial National Security Algorithm suite).
WPA3 no es retrocompatible con todos los dispositivos antiguos. Para entornos con dispositivos mixtos existe el modo WPA2/WPA3 en transición, aunque reduce algunos beneficios de seguridad de WPA3.
Ataques WiFi más comunes
- Evil Twin: el atacante crea un punto de acceso con el mismo SSID que el legítimo, con mayor potencia de señal o forzando la desconexión de los clientes. Los clientes se asocian al AP falso y el atacante puede inspeccionar su tráfico o servir páginas de phishing. La defensa: uso de WPA3-Enterprise con certificados de servidor, que permite al cliente verificar que el AP es legítimo.
- Deauthentication flood: enviar paquetes de desautenticación falsificados (con la dirección MAC del AP legítimo) para desconectar a los clientes. Los clientes intentan reconectarse, momento en que el atacante captura el handshake WPA2. En WPA3 este ataque no es efectivo para capturar credenciales.
- WPS PIN brute force: WPS (Wi-Fi Protected Setup) tiene una vulnerabilidad de diseño que reduce el espacio de claves del PIN a 11.000 combinaciones (el PIN de 8 dígitos se verifica en dos mitades). Herramientas como Reaver pueden explotar esto. Solución: deshabilitar WPS en los puntos de acceso.
- PMKID attack: permite obtener el material criptográfico de WPA2 sin necesidad de que un cliente se conecte (basta con capturar un único frame EAPOL del AP), facilitando los ataques de diccionario offline.
Monitorización y detección de amenazas de red
Ver el tráfico de red en tiempo real o analizarlo a posteriori es la columna vertebral de cualquier operación de ciberseguridad. Sin datos de red, no hay detección de intrusiones, no hay análisis forense post-incidente, no hay caza de amenazas.
Suricata
Suricata es el IDS/IPS/NSM (Network Security Monitor) de referencia en el ecosistema open source, mantenido por la Open Information Security Foundation (OISF). Procesa tráfico en tiempo real usando reglas con una sintaxis compatible con Snort, pero añade:
- Procesamiento multihilo nativo (puede usar todos los núcleos disponibles).
- Soporte de inspección de protocolos a capa 7: detecta el protocolo real independientemente del puerto (HTTP en el puerto 8080, TLS en el 8443, etc.).
- Extracción automática de ficheros del tráfico (capturas de malware descargado, documentos, etc.).
- Salida en formato JSON (Eve JSON) compatible con SIEM como Elastic Stack.
- Reglas de las principales fuentes: Emerging Threats Open, ET Pro, Snort VRT.
Suricata puede correr en modo IDS (solo alerta, pasivo) en un puerto SPAN o TAP de red, o en modo IPS (bloqueo inline) con NFQUEUE en Linux. En entornos domésticos o de laboratorio, también existe la distribución Security Onion que integra Suricata con Zeek y Elastic Stack.
Snort
Snort, creado por Marty Roesch en 1998 y actualmente mantenido por Cisco, fue el primer NIDS open source popular. Snort 3 (la versión actual) ha incorporado mejoras de rendimiento y nueva arquitectura modular. Muchas empresas todavía usan Snort 3 en modo IPS integrado en los NGFWs de Cisco (FirePOWER).
La sintaxis de las reglas Snort/Suricata es la lingua franca del análisis de tráfico de red. Entender cómo escribir y leer reglas es una habilidad básica para cualquier analista SOC.
Zeek (anteriormente Bro)
Zeek es un framework de análisis de red de alto nivel. A diferencia de Suricata/Snort (que trabajan a nivel de paquete y firma), Zeek genera logs de alto nivel a partir del tráfico: un log de conexiones TCP (conn.log), un log de peticiones HTTP (http.log), de consultas DNS (dns.log), de certificados TLS (ssl.log), de transferencias de ficheros, etc.
Estos logs son enormemente útiles para la caza de amenazas (threat hunting) y el análisis forense de red, porque permiten hacer preguntas como: «¿qué hosts han tenido conexiones salientes al puerto 4444 (Metasploit por defecto) en las últimas 24 horas?» o «¿qué dominios DNS ha resuelto este host que no había consultado antes?». La respuesta requiere solo una búsqueda en los logs de Zeek, sin necesidad de analizar pcaps completos.
