¿Qué es la seguridad de cortafuegos? Protección de su infraestructura

Un cortafuegos es una solución de seguridad de red que protege su red del tráfico no deseado. Los cortafuegos bloquean las amenazas entrantes, como el malware, basándose en un conjunto de reglas programadas previamente. Los cortafuegos modernos también incluyen funciones adicionales, como sistemas de prevención de intrusiones (IPS) y filtrado de URL, que permiten a los equipos de seguridad aumentar las reglas para impedir que los usuarios de la red accedan a determinados sitios web y aplicaciones.

La principal diferencia entre un NGFW y un WAF es que un NGFW supervisa principalmente el tráfico saliente y los flujos de retorno resultantes para evitar que los riesgos vuelvan a la empresa. Por otro lado, un WAF protege las aplicaciones web de las amenazas entrantes.

Los cortafuegos se basan en la sencilla idea de que el tráfico de red procedente de entornos menos seguros —como fuentes externas conectadas a través de Internet— debe autenticarse e inspeccionarse antes de pasar a un entorno más seguro. De este modo se evita que usuarios, dispositivos y aplicaciones no autorizados entren en un entorno o segmento de red protegido. Sin cortafuegos, los ordenadores y dispositivos de su red pueden ser susceptibles a los piratas informáticos y convertirle en un blanco fácil de ataques. Sin embargo, con la adopción generalizada de aplicaciones basadas en la nube y SaaS, el perímetro de la red se ha disuelto en gran medida.

La mayoría de las organizaciones utilizan soluciones de seguridad adicionales junto con la implementación de cortafuegos para ayudar a garantizar la protección en el complejo y cambiante panorama actual de las ciberamenazas, pero los cortafuegos siguen considerándose un elemento básico para crear un sistema de ciberseguridad adecuado.

Como parte de la primera línea de defensa contra los ciberataques, los cortafuegos ofrecen una supervisión y filtrado esenciales de todo el tráfico, incluido el tráfico saliente, el tráfico de la capa de aplicación, las transacciones en línea, las comunicaciones y la conectividad —como IPSec o SSL VPN— y los flujos de trabajo dinámicos. La configuración adecuada del cortafuegos también es esencial, ya que las funciones predeterminadas pueden no ofrecer la máxima protección contra los ciberataques. Los cortafuegos modernos, como los NGFW, pueden agrupar estas funciones.

El panorama digital actual es cada vez más complejo porque cada vez hay más dispositivos, usuarios y aplicaciones que atraviesan los perímetros de la red, incluido el creciente volumen de dispositivos del Internet de las cosas (IoT) y de los usuarios finales. También asistimos a un menor control centralizado general por parte de los equipos de TI y de seguridad.

Todo esto puede dejar a las empresas más vulnerables a los ciberataques, lo que significa que es esencial entender cómo funcionan los cortafuegos, qué tipos hay disponibles y cuáles son los mejores para proteger las distintas áreas de su red.

Cada tipo de cortafuegos tiene sus puntos fuertes y débiles, y las organizaciones suelen utilizar una combinación de estos tipos para crear una estrategia de defensa por capas a nivel de red. Existen cinco tipos principales de cortafuegos que ofrecen niveles de protección progresivamente más avanzados.

1. Cortafuegos de filtrado de paquetes: Estos cortafuegos examinan los «paquetes» de datos a su paso por la red. Analizan la información de la cabecera del paquete, como las direcciones IP de origen y destino, los puertos y los protocolos. Basándose en reglas predefinidas, permiten o bloquean los paquetes. Los cortafuegos de filtrado de paquetes son relativamente sencillos y eficientes, pero carecen de la capacidad de inspeccionar el contenido de los paquetes.
   
