¿Qué es un cortafuegos?
Un cortafuegos es un dispositivo de seguridad de red basado en hardware o software que supervisa, analiza y filtra el tráfico web entrante y saliente en función de un conjunto de reglas y protocolos de seguridad establecidos. Los cortafuegos actúan a modo de pasarelas entre las redes internas y externas, impidiendo así que se difunda malware, bloqueando intentos de hackeo y protegiendo el dispositivo contra otro tipo de amenazas en línea.
El término «cortafuegos» procede del tipo de pared que se instala en los edificios para contener los incendios e impedir que el fuego se extienda. De forma similar, al ser la primera línea de defensa de ciberseguridad para la red, los cortafuegos de internet son barreras o cuellos de botella que permiten canalizar e inspeccionar el tráfico web mediante un conjunto específico de parámetros programados antes de que se cuele en una red.
Métodos de funcionamiento de un cortafuegos
Hay distintas formas de uso y gestión de los cortafuegos para las redes:
Cortafuegos basados en hardware
Los cortafuegos basados en hardware son dispositivos físicos que actúan a modo de protecciones para la red. Inspeccionan todo el tráfico entrante de internet mediante la comprobación de las direcciones IP utilizadas. Si el cortafuegos detecta que el tráfico procede de direcciones web sospechosas o peligrosas conocidas, o bien se dirige a esas direcciones, lo bloquea. Esto permite impedir que distintos tipos de hackers consigan un acceso no autorizado.
Estos tipos de cortafuegos contienen software especial que genera una barrera protectora entre la red local e internet. Algunos cortafuegos basados en hardware pueden incluso bloquear puertos USB no utilizados para impedir un mal uso de los mismos, como copiar datos del sistema sin su permiso.
Cortafuegos basados en software
Los cortafuegos basados en software son bastante similares a los basados en hardware, pero no requieren ningún equipo físico. Por el contrario, son programas que se ejecutan de forma digital en dispositivos o equipos de la red.
Muchos dispositivos con Microsoft Windows o Mac incluyen cortafuegos preinstalados. También se pueden instalar cortafuegos basados en software en los servidores para ofrecer protección en línea a toda una red.
Cortafuegos en la nube (FWaaS)
Los cortafuegos en la nube, o cortafuegos como servicio (FWaas), son cortafuegos basados en software que se alojan en la nube en lugar de en dispositivos locales. De este modo, proporcionan seguridad en la nube para los activos de la nube mediante el filtrado y la restricción del tráfico perjudicial de internet. Los cortafuegos en la nube son más fáciles de escalar que los tradicionales basados en software y hardware porque es fácil añadir o eliminar usuarios y servidores.
Además de proteger los activos de la nube, los cortafuegos en la nube pueden proteger los servidores y los dispositivos de trabajo remotos. Para ello, utilizan aplicaciones basadas en la nube para supervisar el tráfico y bloquear a los posibles atacantes, proporcionando así protección a distintos entornos.
¿Por qué son tan importantes los cortafuegos?
Los cortafuegos son fundamentales para proteger la infraestructura de red porque suponen una primera línea de defensa contra las amenazas en línea. Mediante la supervisión y el control del tráfico de red entrante y saliente, los cortafuegos protegen los dispositivos y datos frente al tráfico malicioso de internet y los intentos de hackeo.
Sin la protección de los cortafuegos, los usuarios y las empresas son más vulnerables frente a las siguientes amenazas.
-
Filtraciones de datos: Intentos de robo de datos confidenciales por parte de hackers, por ejemplo, mediante sniffers.
-
Amenazas de malware: software malicioso (como virus) diseñados para provocar daños, robar datos o conseguir un acceso no autorizado.
-
Robo de identidad: robo de información personal confidencial o datos financieros.
-
Ataques DDoS: intentos malintencionados y deliberados de saturar los servidores o las redes e interrumpir el funcionamiento normal de una organización o una red.
-
Explotación de equipos: puntos débiles de un equipo o una red que permiten que un ciberdelincuente consiga acceso no autorizado para robar datos, difundir malware o conseguir otros objetivos perversos.
-
Amenazas internas: empleados o personal interno que provoca filtraciones internas tanto de forma intencionada como sin querer.
¿Cómo funciona un cortafuegos?
Los cortafuegos supervisan el tráfico de internet relacionado con intentos de acceder a un equipo o una red, o salir de ellos, mediante los puertos, que son los puntos en los que se transfieren los paquetes de datos y fluye la comunicación. A modo de pasarela, el cortafuegos protege las redes y los dispositivos mediante el filtrado de tráfico potencialmente peligroso, sospechoso o cuestionable al mismo tiempo que permite el paso de comunicaciones.
