Un sistema IDS detecta actividad sospechosa en tu red y te avisa; un sistema IPS hace lo mismo, pero además bloquea la amenaza de forma automática.
Cuando el enemigo ya está adentro
Imagina que eres el responsable de TI en una distribuidora en Guadalajara. Un martes por la tarde, un empleado abre un correo falso que simula ser del SAT. En segundos, un programa malicioso empieza a escanear los equipos internos buscando contraseñas. Sin un sistema de detección, nadie se entera hasta que el daño ya está hecho.
Ese es exactamente el problema que resuelven los sistemas IDS e IPS. No esperan a que el antivirus reaccione. Monitorean el tráfico de red en tiempo real y detectan patrones de ataque antes de que se conviertan en una crisis.
En México, incidentes como ese ocurren todos los días en empresas de todos los tamaños, desde talleres familiares hasta corporativos como FEMSA o Liverpool. La pregunta no es si te van a atacar, sino si vas a estar listo cuando suceda.
El sistema de vigilancia de tu red: IDS vs. IPS
Piensa en tu red como un edificio. El IDS es el guardia que observa las cámaras y grita "¡hay un intruso!". El IPS es el guardia que además cierra la puerta automáticamente y llama a la policía.
Esta es la diferencia clave entre ambos:
| Característica | IDS | IPS |
|---|---|---|
| ¿Detecta amenazas? | Sí | Sí |
| ¿Bloquea ataques? | No | Sí |
| ¿Genera alertas? | Sí | Sí |
| ¿Puede interrumpir tráfico legítimo? | No | Sí (riesgo de falsos positivos) |
| Posición en la red | Pasiva (modo espejo) | Activa (en línea) |
Un IDS va colocado "fuera de línea": recibe una copia del tráfico y analiza sin interferir. Un IPS va "en línea": todo el tráfico pasa por él antes de llegar a su destino.
Ambos usan dos métodos principales para detectar amenazas:
Detección por firmas: Compara el tráfico contra una base de datos de ataques conocidos. Es como buscar la huella digital de un criminal en el sistema. Muy eficaz contra amenazas conocidas, pero no detecta ataques nuevos.
Detección por anomalías: Aprende cómo es el comportamiento normal de tu red y genera alerta cuando algo se sale de ese patrón. Si normalmente tu servidor envía 500 MB por noche y de repente envía 50 GB, eso es una anomalía.
Herramientas reales que puedes usar hoy
No necesitas un presupuesto millonario para implementar IDS/IPS. Estas son las opciones más usadas en México:
Snort: Es gratuito, de código abierto y muy popular en empresas medianas. Fue creado por Cisco y tiene una comunidad enorme de reglas actualizadas. Funciona como IDS o IPS según cómo lo configures.
Suricata: También es gratuito y más moderno que Snort. Aprovecha múltiples núcleos del procesador, lo que lo hace más rápido en redes con mucho tráfico. Muchas empresas en México lo usan junto con Elastic Stack para visualizar las alertas.
Zeek (antes Bro): No bloquea tráfico, pero genera registros detallados del comportamiento de la red. Es ideal para análisis forense después de un incidente.
Una empresa de e-commerce con operaciones similares a Mercado Libre, por ejemplo, podría usar Suricata en sus servidores de producción para detectar intentos de extracción masiva de datos de tarjetas de crédito.
Cómo leer una alerta de IDS sin entrar en pánico
Una de las habilidades más valiosas en seguridad de redes es saber interpretar alertas. La mayoría de los sistemas novatos se ahogan en cientos de alertas sin saber cuáles son urgentes.
Una alerta típica de Snort se ve así:
[**] [1:1000001:1] Posible escaneo de puertos detectado [**]
[Priority: 2]
03/15-14:32:10.123456 192.168.1.105:54321 -> 10.0.0.1:22
TCP TTL:64 TOS:0x0 ID:12345 IpLen:20 DgmLen:60
Esto te dice: a las 14:32 del 15 de marzo, la IP interna 192.168.1.105 intentó conectarse al puerto 22 (SSH) del servidor 10.0.0.1. La prioridad 2 indica que es moderadamente urgente.
