¿Qué es un firewall?
Un firewall es la barrera que está entre la red de una empresa y la internet y decide, a cada momento, qué tráfico puede pasar y cuál se bloquea, según reglas de seguridad definidas. Es la puerta de entrada de la red: inspecciona los datos que llegan y salen y detiene las conexiones no autorizadas antes de que alcancen los sistemas internos. Es la primera capa de defensa del perímetro, no la única.
Cómo funciona un firewall
Un firewall no lee todo todo el tiempo; aplica un conjunto de reglas a cada conexión y decide, en milisegundos, si la permite, la bloquea o la registra. Los modelos más simples miran solo el 'sobre' del tráfico; los modernos (de nueva generación) leen también el contenido, para reconocer un ataque disfrazado de tráfico legítimo.
Examina cada paquete
Verifica el origen, el destino, el puerto y el protocolo de cada bloque de datos contra las reglas. Lo que no coincide con ninguna regla de permiso se detiene por defecto.
Sigue la conexión entera
La inspección con estado (stateful) recuerda las conexiones en curso, así que sabe distinguir una respuesta legítima de un paquete suelto que aparece de la nada intentando hacerse pasar por ella.
Lee el contenido, no solo el sobre
En los firewalls de nueva generación, la inspección profunda de paquetes abre el tráfico y reconoce la aplicación y el malware por dentro, no solo por el puerto que usa.
Aplica la política y registra
Permite, bloquea o levanta una alerta según la regla, y guarda el registro de todo, que es lo que después permite investigar qué pasó y qué se detuvo.
Fuente: Cyber Encyclopedia de N-able (definición, inspección con estado, inspección profunda de paquetes y los cinco tipos de firewall).
Por qué tener un firewall no es lo mismo que estar protegido
- Un firewall es tan bueno como sus reglas. Una regla demasiado amplia u olvidada abre un hueco que nadie nota, y de ahí viene la mayoría de las fallas, no de un defecto del equipo.
- El 'instalar y olvidar' es el enemigo: firmware de hace años y una configuración que nadie revisa. El propio firewall se volvió blanco de ataque, y la mayoría queda atrasada en la corrección.
- Filtra la puerta, pero no ve lo que ya está adentro. Una credencial robada o una amenaza interna, que actúa como usuario legítimo, no dispara ninguna alarma obvia en el perímetro.
- Es una sola capa. El phishing que llega por correo y el malware que se ejecuta en una computadora de la red no son el terreno del firewall; piden otras defensas que trabajan en conjunto.
Los tipos de firewall
- Filtrado de paquetes El más básico: decide por origen, destino y puerto, sin memoria de la conexión. Rápido, pero ciego ante ataques más elaborados.
- Inspección con estado (stateful) Sigue el contexto de cada conexión en curso y distingue el tráfico de respuesta legítimo del paquete sospechoso. Es el estándar del mercado desde hace años.
- Proxy Se pone en medio de la conversación, en el nivel de la aplicación: recibe la solicitud, la evalúa y la reenvía, sin dejar que el cliente hable directo con el servidor. Más control, a costa de rendimiento.
- Nueva generación (NGFW) Suma a la inspección con estado la lectura profunda del contenido, el reconocimiento de aplicación y la inteligencia de amenazas. Es el estándar moderno.
- Virtual o de nube Entregado como software o servicio, escala junto con las cargas de trabajo en la nube, donde no hay un equipo físico en el borde para instalar.
Por qué el firewall se vuelve el punto débil
Un firewall rara vez falla por un defecto del equipo. Falla porque nadie lo opera. Gartner estimó que cerca del 99% de las fallas de firewall vienen de una configuración errada, y no de un defecto del producto: una regla demasiado abierta, un firmware desactualizado, una excepción temporal que se volvió permanente. Y el problema empeoró: la explotación de dispositivos de borde y de gateways de VPN saltó del 3% al 22% de las intrusiones por vulnerabilidad en un solo año, un crecimiento de cerca de ocho veces (Verizon DBIR 2025). El equipo hecho para proteger la red se volvió la vía de entrada preferida, y la mayoría de esas fallas quedó sin corrección completa en el año (solo cerca del 54% se corrigió del todo, con una mediana de 32 días para el parche). Por eso un firewall bien elegido pero mal mantenido da una falsa sensación de seguridad, mientras una filtración de datos todavía cuesta, en promedio, $ 4,44 millones (IBM 2025).
Cómo mantener un firewall protegiendo de verdad
Un firewall no es una caja que se enciende y se olvida. Lo que separa la protección real de la falsa sensación de seguridad es la operación continua:
- Mantenga el firmware al díaEl firewall se volvió blanco. Un equipo de borde atrasado en parches es hoy una de las puertas de entrada más explotadas, así que el parche no es opcional.
- Limpie y documente las reglasRevise la base de reglas, elimine las huérfanas y aplique el privilegio mínimo en el borde: solo lo que necesita pasar, pasa. Es la causa raíz del problema del 99%.
- Segmente la redDivida la red en zonas para que un equipo infectado no alcance todo. La segmentación convierte un incidente amplio en uno contenido.
- Proteja el acceso remotoEl firewall suele ser también el gateway de VPN del equipo remoto. Mantenerlo configurado, con autenticación fuerte y sin exponer lo que no debe, es parte del mismo trabajo.
- Sume monitoreo y respuestaEl firewall filtra la puerta, pero no vigila a quien ya entró. Una capa de detección y respuesta sobre lo que pasa es lo que cierra el ciclo; el firewall solo no basta.
En la práctica
Si alguien revisara hoy las reglas de su firewall, ¿sabría decir por qué existe cada una? Cuando la respuesta es 'nadie sabe', la puerta de la red tiene cerraduras que nadie verifica.
Cómo trata Zamak el perímetro
Zamak Technologies opera el perímetro de su red como parte de la rutina: firmware al día, higiene de las reglas, segmentación y acceso remoto seguro, con la disponibilidad monitoreada, al lado de su equipo y no en su lugar. Un buen punto de partida es el diagnóstico de ciberseguridad, que muestra dónde el perímetro sigue expuesto. Operar el perímetro forma parte de la Operación de TI del Método Zamak, y la vigilancia activa sobre lo que pasa por la puerta es la capa de Ciberseguridad.