Por qué es importante revisar los puertos que tienes abiertos en tu router

El router es el guardián y portero de tu red local frente a la vasta inmensidad de internet y todos sus habitantes, buenos y malos. Por eso es buena idea comprobar los puertos abiertos en tu router.

Los puertos abiertos en el router permiten la interacción con la red local desde internet. Si una fuente externa detecta alguna vulnerabilidad en la protección de la red local, podría ganar acceso a nuestros ordenadores y hacerse con datos sensibles, instalar malware, etc.

En este artículo, explicamos en detalle cómo funcionan las redes locales, qué son los puertos abiertos y por qué es importante comprobar los puertos abiertos en tu router.

¿Cómo funcionan las redes locales?

El acceso a internet desde una casa u oficina está proporcionado a través de un router que instala el proveedor de la conexión. Este router tiene WiFi para ofrecer internet de manera inalámbrica y bocas de cable Ethernet (RJ45) para conectarnos de manera directa mediante cable.

Todos los dispositivos conectados al router, ya sea por cable o por WiFi, forman parte de una red local. En la red local, cada dispositivo tiene una dirección IP privada, interna de la red, generalmente 192.168.1.X, y todos se conectan e interactúan con internet a través del router.

El router tiene una única dirección IP, llamada IP pública, que proporciona el proveedor de internet. Si no se contrata de manera adicional, esta IP no es fija; es decir, puede cambiar en el futuro ante un reinicio del router, por ejemplo.

El número de direcciones IP públicas es limitado por lo que, en algunos casos, los proveedores de internet implementan una tecnología llamada CG-NAT (Carrier-Grade NAT), que permite compartir una misma dirección IP pública entre múltiples usuarios. Esto se logra asignando direcciones IP privadas a los dispositivos de cada usuario dentro de una red gestionada por el proveedor.

Aunque esta técnica optimiza el uso de direcciones IP públicas, puede generar problemas en aplicaciones que requieren una conexión directa, como videojuegos en línea, cámaras de vigilancia o servidores domésticos, ya que dificulta la apertura y redirección de puertos específicos.

Desde la red local, todos los dispositivos son capaces de acceder a cualquier servicio de internet. El router utiliza la IP local de origen de las comunicaciones para saber quién quiere acceder a un lugar y envía las peticiones desde la IP pública de internet. La información devuelta de internet llega a quien la solicitó de la misma manera, pero siempre con comunicaciones iniciadas desde los ordenadores de la red local, con su IP local.

Si, por el contrario, quisiésemos acceder a un ordenador de dentro de la red local desde internet, el problema que nos encontramos es que únicamente tenemos la IP pública del router. Pero para acceder al ordenador específico, necesitamos que el router sepa con quién queremos conectarnos de los dispositivos de la red local, para poder transmitir los datos de la IP de internet a la IP local de ese ordenador.

Ahora que sabemos lo básico de cómo funcionan las comunicaciones desde una red local a internet y viceversa, nos queda entender qué es un puerto.

¿Qué son los puertos abiertos?

Cuando visitamos una página web, lo que realmente ocurre es que se realiza una petición a un servidor a un servicio concreto. Un mismo ordenador puede tener múltiples servicios diferentes, ofreciéndolos simultáneamente. Esto es posible porque cada servicio tiene asociado un número. Este número es lo que se llama puerto.

Para entendernos, un ordenador puede tener hasta 65531 puertos. En cada puerto, puede haber un servicio. Y estos servicios, dependiendo del tipo que sean, tienen un número asociado. Estos números se rigen por estándares, por lo que un determinado servicio siempre tiene el mismo número.

En este ejemplo, si un ordenador tiene un servidor web, lo que tiene es un servicio en el puerto 80. De esta manera, cuando alguien quiera ver la web de ese servidor, lo que hace es conectarse al puerto 80 y ahí es donde accede a la web.

