Los puertos de red son como puertas de entrada y salida por donde fluye la información en tu empresa: correo, web, bases de datos, aplicaciones internas. Pero si esas puertas no están bien resguardadas, también pueden ser la vía de entrada de ciberataques.
En este artículo te explicamos cuáles son los puertos más críticos en seguridad informática, cómo protegerlos y qué prácticas están funcionando hoy para prevenir incidentes reales.
Los puertos más vulnerables (y cómo protegerlos)
| Puerto | Servicio | Riesgo habitual | Recomendación |
|---|---|---|---|
| 80 / 443 | HTTP / HTTPS | Ataques tipo MITM, robo de datos | HTTPS obligatorio, TLS actualizado |
| 22 | SSH | Accesos no autorizados, fuerza bruta | Usa llaves SSH, cambia el puerto |
| 21 | FTP | Filtración de datos, sniffing | Usa SFTP o FTPS |
| 25 | SMTP | Envío de SPAM o phishing | SPF, DKIM y DMARC |
| 53 | DNS | Spoofing, cache poisoning | DNS sobre TLS o DNS interno |
| 110 / 143 | POP3 / IMAP | Robo de credenciales | Solo versiones con SSL/TLS |
| 445 | SMB | Ransomware, propagación lateral | Bloquear SMBv1, segmentar red |
| 389 | LDAP | Exposición de datos internos | Usar LDAPS o TLS |
| 2049 | NFS | Acceso a archivos internos sin control | Solo en redes internas y cifrado |
| 23 | TELNET | Sesiones sin cifrado, sniffing de contraseñas | Evitar su uso, reemplazar por SSH |
| 3389 | RDP | Acceso remoto no controlado | VPN + MFA, desactivar acceso público |
| 465 / 587 | SMTP seguro | Suplantación, mal uso del relay | Requiere autenticación, limitar conexiones |
| 995 | POP3S | Intercepción de credenciales | Solo SSL/TLS, idealmente migrar a IMAP |
| 123 | NTP | Desincronización de sistemas, ataques de amplificación | Usar servidores NTP internos o confiables |
| 1720 | H.323 | Exposición en videollamadas | Filtrar conexiones, cifrar si es posible |
| 137 | NETBIOS | Enumeración de red, exposición de nombres | Deshabilitar si no se usa, segmentar red |
| 88 | KERBEROS | Falsificación de tickets, abuso de privilegios | Implementar cifrado y monitoreo activo |
| 1433 | SQL Server | Inyección SQL, acceso remoto no autorizado | Filtrar por IP, cifrado y autenticación robusta |
| 1521 | Oracle | Acceso a bases de datos | Restringir acceso, usar TLS y roles mínimos |
| 3306 | MySQL | Exposición de datos, ataques a bases de datos | Acceso solo local o vía VPN, cifrado y contraseñas fuertes |
| 161 | SNMP | Divulgación de información, configuración remota | Desactivar SNMP v1/v2, usar SNMPv3 |
| 67 / 68 | DHCP | Asignación maliciosa de IPs, suplantación | Limitar a redes internas, supervisión constante |
| 5060 | SIP (VoIP) | Intercepción de llamadas, SPIT | Usar cifrado SRTP, firewalls VoIP |
| 50 / 51 | IPSec | Falsificación de paquetes IP, acceso no autorizado | Requiere autenticación mutua y túneles seguros |
| 1723 | PPTP | Protocolo obsoleto y con vulnerabilidades | Evitar, migrar a OpenVPN o WireGuard |
| 1080 | SOCKS | Acceso anónimo, riesgo de abuso | Restringir uso, monitorear conexiones salientes |
Caso real (anónimo): Un puerto SMB descuidado que costó caro
Una empresa mediana del sector construcción en Ciudad de México confiaba en su red interna y no tenía reglas de firewall específicas para el puerto 445 (SMB), utilizado para compartir archivos entre equipos Windows.
Durante una auditoría de seguridad que realizamos en Nettix, detectamos conexiones desde fuera de la red corporativa que no debían existir. En menos de dos semanas, un ransomware se infiltró a través de ese puerto, cifrando documentos contables y planos en PDF que estaban compartidos sin control de permisos.
¿Qué hicimos?
- Cerramos el puerto al exterior.
- Implementamos segmentación de red.
- Activamos snapshots y backups automáticos.
- Reforzamos el acceso con VPN segura y políticas de acceso mínimo.
Gracias al respaldo automatizado en nuestra nube privada, se recuperó el 100% de los archivos. Pero el susto —y el costo operativo del incidente— podrían haberse evitado.
Lección aprendida: una configuración insegura, por pequeña que parezca, puede abrir la puerta a un ataque con consecuencias graves.
Buenas prácticas para blindar tus puertos
- Bloquea todo lo innecesario: abre solo lo esencial.
- Haz escaneos periódicos desde fuera de tu red.
- Implementa firewalls con monitoreo activo (NGFW).
- Cifra todo lo posible (HTTPS, VPN, TLS).
- Limita accesos a IPs confiables y usa autenticación fuerte.
- Utiliza herramientas como port knocking o geobloqueo.
Conclusión: cerrar el puerto equivocado puede costar más que prevenir
El 90% de las amenazas comienzan por un error básico: un puerto mal configurado, un servicio sin actualizar o una red expuesta. En Nettix, ayudamos a empresas como la tuya a mantener sus redes seguras sin complicaciones técnicas.
¿Tu empresa ya ha verificado qué puertos tiene abiertos?
Déjanos ayudarte con una auditoría gratuita y soluciones prácticas.
Solicita tu revisión de seguridad aquí
