Todo sitio web necesita protección. Al igual que tu ordenador personal, los servidores online pueden ser el blanco de ataques. Necesitas una forma de mantener alejados a los hackers u otras fuentes de tráfico ilegítimo. Ahí es donde entran en juego los cortafuegos.

¿Qué es un cortafuegos, en resumen? Es una barrera entre un ordenador y el «mundo exterior».

Los actores malintencionados pueden causar estragos en tu servidor si dejas tu sitio web desprotegido y es por eso  que debes hacer todo lo posible para asegurar tu sitio de WordPress. Establecer un cortafuegos debería ser una de tus primeras tareas de trabajo.

Pero hay muchos tipos diferentes de cortafuegos y puede que no sepas por dónde empezar.

Repasemos todos los tipos de cortafuegos, cuándo necesitarás uno y cómo instalarlo en tu servidor.

¿Qué es un cortafuegos? ¿Qué hace un cortafuegos?

Cada vez que visitas una página web, básicamente te conectas a otro ordenador: el servidor web. Pero debido a que un servidor es solo un tipo de computadora especializada, es susceptible al mismo tipo de ataques que tu propio ordenador.

No es seguro conectarse directamente a otro dispositivo sin ningún tipo de protección intermedia. Una vez que se establece esa conexión, es mucho más fácil infectar a la otra parte con malware o lanzar un ataque DDoS.

Para eso está el cortafuegos. Es el intermediario entre tú y cualquier otro dispositivo que intenta conectarse contigo o, en el caso de un servidor web, entre él y los cientos o miles de conexiones que hace con otros cada día.

Conectarse a un servidor web
Conectarse a un servidor web

Entonces, ¿cómo funciona exactamente un cortafuegos?

Los cortafuegos simplemente monitorean el tráfico entrante y saliente de un dispositivo, escaneando en busca de cualquier señal de actividad maliciosa. Si detecta algo sospechoso, lo bloqueará instantáneamente para que no llegue a su destino.

Es un gran sistema de filtración para tu ordenador o servidor.

Cuando se desarrollaron por primera vez, los cortafuegos eran analizadores de paquetes muy simples que permitían o bloqueaban el tráfico entrante basándose en un conjunto mínimo de reglas predefinidas. Eran muy fáciles de saltarse.

Hoy en día han evolucionado en piezas complejas de programación que son mucho mejores para mantener a raya los intentos de intrusión y son una pieza de software esencial para todos los dispositivos.

Cuándo necesitas un cortafuegos

Te preguntarás: ¿cuándo es necesario un cortafuegos? ¿Realmente necesito uno?

Se requiere un cortafuegos para cualquier máquina que se conecte a Internet. No solo tu ordenador, sino también tu servidor web, teléfono, dispositivos de IoT, o cualquier cosa que se te ocurra que tenga la capacidad de usar Internet.

Un dispositivo desprotegido es una fácil elección para las intrusiones e infecciones.

Esto podría dar a los hackers la posibilidad de apoderarse de tu ordenador, instalar lo que quieran, vigilar mientras introduces información sensible como credenciales bancarias, o incluso mirar a través de tu webcam/cámara y escuchar a través de tu micrófono.

En el caso de un servidor web, si un hacker consigue pasar, podría desconfigurar tu sitio web, incrustar un malware que infecte a tus visitantes, cambiar tu contraseña de administrador de WordPress, o derribar tu sitio por completo.

Una página 404
Una página 404

Sin un cortafuegos, tu sitio web e incluso tus dispositivos personales son vulnerables a los ataques DDoS, un vector de ataque que envía miles o millones de paquetes falsos para sobrecargar tu servidor y hacer que tu sitio web o Internet se caiga.

¿No te hemos convencido? El cortafuegos puede protegerte a ti o a tu sitio web frente a:

  • Intrusiones: Los cortafuegos impiden a los usuarios no autorizados acceder a tu ordenador o servidor de forma remota y hacer lo que quieran.
  • Malware: Los atacantes que logran infiltrarse pueden enviar malware para infectarte a ti o a tu servidor. El malware puede robar información personal, propagarse a otros usuarios o dañar de alguna manera tu computadora.
  • Ataques de fuerza bruta: Intentos de los hackers de probar cientos de combinaciones de nombres de usuario y contraseñas para descubrir las credenciales de acceso de su administrador (o de otros usuarios).
  • Ataques DDoS: Los cortafuegos (especialmente los de aplicaciones web) pueden intentar detectar la afluencia de tráfico falso que se produce durante un ataque DDoS.

