Una red es un conjunto de dispositivos conectados entre sí para compartir información, y cada punto de esa conexión puede ser una puerta de entrada para un atacante.
El día que el sistema de Liverpool dejó de responder
Imagina que trabajas en el área de TI de Liverpool. Son las 11 de la mañana del Buen Fin. De repente, los cajeros dejan de procesar pagos. Los vendedores no pueden consultar inventario. Los clientes hacen fila y nadie sabe qué pasa. Después de dos horas, descubres que alguien entró a la red a través de un switch mal configurado en la bodega. Ese es el costo de no conocer tu propia infraestructura.
El Sistema de Capas: cómo viaja la información en una red
Para entender los puntos vulnerables, primero necesitas entender cómo funciona una red por dentro. Usa este modelo mental: una red es como el sistema de distribución de Bimbo. Hay fábricas, rutas, vehículos y puntos de entrega. Si falla cualquier parte del camino, el pan no llega.
En una red, los datos viajan en paquetes pequeños. Cada paquete tiene una dirección de origen y una de destino, igual que una caja con remitente y destinatario.
Los componentes principales son cuatro:
Routers
El router es el "coordinador de rutas" de tu red. Decide por dónde viajan los paquetes de datos. Cuando un empleado de FEMSA en Monterrey se conecta al servidor central en Ciudad de México, el router elige el camino más eficiente. Un router mal configurado puede enviar tráfico por rutas inseguras o permitir acceso no autorizado desde internet.
Switches
El switch conecta dispositivos dentro de la misma red local. En una oficina de Mercado Libre, el switch une computadoras, impresoras y teléfonos IP. Si alguien conecta un dispositivo no autorizado al switch, puede interceptar tráfico interno. Este ataque se llama "man-in-the-middle" y es más común de lo que crees.
Firewalls
El firewall es el guardia de seguridad de tu red. Revisa cada paquete que entra y sale, y decide si lo deja pasar según reglas definidas. Un firewall mal configurado —con reglas demasiado permisivas— es peor que no tener firewall, porque da una falsa sensación de seguridad.
Protocolos
Los protocolos son los idiomas que usan los dispositivos para comunicarse. Los más comunes son TCP/IP, HTTP, HTTPS, DNS y FTP. Algunos protocolos son seguros por diseño (HTTPS cifra la comunicación). Otros, como HTTP o FTP, transmiten datos en texto plano, lo que significa que cualquiera en la red puede leerlos.
El Mapa de Vulnerabilidades: dónde atacan los delincuentes
Ahora que conoces los componentes, aquí está el sistema concreto para identificar puntos vulnerables. Llámalo el Mapa de Superficie de Ataque. Tienes cuatro zonas críticas:
Zona 1 — El perímetro (routers y conexión a internet)
Esta es la primera línea. Un router con contraseña de fábrica (como "admin/admin") es la vulnerabilidad número uno en pequeñas empresas mexicanas. El INAI ha documentado brechas de datos donde el acceso inicial fue precisamente un router con configuración predeterminada. Cambiar la contraseña, deshabilitar el acceso remoto innecesario y actualizar el firmware son los tres pasos básicos.
Zona 2 — La red interna (switches y dispositivos)
Aquí vive la mayoría del tráfico sensible: bases de datos de clientes, sistemas de nómina conectados al IMSS, información fiscal del SAT. Un switch sin segmentación de red significa que una computadora comprometida en el área de marketing puede ver el tráfico del área de finanzas. La solución es crear VLANs (redes virtuales separadas) para aislar departamentos.
Zona 3 — Los protocolos y servicios expuestos
Cada servicio que expones a internet es una posible entrada. ¿Tienes un servidor FTP abierto? ¿Un servidor web con HTTP sin cifrar? ¿Un puerto de escritorio remoto (RDP) expuesto? Un escáner de puertos básico —herramienta que cualquier atacante usa en los primeros minutos— detecta todos estos servicios en segundos. Lo que no necesitas, ciérralo.
