¿Qué es el Reenvío de Puertos en un Enrutador o Red?

El reenvío de puertos es un término que quizás hayas escuchado si alguna vez has alojado un juego en un servidor local o has intentado conectarte a una cámara de CCTV de forma inalámbrica. El reenvío de puertos en un router no es un truco hacker complejo ni avanzado. Puedes considerarlo una modificación básica de la red que permite el acceso remoto a las aplicaciones. En esta entrada del blog, aprenderás qué es el reenvío de puertos en un router y cómo configurarlo. Todo explicado de forma sencilla.

¿Qué es el Reenvío de Puertos en un Enrutador?

El reenvío de puertos es una técnica que permite configurar un enrutador para que proporcione acceso a dispositivos externos a servicios enrutados en una red privada. Sin el reenvío de puertos implementado, ningún dispositivo externo puede conectarse a los servicios que se ejecutan en una red privada. 

En términos simples, 

Si tienes un servicio o, por ejemplo, un juego alojado en tu ordenador local, al habilitar el reenvío de puertos, puedes proporcionar acceso a otros dispositivos fuera de tu red. En el reenvío de puertos, el enrutador se configura para enviar datos (relacionados con un servicio o aplicación en particular) directamente a un dispositivo específico en una red. Durante este proceso, el enrutador omite ciertas comprobaciones de seguridad y envía los datos instantáneamente, lo que resulta en velocidades más rápidas. 

El reenvío de puertos ofrece muchas más ventajas (más adelante). Sin embargo, también conlleva muchos riesgos. 

Por ejemplo, actúa como punto de entrada para que los ciberdelincuentes penetren en su red. Hablaremos de esto en detalle más adelante. Sin embargo, por ahora, permítannos explicarles cómo funciona esta técnica de reenvío.

Cómo Funciona el Reenvío de Puertos en un Enrutador?

Antes de explicarle el proceso completo de cómo funciona el reenvío de puertos en un enrutador, aclaremos algunos conceptos básicos para evitar confusiones. 

La red que usas en casa, la oficina o la tienda es tu red privada (local). Internet, a su vez, es una red pública. Tu router, a través del cual te conectas a Internet, actúa como el guardián entre ambas. 

De forma predeterminada, los enrutadores están configurados para bloquear el acceso a las solicitudes realizadas por dispositivos externos que usan internet a los servicios o aplicaciones que utiliza en su red local. Esto probablemente se hace por motivos de seguridad de la red, para impedir el acceso no autorizado. 

Sin embargo, cuando se configura una regla de reenvío de puertos para un servicio particular en su red local, ese servicio se vuelve accesible para dispositivos externos a través de Internet (red pública). 

Para su mejor comprensión, explicamos el funcionamiento completo paso a paso, junto con un ejemplo sencillo, a continuación. 

Paso 1. Solicitud realizada desde la red pública

Supongamos que estás afuera y quieres ver el circuito cerrado de televisión instalado en casa usando una aplicación móvil.. 

En ese caso, al abrir la aplicación, su dispositivo móvil enviará primero una solicitud a la dirección IP pública, dirigida a un número de puerto específico. Este número de puerto será el responsable de gestionar el tráfico de las cámaras de seguridad. 

Sepa que en este momento la solicitud está en la red pública. 

Paso 2. El enrutador recibe la solicitud

Su enrutador recibirá la solicitud entrante para acceder al puerto de CCTV desde la red pública. Normalmente, si no se configura ninguna regla de reenvío de puertos, el enrutador rechazará la solicitud automáticamente.

Sin embargo, si ha configurado una regla de reenvío de puertos en el enrutador para el puerto asignado a CCTV y la red pública solicita acceso al mismo puerto, el enrutador procesará la solicitud según la regla establecida. 

como ejemplo:

Si “8080” es el número de puerto asignado a los CCTV y ha configurado la regla de que siempre que se realice una solicitud al puerto “8080”, el enrutador debe reenviarla al dispositivo que tenga la dirección IP “192.000.0.0”. 