Tipos de cortafuegos

Hay muchos tipos diferentes de cortafuegos, cada uno esta diseñado para una situación diferente. Algunos son mejores para ordenadores individuales, mientras que otros están hechos para filtrar toda la red.

Todos funcionan de manera diferente y bloquean mejor diferentes tipos de tráfico. Si te preguntas qué deberías buscar, vamos a analizar todos los principales tipos  de cortafuegos.

Aquí tenéis un rápido resumen: a menos que tengas tu propia pila de servidores (proporcionando un sitio web con tu propia Internet), el tipo de cortafuegos del que debes preocuparte principalmente son los cortafuegos personales, los cortafuegos de software y los cortafuegos de las aplicaciones web.

Estos tres son los más importantes. Sin embargo, lee más sobre el resto si quieres entender mejor cómo funciona un cortafuegos y cómo han evolucionado a lo largo de los años.

Cortafuegos personal

Los cortafuegos funcionan de forma muy diferente dependiendo de si son utilizados por ordenadores individuales, redes enteras (como dentro de una oficina comercial) o servidores web. Un cortafuegos personal está pensado para ser usado en un solo ordenador. Este es el firewall que viene preinstalado en las máquinas de Windows y Mac o con tu software antivirus.

Aunque funciona de manera similar a un cortafuegos de servidor – permitiendo o rechazando conexiones de otros dispositivos, aplicaciones e IPs basadas en un conjunto de reglas predefinidas – actúa de una manera un poco diferente.

Los cortafuegos personales pueden proteger los puertos que utilizas para conectarte a sitios web y aplicaciones en línea (ocultándolos para que los atacantes no puedan ver que están abiertos), defenderse contra los ataques que se deslizan por la red, evitar que las personas accedan y se apoderen de tu equipo y analizar todo el tráfico entrante y saliente.

También actúan como aplicaciones de cortafuegos, monitoreando la actividad de las aplicaciones en tu dispositivo y negándose a permitir que se establezca una conexión con software inseguro o desconocido.

Hoy en día, obtener un cortafuegos personal es bastante fácil. Si usas cualquier versión moderna de Windows, ya debería haber uno por defecto.

Windows Defender Firewall
Windows Defender Firewall

Los ordenadores Mac también vienen con uno, aunque tienes que encenderlo tú mismo. Para ello, navega a Preferencias del Sistema, haz clic en Seguridad y Privacidad y luego en Firewall:

Aplicación de cortafuegos en macOS
Aplicación de cortafuegos en macOS

El software antivirus a menudo viene con el suyo propio también. Un ejemplo es el antivirus Avast: su software de cortafuegos es compatible con Windows y sirve como una segunda capa de defensa.

También existen cortafuegos personales de terceros, pero pueden causar un conflicto con la configuración predeterminada.

Hardware vs. Software Cortafuegos

Los cortafuegos tienen dos formas distintas: cortafuegos de hardware y de software. Los cortafuegos de software son programas descargables para tu ordenador, monitoreando todo desde un panel de control central. Los cortafuegos de hardware proporcionan una funcionalidad similar, pero están físicamente instalados en el edificio.

Puede que no lo sepas, pero probablemente tengas una forma de cortafuegos de hardware en tu casa: tu router, el dispositivo que te permite conectarte a Internet. Si bien no es exactamente lo mismo que un dispositivo de cortafuegos de hardware dedicado, proporciona funciones similares de monitoreo y de permitir o negar conexiones.

Tanto el software como el hardware de los cortafuegos se sitúan entre el ordenador y el mundo exterior, analizando cuidadosamente cualquier conexión que intente colarse. Puedes tener uno o ambos funcionando en tu red.

Sin embargo, los cortafuegos de hardware tienen algunas desventajas. Son difíciles de instalar y requieren un mantenimiento continuo, por lo que no suelen ser adecuados para ordenadores individuales o empresas muy pequeñas sin un departamento de informática. Pueden causar problemas de rendimiento, especialmente cuando se aplican junto con un cortafuegos de software. Y no son adecuados para bloquear aplicaciones en un dispositivo, o restricciones basadas en el usuario.

