Un firewall es un sistema que filtra el tráfico de red y decide qué conexiones se permiten y cuáles se bloquean.
La primera línea de defensa que muchos ignoran
Imagina que tu empresa tiene diez empleados y un servidor con información de clientes. Un día, alguien desde internet intenta conectarse directamente a ese servidor en el puerto 3306, que es el puerto de MySQL. Sin un firewall, esa conexión llega sin obstáculos. Con un firewall bien configurado, esa solicitud muere antes de tocar tu servidor. Esa diferencia puede evitar una filtración de datos que te cueste más de $500,000 en multas, pérdida de clientes y tiempo de recuperación.
En la lección anterior aprendiste que el escaneo de puertos es el paso de reconocimiento que precede a casi todos los ataques. El firewall es precisamente la herramienta que convierte ese reconocimiento en información inútil para el atacante.
El sistema FILTRA: cómo funciona un firewall
Puede ayudarte pensar en un firewall como el guardia de seguridad en la entrada de un centro comercial Liverpool. No deja pasar a cualquiera: revisa si cumple ciertas condiciones antes de dar acceso. Los firewalls hacen lo mismo con los paquetes de datos.
El sistema que usamos aquí se llama FILTRA:
- Fuente: ¿de qué dirección IP viene el tráfico?
- Interface: ¿por qué interfaz de red entra o sale?
- Lugar de destino: ¿a qué IP o servidor va dirigido?
- Tipo de protocolo: ¿es TCP, UDP o ICMP?
- Registro: ¿se está guardando un log de lo que pasa?
- Acción: ¿se permite, se bloquea o se rechaza?
Cada vez que configures una regla, recorre mentalmente esos seis puntos. Si omites alguno, tu regla tendrá un hueco.
Firewall de software versus firewall de hardware
Esta es una de las preguntas más frecuentes en empresas medianas de México. La respuesta depende de tu contexto.
Firewall de software
Es un programa que corre en un servidor o computadora. Ejemplos comunes son iptables y nftables en Linux, o el Firewall de Windows Defender. Son económicos y fáciles de instalar.
Una PYME en Guadalajara con cinco equipos puede usar ufw (la interfaz amigable de iptables) en su servidor Ubuntu sin costo adicional. Esta es la configuración mínima para bloquear todo excepto SSH y HTTP:
ufw default deny incoming
ufw default allow outgoing
ufw allow 22/tcp
ufw allow 80/tcp
ufw allow 443/tcp
ufw enable
Con esas cinco líneas, el servidor rechaza cualquier conexión entrante que no sea administración remota (SSH) o tráfico web. El puerto 3306 de MySQL, por ejemplo, queda invisible desde internet.
Ventaja principal: costo cero si ya tienes el servidor. Desventaja principal: si el servidor es comprometido, el firewall también lo es.
Firewall de hardware
Es un dispositivo físico dedicado que se coloca entre tu red interna y el proveedor de internet. Marcas como Fortinet, Palo Alto o el pfSense montado en un equipo Protectli son opciones reales en México. Un firewall Fortinet FortiGate de nivel básico cuesta entre $8,000 y $25,000 según el modelo y el proveedor.
Una empresa como una distribuidora FEMSA con varias sucursales en Monterrey necesita un firewall de hardware porque tiene múltiples VLANs, tráfico de cámaras IP, terminales de punto de venta y acceso remoto de empleados. Un software en un solo servidor no puede manejar esa complejidad con seguridad.
Ventaja principal: funciona de forma independiente; si un servidor es atacado, el firewall sigue activo. Desventaja principal: costo inicial más alto y requiere configuración técnica especializada.
¿Cuándo elegir cada uno?
| Situación | Recomendación |
|---|---|
| Startup con 1–5 empleados y presupuesto limitado | Firewall de software (ufw o Windows Defender) |
| PYME con 10–50 empleados y servidor propio | Combinación: hardware en el perímetro + software en servidores |
| Empresa con múltiples sucursales o VLANs | Firewall de hardware dedicado (Fortinet, pfSense) |
| E-commerce con tráfico variable (como Mercado Libre sellers) | Firewall en la nube o WAF adicional |
Cómo configurar reglas básicas paso a paso
Aquí está el proceso concreto para una PYME típica en México.