Los puertos facilitan la conexión con dispositivos dentro de una red local

Sin embargo, recordemos la limitación del router de que, desde fuera, no se puede acceder directamente a un ordenador de dentro de la red. Para ello, debemos abrir un puerto y redirigir las conexiones desde internet por esa vía a un servicio concreto que está ejecutándose en un dispositivo que tiene una IP determinada de la red local.

En el ejemplo anterior, podemos hacer que el router abra el puerto 80 y decirle que todas las conexiones que se realicen desde internet a ese puerto las redirija al ordenador de la red interna con la IP 192.168.1.123, que es donde está el servidor web funcionando.

Es importante aclarar que, hoy en día, un usuario medio no necesita abrir puertos en el router. La tecnología ha avanzado lo suficiente como para que existan alternativas para realizar ciertas tareas que históricamente sí necesitaban puertos abiertos.

Un puerto abierto no controlado es un riesgo de seguridad

El tener un puerto abierto, de por sí, no entraña ningún problema de seguridad. La problemática viene dada por lo que hay detrás de ese puerto. Es decir, qué aplicación o servicio es la que está respondiendo a las comunicaciones a través de ese puerto abierto.

Tener un puerto abierto expone a internet servicios o aplicaciones que se ejecutan en tu ordenador o en alguno de los dispositivos conectados a tu red local. Eso significa que cualquiera puede interactuar con nuestro ordenador desde internet.

Si el servicio que tenemos expuesto está mal configurado, tiene o se descubre algún fallo de seguridad, cualquier persona desde cualquier parte del mundo podrá acceder a nuestros ordenadores, con las consecuencias que eso conlleva.

Si un delincuente es capaz de localizar un servicio vulnerable expuesto por algún puerto abierto en tu router, puede explotarlo, tomar el control del dispositivo y, a partir de ahí, tomar el control de la red, realizar ataques desde tu dirección, etc.

Encontrar vulnerabilidades es más fácil de lo que crees. Existen buscadores de aplicaciones expuestas en internet, como Shodan, donde se pueden buscar servicios expuestos a través de puertos abiertos. Este tipo de herramientas es ampliamente usado para buscar servicios vulnerables y explotarlos.

Cómo identificar y controlar los puertos abiertos en un router doméstico

Hay dos maneras principales para identificar y comprobar los puertos abiertos en tu router:

1. Configuración del router: La primera es mirar la configuración del router y ver qué puertos están abiertos y hacia qué servicios están dirigidos.
2. Escáner de puertos: Si no es posible mirar en el router o si se desea una doble comprobación, la manera de evaluar qué tiene mi router abierto es realizar un escaneo de puertos contra mi IP de internet. Existen servicios online que permiten realizar este proceso e indican si hay algún puerto abierto e incluso información adicional sobre qué servicio está ejecutándose.

Para conocer nuestra dirección IP publica, basta con buscar «what is my ip address» en Google y el propio buscador nos dirá cuál es nuestra dirección IP.

Si dispones de otra conexión a internet, puedes hacer lo mismo con herramientas como Nmap, que te permite escanear todo el rango de puertos y te dará mucha información.

Por defecto, un router instalado por un proveedor de telefonía no cuenta con ningún puerto abierto. Aun así, no está de más revisar periódicamente si esta configuración ha cambiado.

Por qué debes tener un control adecuado de los puertos abiertos

La regla de oro es: si no lo necesitas, no abras un puerto en tu router.

Al no exponer servicios a internet, nuestro router hará de cortafuegos y todos los intentos de ataque quedarán en nada, ya que la superficie de ataque es nula al no exponer ninguna aplicación a internet que pueda ser susceptible de ser atacada. Cabe destacar que excusas como «no tengo nada importante en mi ordenador» o «solo lo uso para jugar» no te eximen de problemas.

No bajes la guardia: aunque no tengas nada que robarte, tu ordenador puede servir de lanzadera para ciberataques

Aunque en tu dispositivo no haya información sensible que puedan robarte, los ciberdelincuentes pueden utilizarlo para realizar ataques en los que tú apareces como el remitente. Desde ese momento, y aunque seas inocente, tendrás que dar explicaciones y te verás inmerso en un proceso nada agradable.