2. Cortafuegos de inspección de estado: Combinan el enfoque de filtrado de paquetes con capacidades adicionales. Mantienen un registro del estado de las conexiones de red y utilizan esta información para tomar decisiones más informadas sobre la autorización o el bloqueo de paquetes. Dado que rastrean el estado de las conexiones, pueden identificar y proteger contra ciertos tipos de ataques, como la suplantación de IP.
3. Puertas de enlace a nivel de aplicación (cortafuegos proxy): Las puertas de enlace a nivel de aplicación, también conocidas como cortafuegos proxy, operan en la capa de aplicación de la pila de red. Actúan como intermediarios entre clientes y servidores, inspeccionando y filtrando el tráfico a nivel de aplicación. Pueden analizar el contenido de los paquetes, lo que las hace más eficaces a la hora de detectar y bloquear tipos específicos de amenazas. A veces, sin embargo, una organización notará que la función proxy puede provocar latencia.
4. Cortafuegos de nueva generación (NGFW): Estas soluciones agrupan funciones como cortafuegos de red, IPS, filtrado de URL/Secure Web Gateway, prevención de malware y conectividad VPN, y sirven como herramienta principal en las defensas empresariales.
5. Cortafuegos de aplicaciones web (WAF): Los WAF son un parche fundamental para mitigar vulnerabilidades críticas que, de otro modo, podrían tener un impacto devastador en una organización. Los WAF modernos utilizan una combinación de firmas, inteligencia de amenazas y análisis de comportamiento y pueden defender contra una variedad de amenazas, incluida la denegación de servicio de aplicaciones (DoS de capa 7) y la exposición de datos sensibles, como la información de identificación personal (PII).

Los cortafuegos siguen siendo una defensa relevante y fiable contra las ciberamenazas. A continuación le explicamos cómo funcionan para ayudarle a impedir el acceso no autorizado a su red.

Todos conocemos los peligros de hacer clic en enlaces desconocidos o en anuncios emergentes mientras navegamos, pero eso no basta para mantener seguros nuestros dispositivos y nuestra red. Por eso, un cortafuegos es la primera línea de defensa para proteger nuestra red y nuestros datos.

Los cortafuegos ayudan a filtrar y bloquear el acceso de posibles piratas informáticos a sus datos confidenciales. Hay muchos tipos de cortafuegos que utilizan diferentes estrategias para mantener segura su información. Los cortafuegos también protegen su ordenador de software malintencionado, que puede crear todo tipo de problemas de seguridad.

Los cortafuegos están configurados para defenderse de una amplia variedad de amenazas potenciales para su red y su sistema. A continuación se enumeran algunas de las principales amenazas para cuya neutralización están diseñados.

• Acceso no autorizado: Los cortafuegos protegen su red del acceso no autorizado de piratas informáticos que utilizan diversas herramientas para entrar, como , puertas traseras, ataques de denegación de servicio (DoS), inicios de sesión remotos, correos electrónicos de phishing, ingeniería social y spam.
• Ciberamenazas: Los cortafuegos actúan como guardianes y están diseñados para mitigar amenazas externas como los virus^. Inspeccionan y autentican todos los paquetes de datos del tráfico de red antes de permitir que pasen a un entorno más seguro.

El filtrado de tráfico en la capa de aplicación es una medida de seguridad que permite controlar lo que entra o sale de una red a un nivel más granular en comparación con el filtrado de paquetes tradicional. Mientras que el filtrado de paquetes puede bloquear o permitir tipos específicos de tráfico basándose en direcciones IP y números de puerto, este enfoque va más allá al examinar el contenido real de los datos.

El cortafuegos de la capa de aplicación le permite filtrar el tráfico basado en protocolos de capa de aplicación, como SMTP, POP3, DNS y HTTP. De este modo, puede ayudar a prevenir ataques que se basan en vulnerabilidades de estos protocolos, como desbordamientos de búfer, ataques a servidores web y código de ataque oculto en túneles SSL.

El filtrado de tráfico en la capa de aplicación también permite:

• Prevenir ataques a la capa de aplicación: Al analizar el contenido de los paquetes de datos, el cortafuegos de la capa de aplicación puede detectar y bloquear el tráfico malintencionado que no cumpla las normas o aproveche vulnerabilidades de los protocolos de la capa de aplicación.
• Proteger contra la fuga de datos: Al inspeccionar el contenido de los paquetes de datos, el cortafuegos de la capa de aplicación puede detectar y bloquear la salida de información confidencial de la red.
• Controlar el acceso a aplicaciones específicas: El cortafuegos de la capa de aplicación le permite permitir o denegar el tráfico de forma selectiva en función de la aplicación o protocolo específico utilizado.
• Aplicar políticas de seguridad: El cortafuegos de la capa de aplicación permite definir y aplicar políticas de seguridad en la capa de aplicación, garantizando que solo se permita el tráfico autorizado.