Paso 1: Define tu política base. Empieza con "negar todo" y luego abre solo lo necesario. Nunca al revés. Si empiezas permitiendo todo, olvidarás cerrar algo importante.
Paso 2: Identifica qué servicios necesitas exponer. Haz una lista: ¿tienes un servidor web? ¿Correo? ¿Acceso remoto para tus empleados? ¿Una base de datos que solo deben ver servidores internos?
Paso 3: Escribe las reglas de lo más restrictivo a lo más permisivo.
En iptables, las reglas se evalúan en orden. La primera que coincide gana. Ejemplo para un servidor de una papelería en línea:
# Permitir tráfico web
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
# Permitir SSH solo desde la IP de la oficina (ejemplo: 201.144.x.x)
iptables -A INPUT -p tcp --dport 22 -s 201.144.10.5 -j ACCEPT
# Bloquear SSH desde cualquier otra IP
iptables -A INPUT -p tcp --dport 22 -j DROP
# Bloquear todo lo demás
iptables -A INPUT -j DROP
Esta configuración expone el sitio web al mundo, pero solo permite administración remota desde la IP fija de la oficina. Cualquier intento de escaneo desde internet encontrará silencio.
Paso 4: Activa el registro (logging).
Sin logs, tu firewall es ciego. Registra al menos las conexiones bloqueadas. En iptables:
iptables -A INPUT -j LOG --log-prefix "FIREWALL-DROP: " --log-level 4
iptables -A INPUT -j DROP
Esos registros te avisan si alguien está escaneando tus puertos repetidamente, lo que en la lección anterior identificamos como la señal de advertencia más temprana de un ataque en preparación.
Paso 5: Prueba antes de aplicar en producción.
Usa iptables -n -L -v para listar todas tus reglas y verificar que el orden es correcto. Nunca hagas cambios en un servidor de producción sin probar primero en un ambiente de pruebas.
Errores comunes que debes evitar
Error 1: Abrir rangos amplios de IPs. Muchos administradores escriben reglas como "permitir todo desde 0.0.0.0/0 al puerto 22". Eso significa que cualquier persona en el mundo puede intentar conectarse por SSH. Limita siempre a las IPs que realmente necesitan acceso.
Error 2: No actualizar las reglas cuando cambia el equipo. Una empresa de logística en Ciudad de México tenía una regla que permitía acceso remoto desde la IP de un empleado que renunció hace dos años. Esa IP fue reasignada por el ISP a otro cliente. Alguien externo tenía acceso sin saberlo. Revisa tus reglas cada vez que un empleado cambia de puesto o deja la empresa.
Error 3: Confundir el firewall con seguridad completa. El firewall filtra el tráfico de red, pero no detecta malware dentro de archivos, no protege contraseñas débiles y no evita que un empleado abra un correo de phishing. Es una capa de defensa, no la única. Recuerda la cadena de ataque: escaneo → phishing → movimiento lateral. El firewall frena el escaneo, pero necesitas otras herramientas para el phishing.
Error 4: No guardar las reglas de forma persistente.
En Linux, las reglas de iptables se pierden al reiniciar si no las guardas. Usa iptables-save > /etc/iptables/rules.v4 para que persistan. Muchos administradores descubren este error cuando el servidor reinicia a las 3 AM por una actualización automática y el firewall queda vacío hasta el lunes.
Error 5: Olvidar el tráfico de salida. La mayoría de los ataques modernos necesitan que el servidor comprometido "llame a casa" para recibir instrucciones. Si bloqueas conexiones salientes no autorizadas, limitas severamente el daño que un malware puede hacer incluso si ya está dentro.
Aplica esto hoy mismo
Si administras un servidor Linux, ejecuta ufw status ahora mismo. Si ves Status: inactive, tu servidor no tiene protección activa de firewall. Actívalo con los comandos que vimos y revisa qué puertos tienes abiertos con ss -tlnp.
Si administras una red con más de diez equipos, haz una auditoría de tus reglas esta semana. Busca reglas que permitan rangos amplios de IPs o puertos sensibles como 3306, 5432 o 27017 expuestos a internet.
Un firewall bien configurado no solo bloquea ataques — te da visibilidad sobre quién está intentando entrar a tu red antes de que lo logre.