Seguridad de Red

Segmentación de red: cómo evitar que un PC infectado hunda toda tu empresa.

Segmentación de red. El aislamiento previene la infección.

Es el escenario de pesadilla de cualquier equipo IT: un viernes por la tarde, un usuario del departamento de administración abre un archivo PDF adjunto en un correo de phishing. El antivirus no detecta nada. Dos horas después, los servidores de bases de datos, el controlador de dominio y hasta las copias de seguridad están cifrados.

¿Cómo ha llegado un simple malware en el ordenador de un contable a destruir los servidores más críticos de la compañía en cuestión de minutos? La respuesta casi siempre es la misma: porque la red era plana.

Una red plana es aquella donde todos los dispositivos (PCs, servidores, impresoras, cámaras y móviles de invitados) pueden «verse» y comunicarse entre sí sin restricciones. En ciberseguridad, esto es el equivalente a tener un rascacielos donde, una vez pasas la puerta principal, tienes la llave maestra de todas las habitaciones. Hoy vamos a entender por qué segmentar tu red no es una opción estética, sino una medida de seguridad básica, y cómo aplicarla sin paralizar la empresa en el proceso.

¿Qué es la segmentación de red? (La teoría del submarino)

El concepto es sencillo y se explica mejor fijándonos en la ingeniería naval. Un submarino militar no es un tubo hueco gigante; está dividido en múltiples compartimentos separados por pesadas puertas estancas. Si un torpedo impacta en la sección de proa y esta se inunda, la tripulación sella las puertas. Esa sección se pierde, pero el submarino no se hunde.

La segmentación de red es aplicar esa misma lógica a tu infraestructura IT. Consiste en dividir una red informática grande en subredes más pequeñas y aisladas, colocando controles de seguridad (como cortafuegos o listas de control de acceso) entre ellas. Si un atacante compromete un segmento (por ejemplo, la red Wi-Fi de usuarios), las «puertas estancas» le impiden saltar al segmento donde residen los datos críticos (la red de servidores).

El verdadero enemigo: El Movimiento Lateral

Para entender la urgencia de segmentar, hay que comprender cómo atacan realmente los cibercriminales modernos.

Cuando un ransomware o una amenaza persistente avanzada (APT) logra acceder a un equipo local (el «Paciente Cero»), rara vez encuentra allí la información que busca para extorsionar a la empresa. Lo que hace a continuación se conoce como movimiento lateral.

El malware empieza a escanear silenciosamente la red buscando puertos abiertos y servicios vulnerables. Busca conexiones de escritorio remoto (RDP por el puerto 3389), carpetas compartidas (SMB por el 445) o accesos de administración (SSH por el 22). Si la red es plana, el PC infectado tiene una «línea de visión» directa hacia el servidor central. El atacante solo tiene que usar técnicas como el robo de credenciales en memoria o ataques de diccionario básicos para ir saltando de máquina en máquina, escalando privilegios hasta hacerse con el control total.

La segmentación corta de raíz este movimiento lateral. Si el PC de contabilidad intenta hacer un escaneo de puertos por RDP hacia la subred de servidores, el cortafuegos intermedio bloqueará el tráfico y, lo que es más importante, generará una alerta crítica para el administrador.

VLANs vs. Microsegmentación (De lo básico a Zero Trust)

A la hora de aplicar esto, existen diferentes niveles de madurez tecnológica. No necesitas empezar por lo más complejo, pero sí conocer tus opciones:

La segmentación tradicional (VLANs + Firewall)

Es el enfoque estándar y realista para la inmensa mayoría de pymes y arquitecturas clásicas. Consiste en separar lógicamente los equipos creando Redes de Área Local Virtuales (VLANs) en los switches. Lo habitual es crear compartimentos por función:

  • VLAN de Usuarios.
  • VLAN de Servidores de Producción.
  • VLAN de Telefonía IP (VoIP).
  • VLAN de Dispositivos IoT y Cámaras.
  • VLAN de Invitados (Wi-Fi aislada con salida directa a Internet).

Ojo: Como veremos más adelante, crear la VLAN no es suficiente; el tráfico entre ellas debe estar regulado por un cortafuegos (Layer 3).

Microsegmentación y Zero Trust

Es la evolución moderna. En lugar de confiar en que todo lo que está dentro de la «VLAN de Servidores» es seguro, la microsegmentación aísla los recursos a nivel de host (equipo) o aplicación.

Bajo la filosofía Zero Trust (Confianza Cero), que el servidor web y el servidor de base de datos estén en la misma red no significa que puedan hablar libremente. Solo se permite el tráfico estrictamente necesario (ej. por el puerto 3306 para MySQL) y a menudo se requiere verificación de identidad continua. Es un enfoque mucho más seguro, pero requiere plataformas específicas y una gestión madura.