Los cortafuegos supervisan el tráfico entrante y saliente para proteger las redes.
Durante este proceso, se comprueban los paquetes de datos entrantes en base a unas reglas de seguridad predefinidas. Entre estas reglas se incluyen factores como el origen y el destino de la información, el contenido del paquete y los tipos de protocolos de internet (TCP/IP, ICMP, HTTP, DNS y UDP) que se utilizan.
El cortafuegos utiliza estas reglas para comprobar si los datos entrantes o salientes cumplen los criterios establecidos. Si los datos no cumplen los criterios, el cortafuegos los bloquea para que no accedan al dispositivo o la red, y para que tampoco salgan.
Las siete capas de un cortafuegos
Los cortafuegos tienen capacidades y funciones de seguridad únicas, y están configurados para funcionar con distintas capas del modelo de Interconexión de Sistemas Abiertos (OSI). El modelo OSI es un marco normalizado que describe cómo se transmiten los datos por una red para que distintos sistemas informáticos puedan comunicarse entre ellos.
El sistema de comunicación del modelo OSI se divide en siete capas, y cada una de ellas se apila sobre la capa anterior. Cada capa cumple una función única dentro de la pila de comunicación y se comunica con las capas contiguas. Los cortafuegos de la capa de aplicación (la capa 7) se consideran los más avanzados porque controlan cómo llega la información a los usuarios finales.
Veamos las siete capas de un cortafuegos con detalle:
-
La capa física: consta del hardware que transfiere los datos, como los de conmutadores, routers y cables, para convertirlos a un formato de codificación sencillo de forma que todos los dispositivos puedan interpretar correctamente la información digital.
-
La capa de enlace de datos: coordina la transferencia de datos entre dos dispositivos que usan la misma red. Durante la gestión del control del flujo de datos y la detección de errores, los paquetes de datos se desglosan en partes más pequeñas a las que llamamos marcos.
-
La capa de red: permite la transferencia de datos cuando dos redes diferentes se comunican y elige la ruta de datos físicos óptima. Es fundamental para conectar dispositivos que no se encuentran en la misma red local.
-
La capa de transporte: se encarga de la comunicación de extremo a extremo de dispositivos que se comunican entre ellos. Desglosa los datos en partes más pequeñas para su transmisión y es la capa responsable del reensamblaje de los datos, el control del flujo y la comprobación de errores en el extremo receptor.
-
La capa de sesión: supervisa la apertura, el mantenimiento y el cierre de la comunicación de red entre dos dispositivos y sincroniza la transferencia de los datos. En el caso de que se produzca una interrupción, utiliza los puntos de comprobación en las transferencias de datos para reanudar las sesiones a partir del punto más reciente.
-
La capa de presentación: es la responsable de preparar los datos para la capa de aplicación. Para ello, convierte, cifra o descifra, o comprime los datos. También se conoce como la capa de conversión, y garantiza que se puedan comprender y proteger los datos de distintos sistemas.
-
La capa de aplicación: es la capa más cercana al usuario final y se encarga de iniciar la comunicación entre el usuario y las aplicaciones de software que utilizan, como el correo electrónico y los navegadores web. Los datos se convierten a una sintaxis legible para el usuario.
¿Qué tipos de cortafuegos hay?
Los principales tipos de cortafuegos son los cortafuegos de filtrado de paquetes, los cortafuegos de inspección con estado, las pasarelas de nivel de aplicación, las pasarelas de nivel de circuito, los cortafuegos de administración unificada de amenazas, los cortafuegos de última generación, los cortafuegos nativos de la nube y los cortafuegos de traducción de direcciones de red.
Veamos los distintos tipos de cortafuegos y en qué capas del modelo OSI se encuentran.
Cortafuegos de filtrado de paquetes
Los cortafuegos de filtrado de paquetes funcionan en la capa de red (la capa 3) y examinan los paquetes de datos desde los puntos de entrada de una red. Los paquetes se evalúan mediante reglas predefinidas, como TCP/IP, UDP e ICMP, incluidos el tipo de puerto de destino en uso, el tipo de paquete y la dirección IP de destino.
Estos datos indican de dónde procede la comunicación, quién es el remitente y si está protegida. Los paquetes que cumplen los protocolos pueden pasar; los que no, se bloquean.
Los cortafuegos de filtrado de paquetes analizan paquetes de datos para determinar su grado de seguridad.
