AlegsaOnline.com

Cortafuegos (firewall): qué es, cómo funciona y tipos clave

Cortafuegos: qué es, cómo funciona y tipos clave para proteger redes, bloquear accesos no autorizados y asegurar tu infraestructura.

Autor: Leandro Alegsa

19-03-2026

En términos de seguridad informática, un cortafuegos (o firewall) es un software o dispositivo que controla y filtra el tráfico de red entre el interior (zona de confianza) y el exterior (zona menos fiable, como la WAN o Internet). Un cortafuegos se coloca entre la red que debe protegerse y la red exterior y aplica un conjunto de reglas que se aplican a cada paquete o conexión. Esas reglas deciden si un paquete o una conexión pueden pasar, si deben registrarse o si se descartan. Cuando se necesita proteger una red grande o crítica, el software del cortafuegos suele ejecutarse en un equipo dedicado o en un appliance que no realiza otras funciones.

Cómo funciona

Un cortafuegos inspecciona el tráfico según distintos criterios: dirección IP de origen/destino, puertos, protocolos, estado de la conexión, contenido de la carga útil y reglas específicas definidas por el administrador. Dependiendo del tipo de cortafuegos, la inspección puede ser:

Filtrado de paquetes (stateless): evalúa cada paquete de forma independiente según reglas simples (IP/puerto/protocolo).
Filtrado con estado (stateful): rastrea el estado de las conexiones (por ejemplo, TCP) para permitir respuestas legítimas sin abrir puertos adicionales.
Proxy o firewall de aplicación: actúa como intermediario en la capa de aplicación, inspeccionando y filtrando el contenido (por ejemplo HTTP/S, FTP) y aplicando políticas más granulares.
Firewall de nueva generación (NGFW): combina inspección profunda de paquetes, control de aplicaciones, prevención de intrusiones (IPS) y correlación con inteligencia de amenazas.

Tipos clave de cortafuegos

Basado en red (Network-based): appliance o software que protege segmentos de red enteros. Ideal para perímetros de empresas.
Host-based (HIPS / software en endpoint): protege un único servidor o equipo, controlando el tráfico hacia y desde ese host.
Firewall perimetral o de borde: se ubica entre la red interna y Internet; suele ser la primera línea de defensa.
Firewall en la nube (Cloud firewall): ofrecido como servicio por proveedores cloud para proteger instancias y redes virtuales.
Web Application Firewall (WAF): especializado en proteger aplicaciones web contra ataques a la capa de aplicación (XSS, SQLi, etc.).
UTM (Unified Threat Management): integra cortafuegos, antivirus, VPN, filtrado web y otras funciones en un solo equipo.

Ubicación y despliegue

El cortafuegos suele colocarse en el perímetro de la red entre el router/gateway y la red interna. También puede haber múltiples cortafuegos internos para segmentar redes (por ejemplo, separar servidores críticos, redes de administración y usuarios). En entornos corporativos, es común usar una combinación de:

Cortafuegos perimetrales para controlar el acceso desde Internet.
Cortafuegos internos para segmentación y contener incidentes.
Firewalls en endpoints y en la nube para proteger recursos específicos.

Reglas y políticas

Las políticas de cortafuegos definen qué tráfico se permite o bloquea. Buenas prácticas incluyen:

Principio de menor privilegio: denegar todo por defecto y permitir solo el tráfico necesario.
Reglas explícitas por puerto, protocolo, origen y destino.
Uso de grupos o etiquetas para simplificar la gestión (por ejemplo, "servidores web").
Registro (logging) y alertas para detectar actividad sospechosa.
Revisión y mantenimiento periódico de las reglas.

Ventajas y limitaciones

Ventajas: control granular del tráfico, reducción de la exposición a ataques, segmentación de la red, capacidad de registrar actividad.
Limitaciones: no protege contra amenazas internas si las reglas son débiles, no reemplaza antivirus ni control de identidad, puede ser el punto de fallo o cuello de botella si no está bien dimensionado.

Mejores prácticas y mantenimiento

Aplicar actualizaciones de firmware y firmas de seguridad regularmente.
Habilitar y revisar logs; integrar con SIEM para correlación de eventos.
Probar reglas en entornos de ensayo antes de aplicarlas en producción.
Usar VPN y autenticación multifactor para accesos remotos.
Realizar auditorías y pruebas de penetración para validar la efectividad.