Zona 4 — Los usuarios y sus dispositivos
El factor humano es siempre el punto más vulnerable. Un empleado que conecta su USB personal en una computadora de Bimbo puede introducir malware a toda la red. Un trabajador remoto que usa WiFi público sin VPN expone credenciales corporativas. Las políticas de uso aceptable y la capacitación constante no son opcionales — son parte de la infraestructura de seguridad.
Tres escenarios reales para entender el riesgo
Escenario 1 — El router olvidado: Una distribuidora de FEMSA en Guadalajara instala un router nuevo pero nunca da de baja el anterior. Ese router viejo, con firmware sin actualizar, sigue conectado en un cuarto de servidores. Un atacante lo detecta desde internet, entra con las credenciales de fábrica y accede a toda la red interna. Costo del incidente: semanas de investigación forense y notificación al INAI.
Escenario 2 — El protocolo inseguro: El equipo de logística de una empresa usa FTP para transferir manifiestos de envío entre sucursales. Un analista de seguridad hace una auditoría básica con Wireshark (herramienta gratuita de análisis de tráfico) y captura, en texto plano, nombres de usuario, contraseñas y datos de clientes. Nadie había cuestionado ese proceso en cinco años.
Escenario 3 — La VLAN que nunca se creó: Una tienda departamental tiene su sistema de punto de venta y su red de invitados WiFi en la misma subred. Un cliente con conocimientos técnicos conecta su laptop a la red de invitados y empieza a "escuchar" el tráfico de las terminales de pago. Los datos de tarjetas de crédito de cientos de clientes quedan expuestos. Una segmentación básica de red habría impedido esto por completo.
Cómo hacer tu primer inventario de red
Aplicar lo que aprendiste es más sencillo de lo que parece. Sigue estos pasos para identificar los puntos vulnerables de cualquier red:
Lista todos los dispositivos conectados. Usa herramientas como Nmap o el panel de administración de tu router para ver qué está en la red. Si no sabes qué hay conectado, no puedes defenderlo.
Identifica qué servicios están expuestos. Busca puertos abiertos en dispositivos críticos. Los más riesgosos suelen ser: 21 (FTP), 23 (Telnet), 3389 (RDP) y 8080 (HTTP alternativo).
Verifica las contraseñas de dispositivos de red. Revisa routers, switches administrables y firewalls. Si alguno tiene contraseña predeterminada, cámbiala de inmediato.
Documenta la arquitectura. Dibuja un diagrama simple: qué se conecta a qué, qué protocolos usa cada servicio, qué zonas están separadas. Este mapa es tu punto de referencia para toda decisión de seguridad futura.
Identifica datos sensibles y dónde residen. Los sistemas conectados al SAT, al IMSS o que almacenan datos de clientes bajo la LFPDPPP necesitan protección adicional. Saber dónde están te permite priorizar.
Errores comunes al analizar una red
Muchos profesionales cometen estos errores al evaluar su infraestructura:
- Asumir que el firewall lo protege todo. Un firewall solo bloquea lo que está configurado para bloquear. El tráfico interno entre departamentos generalmente no pasa por el firewall.
- Ignorar dispositivos IoT. Cámaras de seguridad, termostatos y lectores de tarjetas también son computadoras conectadas a la red. Muchas tienen firmware sin actualizar y contraseñas débiles.
- Confundir seguridad con oscuridad. Cambiar el puerto de un servicio no lo hace seguro. Un atacante con un escáner de puertos lo encuentra en minutos de todas formas.
- No revisar la red WiFi de invitados. Si está en la misma subred que los sistemas internos, no es una red de invitados — es una puerta trasera.
La arquitectura que no puedes ver es la que te pone en riesgo
Conocer tu red no es un lujo técnico — es el requisito mínimo para poder defenderla.
Cada componente que identificas, cada protocolo que revisas y cada dispositivo que inventarias es un paso concreto hacia una postura de seguridad real. En la siguiente lección vas a aprender sobre los tipos de amenazas más comunes que aprovechan exactamente estas vulnerabilidades.