Firewall, qué es, para qué sirve

Hoy os hemos preparado un documento sobre el firewall. Como informático y responsable del servicio técnico de redes, hemos visto de todo: desde redes domésticas abiertas de par en par hasta infraestructuras corporativas que parecen búnkeres pero tienen la “puerta trasera” sin llave.

Si estás leyendo esto, es porque entiendes que la seguridad informática no es un producto, sino un proceso constante.

Por ello, os vamos a enseñar en profundidad qué es un firewall informático, cómo ha evolucionado y por qué, sorprendentemente, la tecnología de las GPU de ordenador está empezando a jugar un papel crucial en la defensa de nuestras redes.

Prepárate, porque vamos a bajar al nivel de los bits y los paquetes, pero con los pies en la tierra, como si estuviéramos en nuestro taller revisando tu servidor.

firewall

¿Qué es un Firewall o Cortafuegos Informático?

Cuando hablamos de un firewall informático (o cortafuegos), nos referimos a un sistema —ya sea hardware, software o una mezcla de ambos— diseñado para bloquear el acceso no autorizado y permitir las comunicaciones que sí hemos validado.

Imagínalo como una frontera política: solo pasan quienes tienen el “pasaporte” en regla.

En mis años de SAT, la analogía que más uso es la del edificio. El firewall es el portero que vigila quién entra y sale.
Si no tienes invitación (regla de acceso), te quedas fuera.
Su misión principal es crear una barrera entre tu red interna de confianza y el caos que puede ser Internet.

Un poco de historia: De los muros de piedra a la Inteligencia Artificial

El término “firewall” no nació en la informática. Originalmente era una pared física diseñada para confinar un incendio en un edificio o separar el motor de un avión de los pasajeros.

En los años 80, cuando Internet aún gateaba, los routers hacían de muro básico, separando redes para que un problema en una no se propagara a la otra.

La evolución ha sido meteórica desde entonces:

  1. Primera Generación (Filtrado de Paquetes): A finales de los 80, técnicos de DEC crearon sistemas que miraban el “sobre” de los datos (IP origen, destino, puerto) pero no leían la carta . Eran rápidos pero fáciles de engañar.
  2. Segunda Generación (Inspección con Estado): A principios de los 90, Check Point introdujo la tecnología stateful. Aquí el firewall ya no mira paquetes aislados, sino que entiende la “conversación” completa. Sabe si un paquete es la respuesta lógica a una petición que tú hiciste.
  3. Tercera Generación (Capa de Aplicación): Estos ya entienden protocolos como HTTP o FTP. Pueden bloquear una palabra específica en un sitio web o detectar si un virus intenta colarse por un puerto que parece legítimo.
  4. Cuarta Generación (NGFW – Next Generation Firewall): Desde 2008, estos dispositivos integran prevención de intrusiones (IPS), control de aplicaciones y análisis de malware en tiempo real
historia firewall

Tipos de Firewall

Como informáticos y técnicos de redes, siempre decimos que no hay un firewall mejor que otro, sino uno más adecuado para cada escenario.

Por ello, vamos a desglosar los diferentes tipos de firewalls existentes para cada tipo de escenario:

1. Firewalls de Hardware (Appliances)

Son dispositivos físicos, cajas que instalas entre tu router y tu red. Su gran ventaja es que tienen su propio sistema operativo (como el Finesse de Cisco PIX o el FortiOS de Fortinet) y no consumen recursos de tus servidores. Son ideales para empresas porque protegen todos los dispositivos de la red a la vez y son mucho más difíciles de atacar que un software convencional.

2. Firewalls de Software

Estos viven dentro de tu ordenador. Tienes los integrados, como el Firewall de Windows Defender, y los de terceros como Comodo Internet Security o Sophos. Son más económicos y excelentes para el filtrado personal, pero si el ordenador portátil se infecta, el firewall puede verse comprometido.

tipos de firewall

WAF (Web Application Firewall)

Si tienes un ecommerce o un servidor web, el firewall tradicional no te sirve de mucho. El WAF se especializa en la capa 7 (aplicación). Analiza formularios, cookies y peticiones HTTP para detener ataques como la inyección SQL o el Cross-Site Scripting (XSS). Mientras el firewall tradicional protege la “puerta del edificio”, el WAF protege lo que pasa dentro de cada “oficina” web.