Por otro lado, un cortafuegos de hardware protegerá toda su red de ordenadores fácilmente, mientras que la configuración del software para ello es una tarea más difícil. Y aunque un atacante puede deshabilitar el software si logra entrar, no puede manipular el dispositivo físico.

Los cortafuegos de software son, como su nombre indica, mejores para trabajar con programas en un ordenador. Bloquear aplicaciones, administrar usuarios, generar registros y monitorear usuarios en tu red son su especialidad. No son tan fáciles de configurar en toda la red, pero cuando se instalan en múltiples dispositivos, permiten un control más fino.

Cortafuegos de filtrado de paquetes

El cortafuegos de filtrado de paquetes es el tipo más simple de cortafuegos, y está entre los primeros desarrollados. Un paquete es la información que se intercambia entre tu ordenador y un servidor. Cuando haces clic en un enlace, subes un archivo o envías un correo electrónico, envías un paquete al servidor. Y cuando cargas una página web, te envía paquetes a ti.

Un cortafuegos con filtro de paquetes analiza estos paquetes y los bloquea basándose en un conjunto de reglas predefinidas. Por ejemplo, podría bloquear los paquetes que se originan en un determinado servidor o dirección IP, o los que intentan llegar a un determinado destino en tu servidor.

La desventaja: Estos tipos de cortafuegos son simples y fáciles de engañar. No hay forma de aplicar reglas avanzadas. Si permites que el tráfico fluya a través de un determinado puerto, el cortafuegos de filtrado de paquetes dejará pasar cualquier cosa, incluso el tráfico que los cortafuegos modernos obviamente no dejarían pasar.

La única ventaja de estos es que son tan simples que casi no tienen impacto en el rendimiento. No inspeccionan el tráfico, no guardan registros ni ejecutan ninguna función avanzada. Hoy en día, los cortafuegos de filtrado de paquetes deberían evitarse o al menos usarse junto con algo más avanzado, ya que hay soluciones mucho mejores.

Cortafuegos de estado (stateful)

Después de los «sin estado», los filtros de paquetes simples llegó la tecnología de los cortafuegos de estado. Esto fue revolucionario porque en lugar de analizar los paquetes a medida que pasan y rechazarlos basándose en parámetros simples, los cortafuegos de estado manejan información dinámica y continúan monitoreando los paquetes a medida que pasan por la red.

Un simple cortafuegos de filtrado de paquetes solo puede bloquear basado en información estática como la dirección IP o el puerto. Los cortafuegos de estado son mejores para detectar y bloquear el tráfico ilegítimo porque reconocen patrones y otros conceptos avanzados.

Comparado con los cortafuegos sin estado, la desventaja es que son más intensivos debido a que almacenan paquetes de datos en la memoria y los analizan más rigurosamente, además de mantener registros de lo que se bloquea y lo que pasa a través de ellos. Pero son una solución mucho mejor.

Cortafuegos de aplicaciones web (WAF)

Cómo funcionan los WAF
Cómo funcionan los WAF

Si bien la tecnología de estado se sigue utilizando hoy en día, ya no es suficiente por sí sola para mantener una red segura de manera efectiva. Los cortafuegos de aplicaciones y los cortafuegos de aplicaciones web fueron el siguiente gran paso.

Los cortafuegos tradicionales solo monitorean el tráfico general en una red. Luchan o fallan completamente en la detección del tráfico que entra o sale de una aplicación, servicio u otro software. Los cortafuegos de aplicaciones fueron diseñados para trabajar con estos programas, capturando los intentos de intrusión que se aprovechan de las vulnerabilidades del software para pasar por encima de los cortafuegos más antiguos.

También podrían funcionar como un sistema de control parental para un negocio, bloqueando el acceso a ciertas aplicaciones y sitios web por completo.

Los cortafuegos de aplicaciones web funcionan de manera similar, pero supervisan las aplicaciones web en lugar de los programas de un ordenador. Algunos ejemplos de aplicaciones web son los plugins de formularios o carritos de compras de terceros, que a veces pueden ser secuestrados para enviar malware a su servidor. Sin un WAF, eres vulnerable a estos ataques.

Muchos WAF están basados en la nube, lo que significa que no necesitas hacer ningún cambio radical en tu servidor para configurarlos. Pero también pueden existir en el hardware o en el software del servidor.

Si necesitas un servicio de cortafuegos para proteger tu sitio web, busca un WAF basado en la nube como Cloudflare o Sucuri. Estos pueden ser instalados sin tener que jugar con configuraciones sensibles del host de la web o configurar hardware costoso.