Los cortafuegos son un arma clave para prevenir diversas ciberamenazas.

Los cortafuegos ayudan a mitigar los ataques DDoS identificando y filtrando el tráfico excesivo. Aunque los cortafuegos pueden emplear técnicas como la restricción, el equilibrio de carga y la denegación de listas de direcciones IP para luchar contra los ataques de DDoS, es posible que no puedan distinguir eficazmente entre el tráfico legítimo y el malintencionado. Además, la naturaleza de estado de los cortafuegos y su dependencia de la inspección de paquetes de estado (SPI) los hacen vulnerables a los ataques de agotamiento de estado.

Para protegerse eficazmente, se recomienda implementar una solución inteligente de mitigación de DDoS que funcione sin estado o parcialmente sin estado, o que disponga de sólidas capacidades de gestión y recolección de conexiones.^.Estas soluciones utilizan predominantemente tecnología de procesamiento de paquetes sin estado e integran funciones como la depuración del tráfico en las capas 3, 4 y 7 del modelo OSI. Al tratar cada paquete entrante por separado y sin bloquear todo el tráfico procedente de una dirección IP, estas soluciones pueden mitigar los ataques de DDoS eficazmente. En la mayoría de los casos, la depuración de la nube es necesaria para evitar que el ancho de banda de entrada se agote durante un ataque de DDoS volumétrico.

En cuanto al bloqueo de la infiltración de malware y datos infectados por virus en la red, los cortafuegos pueden proporcionar cierto nivel de protección filtrando el tráfico entrante en función de reglas de seguridad predeterminadas. Pueden bloquear direcciones IP malintencionadas conocidas, restringir el acceso a determinados puertos e inspeccionar los paquetes de red en busca de contenido sospechoso. Sin embargo, los cortafuegos por sí solos no bastan para proporcionar una protección completa contra el malware y los virus.

Para combatir eficazmente las amenazas de malware y virus, las organizaciones suelen emplear una combinación de medidas de seguridad, entre las que se incluyen:

• Software antivirus: El software antivirus examina archivos y programas en busca de firmas de malware conocidas y patrones de comportamiento, ayudando a detectar y eliminar código malintencionado de los sistemas infectados.
• Sistemas de detección/prevención de intrusiones (IDS/IPS): Las soluciones IDS/IPS supervisan el tráfico de red en busca de indicios de actividad malintencionada y pueden bloquear o alertar sobre comportamientos sospechosos.
• Filtrado de correo electrónico: Las soluciones de filtrado de correo electrónico pueden ayudar a evitar que se envíen programas malintencionados y virus a través de archivos adjuntos o enlaces de correo electrónico.
• Educación y concienciación de los usuarios: Educar a los usuarios sobre hábitos de navegación seguros, evitar descargas sospechosas y reconocer los intentos de suplantación de identidad puede reducir significativamente el riesgo de infecciones por programas malintencionados.

Los NGFW modernos se han ampliado hasta convertirse en arquitecturas de seguridad que pueden proporcionar una defensa unificada en la red, la nube, los puntos de conexión y los vectores de amenaza del correo electrónico.

Además, los WAF modernos han evolucionado hasta convertirse en plataformas Web App and API Protection (WAAP) que unifican la seguridad de las aplicaciones, la protección de API, la gestión de bots y la mitigación de DDoS.

Al combinar estas medidas de seguridad con cortafuegos, las organizaciones pueden crear una defensa más sólida contra las amenazas emergentes.

Las redes complejas suelen concebirse como segmentos de red, componentes físicos o lógicos más pequeños de una red mayor. Esto permite a los equipos de seguridad cerrar rápidamente secciones de una red si surge una amenaza y agiliza la gestión de una arquitectura de red empresarial en expansión.