Cuatro pasos para empezar a segmentar (sin romper la empresa)

Cualquier sysadmin sabe que aplicar segmentación estricta en una red que lleva 10 años funcionando de forma plana da pánico. Un puerto bloqueado en el momento inoportuno y el ERP antiguo de la empresa deja de funcionar. Para hacerlo con criterio, sigue este orden:

  1. Inventario (No puedes proteger lo que no ves): Antes de tocar un solo cable o regla, mapea quién habla con quién. Qué puertos necesitan las impresoras, hacia dónde apunta el software de nóminas y qué servidores necesitan salida a Internet (la mayoría no deberían tenerla).
  2. Separar lo obvio (La fruta madura): Empieza aislando lo que no tiene por qué hablar con la red corporativa. La Wi-Fi de invitados, las Smart TVs de las salas de reuniones y las cámaras de seguridad deben ir a VLANs que solo tengan salida a Internet o al grabador, sin acceso a la red de usuarios.
  3. Aislar la «joya de la corona»: El siguiente paso es crear una red aislada para tus copias de seguridad (los backups) y bases de datos críticas. Ningún PC de usuario debería poder hacer ping ni tener visibilidad de red hacia el servidor que almacena tus copias de seguridad. Jamás.
  4. El modo «escucha» (Log and Warn): Cuando vayas a aislar servidores de producción, crea primero las reglas en el cortafuegos pero ponlas en modo registro (log only). Deja pasar el tráfico, pero regístralo. Tras unas semanas, analiza los logs para ver qué conexiones legítimas habrías roto. Ajusta las reglas y, solo entonces, cambia a modo bloqueo (Drop/Deny).

El error imperdonable: Crear VLANs y dejar la regla «Any-Any»

Este es, con mucha diferencia, el error de configuración más habitual que encontramos en las auditorías de red.

Las VLANs operan en la Capa 2 del Modelo OSI (enlace de datos). Para que los equipos de la VLAN de Usuarios hablen con la VLAN de Servidores, el tráfico tiene que pasar por un enrutador o un cortafuegos (Capa 3).

Muchos técnicos crean las VLANs en los switches, configuran el enrutamiento y, por las prisas o para «evitar problemas temporales», añaden una regla en el cortafuegos que permite tráfico desde Cualquier Origen hacia Cualquier Destino (Allow Any to Any).

Crear VLANs con una regla «Any-Any» equivale a no haber segmentado nada. Tienes los ordenadores agrupados por colores, sí, pero las puertas estancas de nuestro submarino siguen abiertas de par en par. Cada ruta entre VLANs debe estar dictada por una lista de control de acceso (ACL) que solo permita los puertos estrictamente necesarios.

Checklist: ¿Es tu red un coladero?

Si no estás seguro de la madurez de tu infraestructura, hazte estas preguntas:

  • ¿Puede un usuario conectado a la Wi-Fi corporativa acceder a la pantalla de login del servidor de backups o del hipervisor (VMware/Proxmox)?
  • ¿Tienen los servidores de bases de datos salida directa a Internet para navegar o descargar actualizaciones sin pasar por un proxy restrictivo?
  • ¿Si conectas tu portátil en la toma de red de la recepción, puedes escanear las IPs del departamento de finanzas?
  • ¿Las impresoras y los dispositivos IoT están en el mismo segmento de red que los controladores de dominio?

Si has respondido afirmativamente a alguna de estas preguntas, tu red es demasiado plana y estás asumiendo un riesgo crítico.

Conclusión

Segmentar una red en producción es un proyecto complejo que requiere tiempo, paciencia y mantenimiento continuo. Es mucho más cómodo dejar una red plana y confiar en que el antivirus del endpoint lo pare todo, pero esa es una apuesta que acabarás perdiendo.

Frente a atacantes que automatizan sus intrusiones y explotan credenciales robadas a la velocidad de la luz, tu mejor herramienta es ponerles un laberinto de puertas cerradas. Restringe el acceso, aísla tus activos críticos y asume que el perímetro caerá. Cuando lo haga, agradecerás haber sellado las puertas estancas.

Carlos del Río Sáez
Carlos del Río Sáez
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Enfocado en sistemas, IA aplicada y ciberdefensa. Ingeniero informático. Miembro de ISC2 (CC Certified) y Security+ Certified.
Conecta conmigo en LinkedIn

Suscríbete a Rutaciber.com

El objetivo principal de Rutaciber.com es educar en ciberseguridad. Suscríbete aquí y recibe nuevos artículos en tu email 👇

Sin spam, solo nuevos artículos | Política de privacidad

Artículos relacionados...