En resumen, un cortafuegos es una pieza fundamental de la seguridad de red que, bien configurada y mantenida, reduce significativamente el riesgo de accesos no autorizados y ayuda a controlar el flujo de datos entre zonas de confianza y el exterior. Sin embargo, debe formar parte de una estrategia de seguridad en capas que incluya actualizaciones, monitorización, controles en endpoints y buenas prácticas operativas.

Un cortafuegos protege una serie de ordenadores en una LAN contra el acceso no autorizado.

Diferentes tipos de Firewalls.

Filtrado de paquetes / Capa de red

Los datos viajan por Internet en pequeños trozos, llamados paquetes. Cada paquete tiene ciertos metadatos adjuntos, como de dónde viene y a dónde debe enviarse. Lo más fácil es mirar los metadatos. Basándose en las reglas, ciertos paquetes son descartados o rechazados. Todos los cortafuegos pueden hacer esto. Se hace en la capa de red.

Inspección de paquetes con estado

Además del simple filtrado de paquetes (arriba), este tipo de cortafuegos también hace un seguimiento de las conexiones. Un paquete puede ser el inicio de una nueva conexión, o puede ser parte de una conexión existente. Si no es ninguna de las dos cosas, probablemente no sirva para nada y pueda ser descartado.

Cortafuegos de la capa de aplicación

Los cortafuegos de la capa de aplicación no se limitan a mirar los metadatos, sino que también miran los datos reales transportados. Saben cómo funcionan ciertos protocolos, por ejemplo FTP o HTTP. Entonces pueden mirar si los datos que hay en el paquete son válidos (para ese protocolo). Si no lo son, pueden descartarlos.

Otras cosas para las que se utilizan los cortafuegos

Túnel

Los cortafuegos pueden proporcionar una conexión segura entre dos redes. Esto se llama tunnellng. Los datos pueden estar encriptados. Se descifran en el otro extremo. Como los cortafuegos hacen esto, el resto de la red no lo sabe. Una alternativa es proporcionar un acceso seguro (a la red corporativa).

Traducción de direcciones de red (NAT)

Muy a menudo, los cortafuegos pueden traducir las direcciones IP. Así, muchos ordenadores pueden compartir unas pocas direcciones IP públicas. El cortafuegos traduce entre las direcciones IP públicas y las privadas.

Tipos de cortafuegos

En general, hay dos tipos de cortafuegos:

Cortafuegos basados en software: suelen ejecutarse como programas adicionales en ordenadores que se utilizan para otras cosas. A menudo se conocen como cortafuegos personales que pueden ser actualizaciones en ordenadores personales.

Las marcas más destacadas son OPNsense, pfsense, comodo, etc.

Cortafuegos basados en hardware: Los cortafuegos basados en hardware se ejecutan en un ordenador dedicado (o dispositivo). Suelen ofrecer un mejor rendimiento que los cortafuegos de software, pero también son más caros.

Las marcas más destacadas son PaloAlto, WiJungle, Checkpoint, Cisco, etc.

Contra qué no pueden proteger los cortafuegos

Los cortafuegos pueden proteger contra algunos problemas (virus y ataques) que provienen de Internet. No pueden proteger contra los virus que provienen de medios infectados (como un documento de oficina infectado en una unidadflash USB).

Preguntas y respuestas

P: ¿Qué es un cortafuegos?

R: Un cortafuegos es un programa informático utilizado en seguridad informática que supervisa el tráfico de red entre redes fiables y menos fiables y aplica un conjunto de reglas a cada paquete.

P: ¿Qué hace un cortafuegos?

R: Un cortafuegos protege una parte de la red contra el acceso no autorizado aplicando un conjunto de reglas a cada paquete de tráfico de red que pasa por él.

P: ¿Qué redes protege un cortafuegos?

R: Un cortafuegos se coloca entre la red que debe protegerse (de confianza) y la red exterior (menos fiable), como la WAN o Internet.

P: ¿Dónde se coloca el cortafuegos en una red?

R: El cortafuegos se coloca entre la red de confianza y la red exterior (menos fiable), como la WAN o Internet.

P: ¿Qué reglas aplica un cortafuegos?

R: El conjunto de reglas de un cortafuegos determina si un paquete de tráfico de red puede pasar a la red de confianza o si se descarta.

P: ¿Cómo funciona un cortafuegos?

R: El cortafuegos supervisa el tráfico de red que pasa entre las redes de confianza y las de menor confianza y aplica un conjunto de reglas a cada paquete para decidir si puede pasar o no.

P: ¿Protege un cortafuegos toda la red?

R: No, un cortafuegos sólo protege una parte de la red contra el acceso no autorizado.