Cortafuegos de nueva generación

Por último, los cortafuegos de nueva generación (NGFW), son uno de los inventos más recientes de esta generación de tecnología de seguridad. Estas herramientas de grado empresarial son como todas las anteriores combinadas en una sola. El filtrado profundo de paquetes, la prevención de intrusos y el monitoreo de aplicaciones son solo algunas de sus enormes características de red.

Los cortafuegos de última generación en la nube  existen como un servicio en línea, pero los WAF son mucho más comunes y proporcionan una funcionalidad similar. Pero si quieres la tecnología de cortafuegos más avanzada disponible, con un paquete completo de protección de seguridad en un programa, busca un NGFW.

Cómo conseguir un cortafuegos

Para protegerse a sí mismo y a tu sitio web, necesitas un cortafuegos de alta calidad que mantenga alejado a los intrusos.

En lo que respecta a los cortafuegos personales, no suele ser necesario hacer un esfuerzo para conseguir uno. El cortafuegos incorporado de Windows funciona muy bien sin ninguna configuración. Y entre el cortafuegos de aplicaciones que suele venir con el software antivirus y el filtro de paquetes del router, el equipo suele estar más que protegido.

Solo asegúrate de que tu cortafuegos esté activado, que tengas un buen antivirus instalado y que tu router esté configurado correctamente. Lo mismo puede decirse de los usuarios de MacOS.

¿Pero qué pasa si tienes un sitio web que necesita protección?

Es muy diferente entonces. No hay tantas herramientas incorporadas para protegerte, y a menudo depende de ti asegurar tu sitio web. Por ejemplo, si estás ejecutando WordPress, no hay un firewall ni nada que proteja tu servidor y los plugins de seguridad son una de las opciones más comunes.

Los desarrolladores de WordPress hacen todo lo posible para mantener el código optimizado, pero cuando surgen vulnerabilidades, no tienes nada para evitar las intrusiones.

Todos los sitios pueden beneficiarse de una WAF. Servicios en línea como Sucuri, Wordfence, Cloudflare pueden tener uno instalado en tu servidor en minutos.

Kinsta proporciona medidas activas y pasivas para mejorar la seguridad
Kinsta proporciona medidas activas y pasivas para mejorar la seguridad

Además de instalar tu mismo un cortafuegos, debería elegir un web host que cuide adecuadamente tus servidores. Muchos hosts baratos no se preocupan por la seguridad y pueden causar grandes problemas si tu sitio es atacado.

Kinsta’s Cloudflare Integration

Si tu sitio está alojado en Kinsta, no tienes que preocuparte de configurar un WAF manualmente. Todos los sitios de nuestra infraestructura están protegidos automáticamente por nuestra integración gratuita de Cloudflare, que incluye un cortafuegos seguro con conjuntos de reglas personalizados y protección DDoS gratuita. Además de nuestra integración con Cloudflare, también implementamos otras medidas de seguridad como la detección de fuerza bruta, el acceso a archivos sólo por SFTP, las VM de Google Cloud Platform, un compromiso integral de eliminación de malware, y mucho más.

Resumen

En un ordenador personal moderno no suele ser necesario hacer mucho, ya que un cortafuegos viene preinstalado con la mayoría de los sistemas operativos. En cuanto a tu sitio web, a muchos hosts no les importa asegurar sus servidores, así que se convierte en tu trabajo protegerte a ti mismo.

Si buscas un web host con una infraestructura de seguridad fiable que pueda soportar un sitio de cualquier tamaño, considera a Kinsta. Con nuestra integración gratuita de Cloudflare y garantía de seguridad, puedes estar seguro de que no serás víctima de un hackeo. Y en la rara posibilidad de que se produzcan avances en este aspecto, tomaremos medidas para eliminar el malware de forma gratuita.

Incluso si eliges un host fiable que pone mucho énfasis en la seguridad, es una buena idea instalar un cortafuegos de aplicaciones web como una segunda línea de defensa. Encuentra un buen servicio como Sucuri, o descarga un plugin de seguridad de WordPress, y estarás listo para empezar.

Matteo Duò Kinsta

Editor en jefe de Kinsta y consultor de marketing de contenidos para desarrolladores de plugins de WordPress. Conéctese con Matteo en Twitter.