Cortafuegos de inspección con estado
Los cortafuegos de inspección con estado, también conocidos como cortafuegos de filtrado dinámico de paquetes, supervisan las conexiones habituales y las guardan para usarlas luego. Este tipo de cortafuegos funciona principalmente en la capa de transporte (la capa 4). También permite o bloquea el tráfico en función de ciertas propiedades técnicas, como protocolos de paquetes, direcciones IP o puertos específicos.
Estos cortafuegos son únicos porque controlan y filtran las conexiones en función de su estado ayudándose de una tabla de estados. Para ello, revisan las reglas de filtrado en función de los eventos de conexión pasados registrados en la tabla de estados, y esto les ayuda a tomar mejores decisiones sobre si permitir o bloquear el tráfico.
Cortafuegos de nivel de aplicación (cortafuegos de proxy)
Los cortafuegos de nivel de aplicación, también conocidos como cortafuegos de proxy, supervisan y responden ante amenazas para proteger la seguridad de las aplicaciones y los programas. Este tipo de cortafuegos controla cómo se filtran los mensajes y cómo es el flujo de intercambio de datos en la capa de aplicación (la capa 7).
Los cortafuegos de proxy funcionan a modo de pasarelas entre los usuarios y los programas, y el internet público. El tráfico entrante y saliente se analiza al cruzar la pasarela para determinar si es malintencionado o sospechoso.
Cortafuegos de pasarela a nivel de circuito
Los cortafuegos de pasarela a nivel de circuito funcionan principalmente en la capa de sesión (la capa 5), y gestionan y validan las sesiones de TCP/UDP. Estos cortafuegos establecen una conexión o «circuito virtual» después de confirmar que el inicio de la sesión se adhiere a unas reglas de seguridad predefinidas. Una vez establecidas las reglas, estos cortafuegos permiten el tráfico entre los hosts de confianza sin necesidad de inspeccionar todos los paquetes.
El propósito de este enfoque es mejorar el rendimiento, pero el aspecto negativo es que los cortafuegos de pasarela a nivel de circuito dejan las conexiones sin supervisar, y esto puede representar riesgos; por ejemplo, una conexión abierta podría permitir que un agente malicioso consiguiera acceso no autorizado sin que nos diéramos cuenta.
Cortafuegos de administración unificada de amenazas (UTM)
Los cortafuegos de administración unificada de amenazas (UTM) son funciones de seguridad que se integran dentro de un dispositivo de red o una pasarela de seguridad. Estos dispositivos funcionan en distintas capas del modelo OSI, pero se asocian principalmente a la capa de red (la capa 3). Incluyen diversas funciones de seguridad, como antivirus, filtrado de contenido, filtrado web y del correo electrónico, antispam y mucho más.
Con los cortafuegos de tipo UTM, las empresas pueden consolidar fácilmente sus servicios de seguridad informática en un único dispositivo, simplificando así en gran medida la protección en línea de la organización. Esta función facilita la supervisión de las amenazas entrantes y la actividad sospechosa gracias a una única ventana donde se tiene visibilidad de todos los elementos de una arquitectura de seguridad o inalámbrica.
Cortafuegos de última generación (NGFW)
Los cortafuegos de última generación (NGFW) combinan la inspección de paquetes con controles de seguridad específicos que proporcionan los cortafuegos con estado. Estos cortafuegos ofrecen otras capacidades únicas, como la inspección del tráfico cifrado, que permite analizar datos cifrados y detectar actividades maliciosas ocultas.
Los NGFW funcionan en distintos niveles de las operaciones de red, sobre todo en la capa de red (capa 3), la capa de transporte (capa 4) y la capa de aplicación (capa 7). Su capacidad de funcionar en la capa de aplicación aporta a estos cortafuegos un mayor control, lo que les permite proporcionar protección frente a amenazas más modernas y sofisticadas.
NGFW centrado en las amenazas
Un cortafuegos NGWF centrado en las amenazas es un tipo de NGWF más avanzado con una mayor inteligencia sobre amenazas, lo que permite acabar con amenazas nuevas y nunca vistas de manera rápida. Su enfoque proactivo lo hace especialmente útil para la protección de redes donde las amenazas están en constante evolución.
Cortafuegos nativo de la nube
Los cortafuegos nativos de la nube modernos funcionan desde la capa de red (la capa 3) hasta la capa de aplicación (la capa 7). Proporcionan seguridad de red a entornos en la nube y ofrecen flexibilidad al estar disponibles dentro de regiones en la nube y en una amplia variedad de zonas. No requieren comprobaciones de mantenimiento por parte del cliente porque la gestión es responsabilidad del proveedor de nube.
Los cortafuegos nativos de la nube se consideran sólidas opciones para aquellas empresas que buscan ampliar sus operaciones en la nube de forma rápida y segura.