Zeek tiene su propio lenguaje de scripting que permite programar comportamientos personalizados de detección, muy útil para detectar protocolos o comportamientos específicos no cubiertos por las reglas de firmas.
NetFlow y análisis de flujos
NetFlow (Cisco), IPFIX (estándar IETF derivado) y sFlow son protocolos de telemetría de red que exportan estadísticas resumidas del tráfico: IP origen/destino, puertos, protocolo, bytes y paquetes transferidos, timestamps. No incluyen el payload del paquete, por lo que son mucho más ligeros que una captura completa.
Un colector NetFlow puede almacenar semanas o meses de flujos de toda la red, permitiendo reconstruir las comunicaciones post-incidente sin necesidad de haber capturado todo el tráfico. Herramientas open source: ntopng (visualización), nfdump/nfcapd (colección y análisis de línea de comandos), ElastiFlow (integración con Elastic Stack).
Network Detection and Response (NDR)
El NDR es la categoría de productos comerciales que combina la captura de metadatos de red (similar a NetFlow/Zeek) con análisis de comportamiento basado en machine learning para detectar anomalías. Productos representativos: Darktrace, ExtraHop, Vectra AI, Corelight (basado en Zeek). Su ventaja es la detección de amenazas avanzadas (APT, movimiento lateral, exfiltración) sin depender de firmas. Su desventaja es el coste y la necesidad de un período de aprendizaje para establecer la línea base.
Herramientas fundamentales para el profesional de seguridad de redes
Wireshark
Wireshark es el analizador de protocolos de red más usado del mundo, con soporte para más de 3.000 protocolos. Disponible en Windows, macOS y Linux. Permite:
- Capturar tráfico de red en tiempo real en cualquier interfaz de red (incluidas WiFi en modo monitor).
- Analizar capturas pcap/pcapng guardadas (de Suricata, tcpdump, herramientas de red).
- Filtrar el tráfico con un lenguaje de filtros potente (display filters):
http.request.method == "POST",dns.qry.name contains "evil.com",tcp.flags.syn == 1 && tcp.flags.ack == 0. - Seguir flujos completos TCP/HTTP/TLS (si se tiene la clave privada o la sesión sin cifrar).
- Exportar objetos HTTP (ficheros descargados en claro) para análisis de malware.
La curva de aprendizaje de Wireshark es mayor de lo que parece: la gran cantidad de protocolos disectados puede abrumar a un principiante. El camino recomendado es empezar con capturas propias (navegación web simple, consultas DNS) para entender qué se ve en condiciones normales antes de pasar a analizar tráfico anómalo.
Tienes una referencia completa de los comandos y filtros más útiles en nuestra cheat sheet de Nmap (que complementa al conjunto de herramientas de análisis de red).
Nmap
Nmap (Network Mapper) es la herramienta de referencia para el descubrimiento de hosts y el escaneo de puertos. Creado por Gordon Lyon (Fyodor), está presente en prácticamente todos los pentests y auditorías de seguridad. Permite:
- Descubrir hosts activos en un rango de red (
nmap -sn 192.168.1.0/24). - Escanear puertos TCP (SYN scan por defecto con -sS) y UDP (
-sU, más lento). - Detectar versiones de servicios (
-sV) y sistema operativo (-O). - Ejecutar scripts NSE (Nmap Scripting Engine) para detectar vulnerabilidades conocidas, verificar configuraciones o extraer información:
nmap --script vuln,nmap --script http-headers. - Escanear en modo silencioso con técnicas de evasión de IDS.
Desde el punto de vista del defensor, nmap es la herramienta que deberías ejecutar regularmente sobre tu propia infraestructura para detectar servicios no autorizados o puertos abiertos inesperadamente. También es la base de herramientas de gestión de activos más avanzadas como OpenVAS.
tcpdump
tcpdump es la herramienta de línea de comandos para captura de tráfico en sistemas Unix/Linux. No tiene interfaz gráfica pero es enormemente potente para captura rápida, filtrado preciso y automatización. La sintaxis de sus filtros (basada en BPF, Berkeley Packet Filter) es la misma que usa Wireshark en la capa de captura.
