El papel del firewall en la seguridad física e informática: evolución e implementación
Derechos de autor: TECNOSeguro

El papel del firewall en la seguridad física e informática: evolución e implementación

En el cambiante panorama de la ciberseguridad, el firewall ha pasado de ser un simple guardián perimetral a convertirse en un componente esencial dentro de las estrategias modernas de Zero Trust. Esta evolución tecnológica, que abarca desde los primeros filtros de paquetes hasta los firewalls de próxima generación y servicios en la nube, redefine la forma en que las organizaciones protegen sus redes, identidades y datos críticos frente a las amenazas actuales. 

En esta nota revisamos esta temática teniendo en cuenta:

Evolución del Firewall

En el ecosistema empresarial contemporáneo, donde la conectividad lo es todo, el firewall (o cortafuegos) se mantiene como un pilar inmutable de la ciberseguridad. Definido como un sistema fundamental de seguridad de red, implementado ya sea como un dispositivo de hardware dedicado o una solución de software, su propósito esencial es establecer una barrera controlada que separa dos o más redes con distintos niveles de confianza. Tradicionalmente, esta barrera se ha situado entre la red interna segura y el vasto e incierto Internet.

La función primordial de este sistema es monitorear, restringir y permitir el flujo de tráfico de red basándose en un conjunto estricto de reglas predefinidas. Al actuar como un punto de control central, su objetivo es fundamentalmente preventivo: bloquear el tráfico no autorizado, proteger los activos de la red y neutralizar ciberataques.

Sin embargo, el concepto dual de "confianza interna vs. desconfianza externa" ha sido cuestionado por la adopción de la nube, el trabajo híbrido y la computación móvil, factores que han disuelto el perímetro tradicional de la red. Esta evolución ha transformado al firewall de una especie de guardián del perímetro físico a un intermediario de acceso lógico, cuya función principal es ahora proteger identidades o cargas de trabajo específicas. Este cambio da sustento a la filosofía de Confianza Cero (Zero Trust), la cual exige que cada intento de conexión sea validado, bajo el principio de que ningún tráfico es inherentemente confiable, ni siquiera el interno.

Tipos y generalidades sobre firewalls

La evolución de la tecnología de firewall no ha significado un reemplazo, sino una acumulación estratégica de capacidades, una respuesta directa al desplazamiento de las amenazas hacia las capas de aplicación.

Evolución generacional en el modelo OSI de capa 3 a capa 7

Firewalls de filtrado de paquetes (sin estado / stateless): Este es el tipo más básico, operando en las capas de red (OSI 3) y transporte (OSI 4). Simplemente inspecciona los encabezados como dirección IP, puerto, protocolo y los compara con una lista de reglas generalmente estáticas. Su limitación principal es ser “sin estado”; es decir, trata cada paquete de forma aislada, sin memoria del contexto de la conexión, haciéndolo fundamentalmente inseguro en el panorama actual.

Firewalls de inspección de estado (stateful): Introduciendo el concepto de inspección de estado, estos firewalls mantienen una "tabla de estado" para rastrear conexiones activas y legítimas. Esta capacidad les otorga contexto, permitiendo automáticamente el tráfico de respuesta a una solicitud interna mientras bloquean el tráfico no solicitado proveniente del exterior, lo que los hace significativamente más seguros.

Gateways de nivel de aplicación (proxy): Estos operan en la Capa 7 (Aplicación) del modelo OSI, actuando como un intermediario o proxy. El cliente se conecta al proxy, y este inicia una conexión completamente nueva con el servidor externo. Esta terminación dual permite la inspección más profunda del contenido del tráfico y la aplicación de políticas granulares, aunque puede introducir latencia.