Para que la comunicación fluya entre segmentos, el tráfico pasa por enrutadores o cortafuegos para que se pueda inspeccionar antes de que pase a otros segmentos de la red. Esta estrategia añade redundancias de seguridad en todo el sistema y refuerza la seguridad general de la red.

Colocar cortafuegos en los puntos de entrada y salida de la red ayuda a la seguridad al supervisar y controlar el flujo de tráfico. Aunque las redes internas manejan datos confidenciales, las conexiones entre estas redes pueden ser más permisivas que las conexiones de red entre el tráfico interno y externo. Aun así, hay que tener en cuenta las amenazas de red únicas, ya que los datos confidenciales deben transmitirse con frecuencia entre los usuarios. En cada segmento de red, los equipos de seguridad pueden crear una variedad de límites con distintos grados de protección de seguridad.

Los cortafuegos, tanto físicos como de software, analizan los datos entrantes y salientes mediante reglas creadas y activadas por el proveedor del cortafuegos, su servicio informático u otro software que interactúe con el cortafuegos. Al filtrar estos datos, el cortafuegos puede determinar si el tráfico es legítimo y si debe permitirse su paso hasta su destino final.

Las listas de control de acceso (ACL) son listas ordenadas de permisos que definen el tráfico permitido o denegado por un cortafuegos. Los cortafuegos utilizan las ACL para filtrar el tráfico en función del origen, el destino, el puerto y otros criterios. Las ACL se aplican a las interfaces del cortafuegos, ya sea en la dirección de entrada o de salida. El cortafuegos examina el tráfico que pasa por una parte de la red y toma decisiones en función de las ACL. Los NGFW y WAF tienen en cuenta las aplicaciones y pueden inspeccionar otros aspectos de los flujos de tráfico, como DNS, consultas URL y contenido web.

Las empresas que confían en las conexiones VPN utilizan cortafuegos para ayudar a proteger esas conexiones. Un cortafuegos facilita la VPN actuando como un filtro para el tráfico de su red, impidiendo cualquier caso en el que reciba tráfico entrante de fuentes sospechosas. El cortafuegos protege los datos que se mueven desde su dispositivo y su red frente a las amenazas. Cuando el cortafuegos se instala en la parte trasera de un servidor VPN, se configura con filtros para permitir que solo pasen paquetes específicos de la VPN. Del mismo modo, cuando el cortafuegos se instala en la parte delantera de una VPN, se configura para permitir que solo pasen al servidor los datos del túnel en su interfaz de Internet.

TLS es un protocolo de seguridad ampliamente adoptado y diseñado para facilitar la privacidad y la seguridad de los datos en las comunicaciones a través de Internet. Los cortafuegos pueden configurarse para inspeccionar y filtrar el tráfico de red en la capa de aplicación, incluido el tráfico cifrado con TLS. Al descifrar e inspeccionar el tráfico cifrado con TLS, los cortafuegos pueden analizar el contenido de los paquetes de datos y aplicar políticas de seguridad para proteger frente a amenazas y vulnerabilidades.

Algunos cortafuegos admiten la inspección TLS, que consiste en descifrar el tráfico cifrado con TLS, inspeccionarlo en busca de posibles amenazas o infracciones de las políticas y, a continuación, volver a cifrarlo antes de reenviarlo a su destino. Esto permite al cortafuegos analizar el tráfico cifrado y aplicar medidas de seguridad basadas en el contenido descifrado, como bloquear el tráfico malintencionado o no autorizado. La inspección TLS debe implementarse con cuidado para garantizar la privacidad e integridad de las comunicaciones cifradas.

En el panorama empresarial actual, operar a través de Internet ya no es opcional. Para llegar a clientes y empleados en cualquier lugar y responder a sus solicitudes casi en tiempo real, es indispensable mantener una presencia en línea amplia, fiable y segura. Si su empresa intercambia datos por Internet, incorporar un cortafuegos como parte de su protocolo de seguridad de red es esencial.

Los cortafuegos para conexiones a Internet operan de manera muy similar a los utilizados en redes internas. Cuando un dato intenta ingresar a su red desde Internet, el cortafuegos realiza una primera evaluación. Si determina que el dato es seguro, se le permite el acceso a la red de su empresa; de lo contrario, se bloquea inmediatamente.