4. Firewall en la Nube (VPC Firewall)

En entornos como AWS o Google Cloud (GCP), el firewall es lógico. Por ejemplo, en GCP, todo el tráfico de entrada se deniega por defecto hasta que creas una regla específica.

En AWS, el AWS Network Firewall escala automáticamente para proteger tus cargas de trabajo sin que tengas que gestionar el hardware subyacente.

firewall protege tráfico red

Arquitecturas de Red y Firewall

Instalar un firewall sin estrategia es como poner una puerta blindada en una casa de papel.

Estas son las arquitecturas que montamos habitualmente en las empresas, pymes y corporaciones:

  • Screened Host: Combinamos un router de filtrado con un “bastión” (una máquina protegida). Es el modelo antiguo y algo arriesgado porque si cae el bastión, cae todo.
  • Dual-Homed Host: El firewall tiene dos tarjetas de red, la una mira a Internet y la otra a tu red interna (Lan). El tráfico solo pasa si el firewall lo autoriza.
  • Screened Subnet (DMZ): Esta es la que más me gusta instalar en empresas medianas. Creamos una “Zona Desmilitarizada”. Ponemos tus servidores web y de correo en una red aislada. Si un hacker entra en tu web, se queda atrapado en la DMZ y no puede saltar a los ordenadores donde tienes las nóminas o los datos de clientes.
arquitectura red firewall

La Revolución Silenciosa: La GPU de ordenador en la Seguridad

Aquí es donde el texto se vuelve interesante y semánticamente rico. Seguramente conoces la GPU de ordenador (Graphics Processing Unit) por los videojuegos o el diseño gráfico.

Pero, ¿qué tiene que ver una tarjeta gráfica con un firewall?.

Pues mucho, aunque a simple vista no lo parezca.

Te diré que el cuello de botella de los firewalls modernos (NGFW) es la inspección profunda de paquetes (DPI). Analizar gigabytes de tráfico cifrado en busca de malware requiere de una potencia de cálculo brutal. Aquí es donde entran las GPUs con toda su capacidad de proceso a lo bestia.

¿Qué es una GPU de ordenador realmente?

A diferencia de la CPU (el cerebro generalista), la GPU es una experta en computación paralela. Mientras una CPU potente puede tener 16 o 32 núcleos para tareas complejas secuenciales, una GPU moderna de modelos como la serie RTX de NVIDIA o la RX de AMD cuenta con miles de núcleos pequeños diseñados para hacer cálculos matemáticos simples simultáneamente.

  • Historia: Empezaron en los años 70 para recreativas y evolucionaron hasta que en 1999 la NVIDIA GeForce 256 fue bautizada como la primera GPU real.
  • Cómo funciona: Utiliza arquitecturas como CUDA o OpenCL para dividir un problema masivo en miles de trozos pequeños. En seguridad, esto se traduce en poder descifrar y analizar miles de paquetes SSL/TLS por segundo sin que tu conexión a Internet se ralentice.
  • Velocidades y Calidades: Medimos su potencia en TFLOPS (operaciones de coma flotante por segundo). En el SAT, valoramos la calidad de los componentes (VRM, condensadores) y el tamaño (desde modelos mini-ITX hasta monstruos de triple ventilador que ocupan 4 ranuras PCIe).
  • Protocolos y Dispositivos: Las GPUs físicas se conectan vía PCIe, pero lógicamente interactúan mediante drivers y APIs (DirectX, Vulkan). En firewalls de alto rendimiento, se usan variantes de estas GPUs (aceleradores ASICs o FPGAs como los procesadores FortiASIC de Fortinet) para mover el tráfico a velocidad de cable.
cómo configurar firewall

¿Cómo configuro un firewall?