Firewalls de próxima generación (NGFW): Representan la convergencia de todas las generaciones anteriores en una sola plataforma de alto rendimiento. Un NGFW comienza con la inspección de estado y añade funciones críticas como:

  • Inspección profunda de paquetes (DPI) para analizar el contenido del paquete 
  • Control de aplicaciones para identificar y gestionar aplicaciones específicas (como BitTorrent o Salesforce) independientemente del puerto que utilicen
  • Integración nativa de un Sistema de Prevención de Intrusiones o IPS.

Factores de forma según el tipo de implementación

La elección de la implementación depende del problema de tráfico que se intenta resolver.

Firewalls físicos o hardware

TECNOSeguroPRO Firewall 1Firewall Trend Micro EdgeFire 1012. Fuente: trenddefense.com

Son dispositivos físicos diseñados específicamente para la inspección de tráfico de alta velocidad. Su rol es anclar el control de seguridad en un límite de red físico y son la mejor opción para el tráfico de alto volumen que entra y sale del centro de datos (tráfico norte-sur).

Firewalls de software o virtuales

TECNOSeguroPRO Firewall 2Sophos XG Firewall. Fuente: enterpriseav.com

Instancias de software que se ejecutan en servidores estándar o máquinas virtuales. Son esenciales para la microsegmentación y para controlar el tráfico este-oeste (la comunicación interna entre máquinas virtuales) dentro de entornos virtuales, un punto ciego para los firewalls de hardware.

Firewall como servicio (FWaaS)

TECNOSeguroPRO Firewall 3FortiGate-as-a-Service (FGaaS). Fuente: fortinet.com

Una solución nativa de la nube, a menudo integrada en arquitecturas SASE (Acceso Seguro a los Servicos en el Borde). Su rol es extender la protección a usuarios remotos, entornos de trabajo híbridos y aplicaciones en la nube. Ofrece escalabilidad y flexibilidad, con la gestión y mantenimiento a cargo del proveedor.

Una estrategia de seguridad moderna utiliza un enfoque híbrido, combinando estos factores de forma para resolver problemas de tráfico en el perímetro, la segmentación interna y el acceso remoto.

Seguridad informática vs. Seguridad electrónica o física

El firewall desempeña un papel dual en la protección de activos, extendiéndose desde el dominio de la tecnología de la información (TI) hasta la tecnología operacional (OT) y los sistemas físicos.

Dominio de TI (seguridad informática)

En la red corporativa, el firewall es la primera línea de defensa. Su función primaria es proteger los datos críticos al filtrar activamente comunicaciones dañinas, bloqueando malware, intentos de intrusión de ransomware y accesos remotos no autorizados.

Además, el firewall es la herramienta que impone la política de uso aceptable de la organización. Puede ejercer un control granular, por ejemplo, al restringir el acceso de los empleados a servicios web no productivos como plataformas de streaming o redes sociales.

Es crucial mencionar el firewall de host, que es un software que se ejecuta directamente en un dispositivo final o endpoint, como una computadora o servidor. Este es un componente clave de una estrategia de defensa en capas. Si una amenaza logra evadir el perímetro (el firewall de red), el firewall de host actúa como la última defensa, impidiendo que la amenaza se propague lateralmente a otros dispositivos internos.

Dominio de OT (seguridad electrónica y física)

En entornos de control industrial, la prioridad absoluta es la disponibilidad y la seguridad física, lo que invierte el enfoque de la seguridad de TI.

  • Sistemas de videovigilancia (Cámaras IP y VMS): Dado que estos sistemas de seguridad física están conectados a la red, el firewall es vital para minimizar la infección por virus y spyware, prevenir que atacantes externos manipulen o vean las transmisiones de video sensibles y reducir la superficie de ataque al controlar estrictamente los puertos abiertos.
  • Entornos industriales (SCADA e ICS): El rol principal en este contexto es la segmentación estricta, orientada a proteger la integridad de los procesos físicos. Basándose en el Modelo Purdue, los firewalls se implementan para crear zonas y conductos, siendo la más relevante la zona desmilitarizada (DMZ). Esta DMZ actúa como una barrera entre la red de TI y la red de OT, garantizando que amenazas como el ransomware no puedan desplazarse lateralmente ni comprometer los sistemas de control físico o de producción, como los PLC.
  • Dispositivos IoT: Los firewalls de IoT son cruciales para gestionar el riesgo de estos dispositivos inherentemente inseguros. Limitan el impacto de un dispositivo comprometido, evitando que se utilice para atacar otros sistemas o que participe en una botnet. Especialmente útiles en industria 4.0 