En ese caso, el enrutador desviará el tráfico entrante directamente al dispositivo con dirección IP “192.000.0.0”, saltándose los controles de seguridad.

Paso 3. Solicitud reenviada al dispositivo

Cuando el enrutador desvía el tráfico al dispositivo dedicado, reescribe la solicitud de la IP pública a la IP privada. Esto significa que la solicitud ha entrado en la red pública y se está enrutando a su red local. 

Para mantener la coherencia en la comunicación, los enrutadores utilizan NAT (traducción de direcciones de red).

Una vez que el dispositivo recibe la solicitud, responderá proporcionando acceso a los datos solicitados. Como en nuestro ejemplo de CCTV, probablemente será la señal de la cámara en vivo. 

Paso 4. El Enrutador Responde a la Solicitud del Dispositivo

La respuesta regresa a través del enrutador al dispositivo (en nuestro ejemplo, su teléfono) a través de internet. Durante este proceso, NAT registrará la conexión y devolverá los datos a la IP y puerto externos correctos.

¿Para qué se Utiliza el Reenvío de Puertos?

El propósito principal de la técnica de reenvío de puertos es proporcionar acceso a servicios o aplicaciones que se ejecutan en su red local a los dispositivos de la red pública. Muchas personas la utilizan para diversos fines, como:

• Proporcionar a los usuarios acceso a escritorios virtuales. 
• Para acceder a aplicaciones mientras estás en movimiento, por ejemplo, acceder a cámaras de CCTV usando un teléfono. 
• Para proporcionar acceso a alguien a los juegos o aplicaciones que aloja localmente en su dispositivo personal. 
• Para compartir archivos entre pares, por ejemplo, clientes torrent. 
• Para acceder a archivos NAS (almacenamiento conectado a red) almacenados en su red local. 

Tipos de Reenvío de Puertos

El reenvío de puertos existe en varios tipos. Cada tipo es adecuado para un escenario diferente. A continuación, se describen los tipos de reenvío de puertos más comunes que se utilizan actualmente. 

Reenvío de puertos estáticos

En el reenvío de puertos estáticos, usted establece una regla en la configuración de su enrutador para desviar el tráfico entrante que solicita un servicio particular (designado a un cierto número de puerto) a un dispositivo específico en su red local.

Reenvío dinámico de puertos

Este tipo de reenvío de puertos es similar a un túnel seguro para el tráfico de internet y suele usarse junto con SSH (Secure Shell). En el reenvío dinámico de puertos, se enruta a múltiples destinos utilizando múltiples puertos a través de un servidor seguro, que actúa como un proxy temporal y cifrado.

Este tipo lo utilizan principalmente los expertos en redes o ciberseguridad para navegar por Internet de forma segura a través de redes no confiables (como Wi-Fi públicas).

Reenvío de Puerto Local

Se suele utilizar para acceder a servicios internos (bases de datos, sitios de intranet, API) desde el exterior. En el reenvío de puertos locales, se enruta el tráfico desde el dispositivo local (ordenador, portátil, etc.) al servidor remoto que aloja el servicio. El reenvío se realiza generalmente mediante túneles SSH. 

Reenvío de Puertos Remotos

El reenvío de puertos remotos generalmente se utiliza para exponer servicios alojados en un servidor local a un usuario externo a través de un servidor remoto. 

En este tipo, se conecta a un servidor remoto mediante SSH con una regla -R. Se abre un puerto público en ese servidor remoto. Cuando alguien accede a ese puerto público, el servidor reenvía el tráfico a través de su conexión SSH. 

Ese tráfico llega a su equipo local o red privada usando el puerto local especificado. La respuesta regresa por el túnel al servidor remoto y luego al usuario.