Ahora la pregunta clave: ¿es una amenaza real o un falso positivo?
Falsos positivos vs. amenazas reales: la diferencia que importa
Este es el reto más frustrante en el trabajo diario con IDS/IPS. Un falso positivo es cuando el sistema genera una alerta sobre actividad completamente legítima.
Ejemplo real: En una empresa de distribución de alimentos como Bimbo, el sistema de inventarios hace conexiones automatizadas a las 3:00 AM para sincronizar datos entre plantas. Si el IDS no sabe que eso es normal, va a generar decenas de alertas cada noche. El equipo de TI pierde tiempo investigando algo que no es un ataque.
Usa este proceso de tres pasos para clasificar cada alerta:
Paso 1 — Verifica el contexto: ¿La IP origen es interna o externa? ¿Es un equipo conocido? ¿El horario tiene sentido para la actividad detectada?
Paso 2 — Cruza con otros registros: Revisa los logs del firewall, del servidor y del sistema de autenticación. Si solo el IDS genera la alerta pero nada más parece raro, probablemente es un falso positivo.
Paso 3 — Evalúa el impacto potencial: Si la actividad sospechosa apunta a un servidor con datos de clientes o información financiera, trata la alerta como real hasta demostrar lo contrario. El costo de ignorar una amenaza real siempre es mayor.
Errores comunes al implementar IDS/IPS
Muchos equipos de TI cometen los mismos errores cuando implementan estos sistemas por primera vez.
Error 1 — Instalar y olvidar: Un IDS sin actualización de reglas es como un antivirus sin actualizaciones. Las amenazas evolucionan todos los días. Programa actualizaciones automáticas de reglas al menos cada 24 horas.
Error 2 — Poner el IPS en modo bloqueo desde el primer día: Comienza en modo detección (IDS). Observa el tráfico de tu red durante dos o tres semanas. Identifica qué alertas son falsos positivos frecuentes. Solo entonces activa el modo bloqueo (IPS). Si no haces esto, vas a bloquear tráfico legítimo y vas a tener empleados sin acceso a sus herramientas de trabajo en horario laboral.
Error 3 — No definir quién responde a las alertas: Las alertas no se responden solas. Necesitas un procedimiento claro: ¿quién revisa las alertas de prioridad alta? ¿En cuánto tiempo? ¿Qué hace si confirma un ataque? Sin este proceso, el IDS se convierte en ruido de fondo que nadie atiende.
Error 4 — Ignorar el tráfico cifrado: Si tu red usa TLS (como vimos en la lección anterior), el IDS no puede inspeccionar el contenido de las conexiones cifradas sin una configuración adicional de inspección SSL. Esto es un punto ciego importante que los atacantes aprovechan.
Cómo implementar tu primer IDS en cuatro pasos
Si trabajas en una empresa mediana en México y quieres empezar hoy, sigue este proceso:
Paso 1: Instala Suricata en un servidor Linux dedicado. Conecta ese servidor a un puerto espejo (SPAN) del switch principal para que reciba una copia de todo el tráfico.
Paso 2: Descarga las reglas de Emerging Threats (gratuitas) y actívalas en Suricata. Estas reglas cubren los ataques más comunes en redes empresariales.
Paso 3: Conecta Suricata con una herramienta de visualización como Kibana o Grafana. Así puedes ver las alertas en un tablero visual en lugar de leer archivos de texto.
Paso 4: Define un umbral de alerta. Por ejemplo: si una IP interna genera más de 50 conexiones fallidas en un minuto, eso activa una alerta de alta prioridad. Ajusta esos umbrales según el comportamiento normal de tu red.
Una empresa con una nómina mensual de entre $80,000 y $200,000 puede implementar esta solución con hardware existente sin costo adicional de licencias. El único costo es el tiempo del equipo de TI.
El principio que lo une todo
Un IDS sin proceso de respuesta es solo ruido; un IPS sin calibración es un arma que puede apuntar hacia adentro — la clave está en conocer tu red antes de defenderla.