Cuándo y cómo aplicar Firewalls

La implementación exitosa de un firewall es, ante todo, un ejercicio de planificación y política. Un dispositivo avanzado sin reglas claras genera una falsa, y peligrosa, sensación de seguridad.

Estrategias de despliegue

La implementación ya no se limita al perímetro:

  1. Firewall Perimetral: La ubicación tradicional. Actúa como la única puerta de entrada/salida entre la red interna e Internet. Su función es inspeccionar todo el tráfico norte-sur o el tráfico que cruza la frontera y encarna la filosofía de "castillo y foso".
  2. Segmentación de red: Divide la red interna en subredes o VLANs lógicas. Los firewalls se colocan entre estos segmentos para gestionar el acceso interno. Esto ayuda a contener las amenazas si un segmento de bajo riesgo es comprometido, impidiendo el movimiento lateral hacia zonas de alto riesgo (p.ej., servidores de bases de datos).
  3. Microsegmentación (Zero Trust): La aplicación más granular de la segmentación. Divide la red en segmentos diminutos (a veces una sola carga de trabajo). Resuelve el problema del tráfico este-oeste o movimiento lateral dentro de una misma VLAN. Utiliza firewalls virtuales para aplicar políticas de seguridad directamente a nivel de la carga de trabajo, haciendo de cada recurso un perímetro propio.

Fases del proyecto de implementación

  1. Fase de planificación: Esta es la más crítica. Se debe evaluar la postura de seguridad y los activos críticos. El paso fundamental es definir la política general de seguridad de la organización. A partir de esta política, se debe definir la filosofía del firewall. La mejor práctica recomendada es el principio de mínimo privilegio, que se traduce en una política de "denegar todo por defecto", permitiendo solo el tráfico estrictamente necesario.
  2. Fase de diseño: Diseñar la arquitectura (dónde se ubican los firewalls) y definir con precisión las comunicaciones y aplicaciones permitidas. Es vital establecer una línea base del tráfico normal de la red. Esto permite establecer umbrales de protección sin causar interrupciones operativas.
  3. Fase de puesta en marcha: Configuración inicial del dispositivo e implementación de zonas de seguridad (interna, externa, DMZ). La clave es aplicar las reglas de acceso (ACL) comenzando con el "denegar todo" y añadiendo las excepciones de "permitir" necesarias. La seguridad es un proceso continuo (planificar,hacer, verificar, actuar) y las reglas deben ser monitoreadas y actualizadas de forma regular.

Funciones clave: Configuración esencial en proyectos de seguridad

La configuración de un proyecto de firewall moderno implica habilitar varias capas de funcionalidad interconectadas.

1. Control de acceso: Listas de control de acceso (ACL)

Las ACL son, literalmente, el cerebro operativo del firewall. Son una lista secuencial de reglas de permiso o denegación aplicadas al tráfico. El firewall compara cada paquete con las reglas de la ACL en orden, y al coincidir con una regla, la aplica y detiene el procesamiento.

Las reglas estándar se basan en la inspección de la tupla de 5 elementos: 

  • IP de origen
  • IP de destino
  • Puerto de origen
  • Puerto de destino
  • Protocolo

La implementación correcta, siguiendo el principio de mínimo privilegio, requiere que la última regla —aunque no sea visible— sea una “denegación implícita”, la cual bloquea todo paquete que no coincida con una regla de permiso explícito.