Reenvío de puertos UpNp

El reenvío de puertos UPnP (Universal Plug and Play) es un método automático para que las aplicaciones y dispositivos abran puertos en su enrutador. 

como ejemplo:

Si ejecutas una aplicación que requiere una conexión pública (por ejemplo, un juego), la aplicación detecta que UPnP está habilitado en tu router. Si está habilitado, enviará una solicitud al router para abrir el puerto y reenviarme la solicitud. 

El enrutador abre dinámicamente el puerto y lo asigna a la IP interna de la aplicación. Una vez hecho esto, el mundo exterior puede acceder a tu dispositivo a través de ese puerto.

A diferencia del reenvío de puertos manual, estas reglas suelen ser temporales y se cierran automáticamente cuando ya no son necesarias.

Cómo Reenviar Puertos en un Enrutador?

El proceso para configurar una regla de reenvío de puertos varía ligeramente según el tipo, la marca y el modelo del router. A continuación, compartimos un procedimiento general que le ayudará a implementar la regla en su router. 

Paso 1. Inicie sesión en la configuración de su enrutador utilizando su dirección IP (generalmente mencionada en la parte posterior del enrutador). 

Paso 2. Una vez iniciada la sesión, busque la sección "Reenvío de puertos" en Configuración. El nombre de la configuración puede variar según la marca del router. Normalmente, se llama así:

• Reenvío de puertos
• Servidor virtual
• Reglas NAT
• Cortafuegos

Paso 3. A medida que encuentre la configuración de reenvío, deberá completar los siguientes campos.. 

• Nombre del Servicio: Cualquier nombre que desee configurar, por ejemplo, Juego o Cámara. 
• Rango de puertos / Puerto externo: El número de puerto que desea abrir. 
• IP interna: IP del dispositivo al que desea reenviar el tráfico entrante. 
• Puerto interno: El puerto que utiliza el servicio o la aplicación a la que desea proporcionar acceso. 

• Protocolo: Hoose TCP, UDP, o Ambas

Una vez completado el campo anterior, reinicie el router. Después de reiniciar, compruebe si la regla de reenvío de puertos está configurada correctamente. Una forma sencilla de hacerlo es comprobar el estado del puerto externo que ha completado. 

Para ello, puede usar nuestro comprobador de puertos abiertos. Simplemente ejecute el escaneo del puerto proporcionando la dirección IP de su router. Si ve "Abierto" junto al número de puerto en los resultados, significa que la regla de reenvío se ha configurado correctamente. Sin embargo, si ve "Tiempo de espera agotado", debe haber un error. 

Mapeo de Puertos vs. Reenvío de Puertos: ¿Cuál es la Diferencia?

En redes, el reenvío de puertos y el mapeo de puertos se refieren prácticamente a lo mismo. En el contexto técnico, presentan poca diferencia. Mucha gente los confunde y los usa indistintamente. A continuación, se explica brevemente en qué se diferencian. 

El reenvío de puertos es el proceso general que permite que dispositivos externos (de internet) accedan a servicios dentro de su red privada. Mediante el reenvío de puertos, usted le indica al enrutador que reenvíe cualquier solicitud entrante en un puerto específico de su dirección IP pública a un dispositivo específico dentro de su red local. 

Sin embargo, el mapeo de puertos forma parte del reenvío de puertos. En este mapeo, se define qué puerto externo se asigna a qué puerto interno.

En términos simples, puedes pensar en:

• Mapeo de puertos como concepto global.
• Mapeo de puertos como la regla o acción real de traducir un puerto a otro.

Conclusión

El reenvío de puertos es una técnica que implica establecer reglas mediante la configuración del router. Permite proporcionar a dispositivos externos acceso a los servicios o aplicaciones que se ejecutan en un dispositivo de la red local. 

En términos simples, el reenvío de puertos permite que una red pública acceda a un servicio dentro de su red local. 

Si bien la técnica es beneficiosa, también presenta ciertas amenazas, como aumentar la exposición de la red a ciberdelincuentes, quienes pueden explotarla para llevar a cabo ataques de piratería. Antes de implementar el reenvío de puertos en una red, no olvide considerar este elemento crucial.