Uso básico:
tcpdump -i eth0 -w captura.pcap: capturar todo el tráfico de eth0 a un fichero.tcpdump -r captura.pcap 'host 192.168.1.100 and port 443': filtrar una captura guardada.tcpdump -i eth0 'tcp[tcpflags] == tcp-syn': capturar solo paquetes SYN.
En servidores de producción donde Wireshark no está instalado, tcpdump es la única herramienta disponible para diagnosticar problemas de red o capturar tráfico sospechoso para análisis posterior.
Cómo aprender y certificarse en seguridad de redes
La seguridad de redes es un dominio amplio que combina conocimientos de redes (un prerrequisito real, no opcional) con conocimientos de seguridad ofensiva y defensiva. La ruta de certificación más lógica va de lo fundamental a lo especializado.
CompTIA Network+ y Security+
CompTIA Network+ es la certificación de referencia para verificar conocimientos de redes: modelo OSI, TCP/IP, VLANs, enrutamiento, switches, WiFi, resolución de problemas de red. No requiere experiencia previa pero sí un estudio dedicado. Es un prerrequisito implícito para cualquier certificación de seguridad: sin entender cómo funciona una red, no se puede entender cómo se ataca o defiende.
CompTIA Security+ cubre seguridad de redes entre otros dominios (ataques, criptografía, IAM, cumplimiento). Es una certificación de entrada al mundo de la seguridad, reconocida por el Departamento de Defensa de EE. UU. bajo la directiva 8570. Puedes consultar nuestra reseña completa de CompTIA Security+ para más detalles sobre temario, examen y coste.
Cisco CCNA y CyberOps Associate
Cisco tiene dos rutas relevantes:
- CCNA (Cisco Certified Network Associate): la certificación de redes más reconocida de Cisco. Cubre enrutamiento, switching, redes inalámbricas, seguridad básica y automatización. Muy valorada en entornos con infraestructura Cisco, que es la mayoría de las grandes empresas. El examen es único (200-301) desde 2020.
- Cisco CyberOps Associate (antiguo CCNA CyberOps): orientada al trabajo en un SOC (Security Operations Center). Cubre monitorización de seguridad, análisis de tráfico, análisis forense básico, evaluación de alertas. Ideal para quien quiere trabajar en un SOC con foco en la seguridad de redes.
GIAC GCIA y GPEN
GIAC (Global Information Assurance Certification) ofrece certificaciones técnicas con fuerte reconocimiento entre los profesionales de seguridad. Las más relevantes para seguridad de redes son:
- GCIA (GIAC Certified Intrusion Analyst): cubre análisis de tráfico de red, detección de intrusiones con Snort/Suricata/Zeek, análisis de pcaps y técnicas de evasión. El examen incluye una práctica real de análisis de capturas de red. Acceso al material: cursos SANS Institute (SEC503 — Intrusion Detection In-Depth) como preparación recomendada, aunque caros.
- GPEN (GIAC Penetration Tester): cubre pentesting de red, explotación, escalada de privilegios y movimiento lateral. Más orientada al equipo rojo pero complementaria para entender las técnicas que el defensor debe detectar.
Puedes ver estas y otras certificaciones en contexto en nuestro mapa de certificaciones de seguridad.
Por dónde empezar: la ruta práctica
Si partes de cero:
- Aprende networking: Network+ o el curso de Cisco Networking Academy (gratuito), o la documentación de protocolos (RFC 791 para IP, RFC 793 para TCP). No te saltes este paso.
- Aprende a usar Wireshark y tcpdump con tráfico propio antes de pasar a tráfico de ataque.
- Configura un laboratorio en casa (ver sección siguiente) con al menos un IDS (Suricata) y practica análisis de capturas de retos como los de Malware Traffic Analysis (malware-traffic-analysis.net).
- Obtén Security+ o CCNA como primera certificación reconocida.