Cortafuegos de traducción de direcciones de red (NAT)
La traducción de direcciones de red (NAT) no solo se relaciona con un tipo de cortafuegos, sino que es más bien un método utilizado por los routers para convertir las direcciones IP entre redes públicas (externas) y privadas (internas). El enfoque NAT incluye capacidades de cortafuegos que controlan el tráfico a nivel de router y protegen las redes privadas.
Las redes privadas pueden usar direcciones IP internas no rastreables que se asignan a una o más direcciones IP públicas, todo ello con la ayuda de NAT. Esto quiere decir que una sola dirección IP pública puede representar a muchos equipos dentro de una red privada, ocultando así la configuración de red interna del mundo exterior.
¿Qué cortafuegos es mejor para mí?
Para uso doméstico, lo mejor es elegir un router con funciones de cortafuegos integradas o instalar un cortafuegos de software que venga con protección antivirus, como AVG Free Antivirus. Es importante utilizar un software antivirus para poder detectar y neutralizar el malware que de otra forma omitiría el cortafuegos, por ejemplo, el malware relacionado con la falsificación de direcciones IP y los ataques de botnet. Además, utilizar una red privada virtual le proporciona una capa adicional de privacidad que le permite ocultar su actividad en línea.
¿Necesito un cortafuegos si ya tengo un antivirus?
Los cortafuegos y el software antivirus son herramientas únicas e independientes que sirven para cosas diferentes. Aunque ambas herramientas de software para la ciberseguridad son complementarias, no son iguales. El software antivirus localiza y elimina virus y otro tipo de amenazas en línea, mientras que los cortafuegos actúan a modo de pasarelas seguras para inspeccionar y filtrar el tráfico de internet sospechoso que intenta acceder a una red privada.
Sin embargo, aunque los cortafuegos y los antivirus son dos cosas distintas, algunas aplicaciones de ciberseguridad más completas, como AVG Free Antivirus para PC combinan ambas tecnologías. AVG bloqueó un promedio de 4500 ataques por minuto en 2023. Descargue AVG Free Antivirus ahora mismo para darle a su dispositivo la protección que merece.
Breve historia de los cortafuegos
A finales de la década de los 80, a medida que internet se volvía cada vez más accesible y era cada vez más utilizado, empezaron a aparecer los primeros cortafuegos para abordar las preocupaciones sobre la seguridad de la red. En un primer momento, estos sistemas de supervisión de la red se centraban en el filtrado básico de paquetes, pero, con el tiempo, han evolucionado hasta convertirse en herramientas más sofisticadas capaces de inspeccionar más profundamente los paquetes y detectar y prevenir amenazas de forma más avanzada.
Aquí tiene un pequeño resumen de la historia de los cortafuegos de red:
-
Finales de la década de los 80: Los primeros cortafuegos eran simples filtros de paquetes que se desarrollaron para combatir el aumento de las amenazas contra la seguridad de la red. Muy pronto aparecieron las pasarelas a nivel de circuito para ofrecer un filtrado basado en las sesiones.
-
Principios de los 90: Mientras internet crecía rápidamente, se desarrolló nueva tecnología de cortafuegos, como los de inspección con estado, para combatir la aparición de nuevos tipos de amenazas. El concepto de traducción de direcciones de red también se introdujo a principios de los 90 y empezó a implementarse en los routers por estas fechas.
-
Mediados de los 90: Se crearon cortafuegos que funcionaran en la capa de aplicación del modelo OSI para añadir protección frente a ataques que tenían como objetivo las vulnerabilidades de las aplicaciones.
-
Principios de los 2000: Aparecen los cortafuegos de administración unificada de amenazas para integrar distintas funciones de seguridad en un solo dispositivo.
-
Finales de los 2000: Con los cortafuegos de última generación llegaron más funciones de seguridad, como la inspección profunda de paquetes y técnicas avanzadas de prevención contra amenazas, como el sandboxing.
-
Finales del 2010/década de 2020: El rápido crecimiento de la informática en la nube impulsó el desarrollo de los cortafuegos nativos de la nube para proteger los entornos en la nube.
Proteja su red con protección de primera clase
Los cortafuegos son esenciales para proteger las redes contra las amenazas en línea, pero no son escudos de seguridad inquebrantables que defiendan al usuario frente a la gran variedad de amenazas que existen hoy en día. Para proteger su dispositivo, puede usar AVG Free Antivirus, un paquete integral de seguridad que combina un cortafuegos, un sólido software antivirus y otras funciones de seguridad, como un escudo de correo electrónico y protección contra phishing.