Es crucial establecer controles sólidos en los cortafuegos que protegen la red interna de las conexiones externas (Internet). No solo existen riesgos de ataques malintencionados desde fuentes externas, sino que la fuga de datos es una preocupación significativa. Un cortafuegos puede impedir que contenido no deseado o usuarios no autorizados accedan a su red o aplicaciones, además de contribuir a la seguridad mediante la configuración de protocolos y direcciones IP. Está diseñado para proteger sus datos y operaciones en múltiples frentes. Sin embargo, la complejidad de las aplicaciones modernas, impulsada por la transición a sistemas basados en API y una superficie de riesgo cada vez mayor debido a vulnerabilidades, abusos, configuraciones incorrectas y elusión de controles de acceso, demanda defensas más especializadas como las que ofrecen las plataformas WAF y WAAP.

A un nivel más concreto, los cortafuegos actúan como guardianes entre su ordenador o red e Internet. También pueden configurarse para bloquear el tráfico web mediante categorizaciones predefinidas y otras especificaciones, determinando qué tipos de tráfico pueden pasar a través del cortafuegos. Por ejemplo, el filtrado de contenido puede configurarse para bloquear todos los sitios web clasificados como «juegos» o «redes sociales».

El filtrado de URL es una forma de bloquear determinadas URL para que no se carguen en la red de una empresa. Los cortafuegos pueden configurarse para bloquear URL específicas introduciéndolas manualmente o seleccionando categorías de URL que bloquear. Si un empleado intenta visitar una URL bloqueada, se le redirigirá a una página en la que se le notificará que ese contenido está bloqueado.

De este modo, estos cortafuegos proporcionan experiencias de usuario coherentes y fiables, garantizando acceso a todo lo que los usuarios necesitan y bloqueando todo lo que no necesitan.

Dado que los cambios constantes son la norma en Internet, los cortafuegos orientados a Internet pueden enfrentarse a una serie de desafíos que pueden afectar su eficacia. A continuación se mencionan algunos de los más comunes:

• Vulnerabilidades del software: Los cortafuegos, al igual que cualquier software, pueden presentar vulnerabilidades que los atacantes podrían explotar. Las vulnerabilidades del firmware también representan un riesgo, ya que pueden ocasionar brechas de seguridad. Actualizar regularmente tanto el software como el firmware de su cortafuegos es fundamental para abordar las vulnerabilidades conocidas y proteger su red.
  
• Configuración inapropiada: Es una de las principales causas de las infracciones de cortafuegos. Se produce cuando la configuración del cortafuegos es incorrecta debido a un error del usuario o a una investigación insuficiente. Las configuraciones incorrectas pueden dejar a su organización vulnerable a accesos no autorizados, filtraciones de datos e interrupciones imprevistas.
• Dependencia de inteligencia de amenazas exclusiva: Algunos cortafuegos dependen de inteligencia de amenazas exclusiva y cerrada para detectar y bloquear amenazas, lo que limita su capacidad de adaptarse al panorama de amenazas en constante evolución. Es crucial asegurarse de que su cortafuegos tenga acceso a inteligencia de amenazas actualizada y accesible para proteger de manera eficaz su red.
• Ataques a nivel de aplicación: Los cortafuegos de red tradicionales pueden no ser eficaces para detener los ataques a nivel de aplicación que aprovechan vulnerabilidades como el cross-site scripting, la inyección SQL, la navegación forzada y el poisoning de cookies. Estos ataques se dirigen específicamente a las aplicaciones y requieren mecanismos de protección especializados como los cortafuegos de aplicaciones web (WAF) para mitigar los riesgos.
• Conectividad SSL/TLS generalizada: El tráfico de Internet está cifrado en gran medida, y muchos cortafuegos tradicionales y NGFW no están diseñados para realizar el descifrado a gran escala. Además, la mayoría de los ecosistemas de seguridad requieren la inspección de diversas herramientas, lo que hace necesario contar con un agente centralizado de descifrado y cifrado que equilibre la seguridad con la privacidad del usuario.