- Especialízate: si te inclinas por la defensa, GCIA/CyberOps; si por el red team, hacking ético y pentesting.
Si no sabes por qué especialidad optar, lee nuestra guía sobre cómo empezar en ciberseguridad desde cero.
Cómo practicar: laboratorio en casa y plataformas online
Laboratorio de redes en casa
La teoría sin práctica no se consolida. Un laboratorio de seguridad de redes en casa no requiere hardware caro: un PC con 16 GB de RAM y un hipervisor gratuito (VirtualBox, VMware Workstation Player, Proxmox) es suficiente para montar una red virtual completa.
Un laboratorio básico de seguridad de redes puede incluir:
- Un router/firewall virtualizado: pfSense o OPNsense. Aprenderás a configurar reglas de firewall, VLANs, NAT, VPN y registros de tráfico.
- Un IDS/IPS: Suricata integrado en pfSense/OPNsense o como VM independiente con Security Onion.
- Máquinas objetivo: una VM con Metasploitable 2/3 (llena de vulnerabilidades de red intencionadas) o máquinas de TryHackMe/HackTheBox descargadas localmente.
- Una máquina de ataque: Kali Linux o Parrot OS (incluyen nmap, Wireshark, Ettercap, Metasploit, etc.).
Con este laboratorio puedes practicar desde un escaneo de red básico con nmap hasta un ataque ARP spoofing completo, capturar el tráfico con Wireshark, generar alertas en Suricata y analizar los logs. Es el entorno más valioso que puedes tener.
Plataformas online para práctica de seguridad de redes
- TryHackMe: tiene rutas específicas de seguridad de redes con laboratorios guiados. Muy recomendada para principiantes por su enfoque progresivo.
- Hack The Box: máquinas retiradas con componentes de seguridad de red (pivoting, tunelización, ataques a servicios de red). Requiere algo más de experiencia previa.
- Malware Traffic Analysis: ejercicios de análisis de pcaps reales de infecciones de malware. Ideal para practicar análisis de tráfico de red con Wireshark/Zeek.
- CyberDefenders: plataforma de blue team con laboratorios de análisis forense de red y análisis de capturas pcap.
- Cisco Packet Tracer / GNS3 / EVE-NG: simuladores de redes para practicar configuración de dispositivos Cisco y topologías complejas sin hardware real.
Preguntas frecuentes sobre seguridad de redes
¿Qué diferencia hay entre un IDS y un IPS?
Un IDS (Intrusion Detection System) detecta y alerta pero no bloquea el tráfico. Un IPS (Intrusion Prevention System) puede bloquear el tráfico en tiempo real. El IPS se sitúa en línea (inline) entre el tráfico, mientras que el IDS puede usar un puerto SPAN pasivo. La ventaja del IDS es que no tiene impacto en el rendimiento de la red y no puede interrumpir el servicio por un falso positivo. La ventaja del IPS es que puede detener ataques automáticamente. En la práctica, Suricata puede configurarse como IDS o IPS según el modo de despliegue.
¿Es suficiente con un firewall para proteger una red?
No. El firewall controla qué tráfico entra y sale del perímetro, pero no detecta el tráfico malicioso que usa puertos permitidos (por ejemplo, malware C2 sobre HTTPS/443), no ve el movimiento lateral dentro de la red (si ya estás dentro del perímetro), y no sustituye la segmentación interna, el IDS, el control de acceso o la monitorización. El firewall es un control necesario pero no suficiente. La defensa en profundidad (múltiples capas de controles independientes) es el principio correcto.
¿Qué es el modelo Zero Trust y por qué reemplaza a la VPN tradicional?
La VPN tradicional asume que todo lo que está dentro de la red corporativa es de confianza. Una vez conectado a la VPN, el usuario tiene acceso a un segmento de red amplio. Zero Trust elimina esa confianza implícita: cada solicitud de acceso se verifica individualmente (identidad, dispositivo, contexto) y el acceso se concede solo al recurso específico solicitado, no a una red completa. ZTNA (Zero Trust Network Access) implementa este modelo con proxies cloud que median el acceso. La VPN tradicional es más sencilla de implementar; ZTNA ofrece mayor seguridad y mejor experiencia de usuario remoto, pero requiere una inversión mayor en infraestructura y madurez organizativa.