2. Gestión de servicios de red perimetrales

El firewall es el punto natural para gestionar servicios de puerta de enlace:

  • Traducción de direcciones de red (NAT): Esta técnica reescribe las direcciones IP en el encabezado de los paquetes, permitiendo que múltiples dispositivos dentro de una red privada (con direcciones internas) compartan una única dirección IP pública para acceder a Internet. Además, ofrece un beneficio de seguridad al ocultar la estructura interna de la red frente al exterior, lo que dificulta que los atacantes identifiquen o apunten a dispositivos específicos.
  • Red privada virtual (VPN): El firewall se configura como puerta de enlace VPN (VPN gateway). Es el responsable de establecer la conexión segura y cifrada —o túnel VPN— que autentica a los usuarios remotos, como empleados fuera de la oficina, y les permite acceder de forma segura a los recursos de la red interna.

3. Prevención avanzada de amenazas (Funciones NGFW)

La seguridad moderna reside en las funciones de próxima generación:

  • Sistema de Prevención de Intrusiones (IPS): A diferencia del IDS (que solo alerta), el IPS se implementa "en línea". Su función es detectar y bloquear activamente el tráfico malicioso en tiempo real que coincide con patrones de ataque conocidos o firmas, previniendo que la intrusión tenga éxito.
  • Filtrado de aplicaciones y contenido: Es una capacidad definitoria del NGFW. Permite que el administrador identifique la aplicación real (capa 7), incluso si está usando un puerto no estándar. Esto permite crear políticas granulares, como bloquear el uso de categorías específicas de sitios web (por ejemplo, "Juegos de Azar" o "Malware") o restringir ciertas aplicaciones P2P o de redes sociales a grupos de usuarios específicos.

Conclusión: La política define la protección

El firewall ha evolucionado de ser un filtro básico en el borde de la red a convertirse en una función de seguridad consciente del contexto y la identidad, un facilitador dinámico de la arquitectura de Confianza Cero. La tecnología de próxima generación busca resolver este desafío técnico mediante la integración de inspección profunda de contenido (DPI), prevención de intrusiones (IPS) y control de aplicaciones.

No obstante, en el ámbito de los proyectos de seguridad, el éxito de un firewall no depende de la potencia de su hardware o software, sino de la calidad de la política que lo respalda. En esencia, un firewall es un motor de aplicación de reglas; si la organización no mantiene una política de seguridad clara, bien definida y activamente gestionada, incluso el sistema más avanzado se convierte en una caja costosa que brinda una peligrosa ilusión de seguridad.

El verdadero triunfo de la protección se logra en la fase de planificación, estableciendo un marco de mínimo privilegio que garantice que solo el tráfico estrictamente necesario pueda fluir.

Jairo Rojas Campo

Ing. Electrónico de la Pontificia Universidad Javeriana, especialista en Gerencia de Proyectos, con experiencia como líder de gestión de proyectos en varias empresas reconocidas del gremio de seguridad en el país desde el 2001. Cuenta con múltiples certificaciones en seguridad electrónica en las líneas de CCTV, sistemas de alarmas de intrusión, detección de incendio, controles de acceso, plataformas de integración entre otras.

Actualmente realiza actividades orientadas a la transferencia de su conocimiento y experiencia a equipos de trabajo del sector, realiza diseño y especificación de proyectos. Apasionado por el ciclismo de ruta y ciclo montañismo.

Artículos relacionados

Lo más Valorado

Sobre TECNOSeguro

TECNOSeguro es la publicación on-line líder en audiencia para las industrias de las tecnologías de la seguridad de habla hispana. Una completa guía con información clave para profesionales de seguridad y TI, integradores, instaladores, consultores y distribuidores.

 

Redes Sociales:

NUESTROS BOLETINES INFORMATIVOS

Manténgase actualizado con las últimas tendencias y tecnologías de la industria de la seguridad. Regístrese gratuitamente para recibir nuestros boletines en su bandeja de email.

Regístrese Gratis