¿Cuál es la amenaza de red más común en entornos empresariales?
Los ataques de movimiento lateral post-compromiso (una vez que el atacante ya tiene un foothold inicial) son los que mayor daño causan en entornos empresariales. El vector de entrada más frecuente en 2024 según el informe de Verizon Data Breach Investigations Report (DBIR) fue el credential abuse (reutilización de credenciales robadas) combinado con phishing. El movimiento lateral posterior suele realizarse por SMB, RDP o con herramientas administrativas legítimas (living off the land). La segmentación de red y la monitorización de comportamiento interno son los controles más eficaces contra esta fase.
¿Qué certificación debería obtener primero para trabajar en seguridad de redes?
Depende de tu punto de partida. Si no tienes base de redes, empieza por CompTIA Network+ o CCNA. Si ya tienes base de redes, CompTIA Security+ es la certificación de entrada más reconocida en el mercado para roles de seguridad. Para orientarte en el ecosistema completo de certificaciones, consulta nuestro mapa de certificaciones de seguridad. Para ver qué roles y salidas profesionales te esperan, visita nuestra sección de cursos y formación en ciberseguridad.
¿WPA3 es seguro o tiene vulnerabilidades?
WPA3 es significativamente más seguro que WPA2, especialmente en su modo Personal con SAE (Dragonfly handshake). Sin embargo, en 2019 se publicaron vulnerabilidades en las implementaciones de SAE (denominadas Dragonblood) que afectaban a algunas implementaciones concretas, no al protocolo en sí. Los fabricantes publicaron parches. WPA3 correctamente implementado y actualizado es la opción más segura para redes WiFi. El mayor riesgo real con WPA3 es la configuración mixta WPA2/WPA3 (modo de transición), que hereda algunas debilidades de WPA2.
¿Cómo puedo detectar si alguien está haciendo ARP spoofing en mi red?
Hay varias opciones: (1) Usar arpwatch en Linux, que monitoriza cambios en el mapeo IP-MAC y alerta cuando una IP cambia de MAC. (2) Desde un host, ejecutar arp -a y verificar que el gateway tiene la MAC que corresponde (compararla con la que devuelve el router directamente). (3) Capturar tráfico con Wireshark y filtrar por arp.opcode == 2 (reply ARP); un volumen anormalmente alto de ARP replies es una señal de alarma. (4) En switches gestionados, activar Dynamic ARP Inspection (DAI) que valida las respuestas ARP contra la tabla DHCP snooping.
Recursos para seguir aprendiendo
La seguridad de redes es un campo en continua evolución. Los protocolos cambian (IPv6 añade nuevas superficies de ataque), los ataques evolucionan (movimiento lateral en entornos cloud nativo) y las defensas se adaptan (ZTNA, NDR, XDR). La formación continua es indispensable.
- Libros fundamentales: The Practice of Network Security Monitoring de Richard Bejtlich; Network Security Assessment de Chris McNab (O’Reilly); Hacking: The Art of Exploitation de Jon Erickson para entender los ataques a nivel bajo.
- Documentación técnica: los RFCs de los protocolos (IETF RFC repository), la documentación de Suricata (docs.suricata.io), la wiki de Wireshark.
- Laboratorios de análisis de tráfico: malware-traffic-analysis.net ofrece capturas pcap reales de infecciones, con soluciones para comparar.
- MITRE ATT&CK: el framework de tácticas y técnicas de ataque más completo y mantenido. Indispensable para entender qué se detecta y por qué.
- Canales y blogs: Security Onion Blog, el blog de OISF (Suricata), Packet Life de Jeremy Stretch, la serie de posts de Daniel Miessler sobre seguridad de redes.
Si estás planificando tu carrera en ciberseguridad y quieres saber cómo encaja la seguridad de redes en el panorama general de roles y especializaciones, te recomendamos leer nuestra guía sobre cómo empezar en ciberseguridad desde cero y explorar el mapa de certificaciones para ver qué camino se adapta mejor a tus objetivos.