Si  vas a configurar un firewall (ya sea un pfSense de código abierto o un sofisticado Palo Alto), graba estos principios en fuego, que es la mejor manera de proteger tu red interna configurando el firewall:

  1. Política Restrictiva (Denegar por defecto): Es el estándar de oro. Todo lo que no esté explícitamente permitido, está prohibido. Es más trabajo al principio, pero te evitará sustos.
  2. Principio de Mínimo Privilegio: Solo abre los puertos necesarios. ¿Tu servidor de base de datos SQL necesita acceso directo a Internet? No. Pues ciérralo.
  3. Segmentación y Microperímetros: No trates a toda tu red por igual. Usa VLANs para separar el tráfico de invitados del de administración.
  4. Cuidado con las Reglas Genéricas: Evita reglas como “Permitir desde cualquier origen a cualquier destino”. Eso es como no tener firewall.
  5. Revisión de Logs: El firewall te habla a través de los registros. Si no los miras, podrías tener un ataque en curso y no enterarte hasta meses después.
  6. Actualización Constante: Los hackers descubren vulnerabilidades de “día cero” (Zero-Day) constantemente. Si tu firmware tiene dos años, estás expuesto a todo tipo de ataques sin saberlo, por que debes actualizar las firmas y el software constantemente.
qué firewall comprar

¿Qué firewall compro?

Sin duda una buena pregunta es cuál firewall compro, porque hay mucho donde elegir en el mercado informático:

  • Fortinet (FortiGate): Son los reyes del rendimiento gracias a sus chips ASIC personalizados (una forma de GPU especializada en red). Ofrecen la mejor relación calidad-precio para alto ancho de banda.
  • Palo Alto Networks: Son la élite. Su visibilidad de aplicaciones (App-ID) es increíble, pero prepara la cartera.
  • Cisco ASA / Firepower: Un clásico. Fiables y con el mejor cliente VPN (AnyConnect), aunque su gestión a veces se siente un poco anticuada comparada con los nuevos jugadores.
  • Check Point: Los inventores de la inspección con estado. Tienen una seguridad incuestionable pero una curva de aprendizaje empinada.
  • Soluciones Open Source (pfSense / OPNsense): Basadas en FreeBSD, son maravillosas para pymes. Con complementos como Zenarmor puedes tener un NGFW casi profesional sin pagar licencias abusivas.
zero trust firewall

Zero Trust: El Futuro de la Seguridad Informática

Para terminar, quiero hablarte de un concepto que está cambiando las reglas del juego: Zero Trust (Confianza Cero). La idea es simple: no confíes en nadie, aunque ya esté dentro de tu red.

Tradicionalmente, creíamos que una vez que alguien pasaba el firewall, era “de los nuestros”.

Con Zero Trust, el firewall (o la puerta de enlace de segmentación) verifica constantemente quién eres, desde qué dispositivo te conectas y si es normal que estés accediendo a esos datos a las 3 de la mañana.

Es una política detallada de capa 7 que se basa en el quién, qué, cuándo, dónde y cómo.

¿Qué diferencias hay entre un firewall de red y un WAF avanzado?

Como técnicos informáticos con muchos años de experiencia en infraestructura y seguridad de redes, solemos explicar que la principal diferencia radica en la visibilidad y el contexto del tráfico que cada uno maneja.

Mientras que un firewall de red actúa como el portero de un edificio, controlando quién entra según su identificación, un WAF avanzado actúa como el cuerpo de seguridad dentro de una oficina específica, analizando qué es lo que la persona realmente está intentando hacer una vez dentro.

Por ello, toda una serie de diferencias técnicas y estratégicas entran en juego, como son:

1. Capa de operación en el Modelo OSI

La diferencia más básica es el nivel de profundidad en el que trabajan. Un firewall de red tradicional (o incluso uno de inspección de estado) opera principalmente en las capas 3 (Red) y 4 (Transporte) del modelo OSI. Su foco es el tráfico IP y los protocolos de transporte como TCP, UDP o ICMP.

En cambio, un WAF (Web Application Firewall) se especializa exclusivamente en la capa 7 (Aplicación), lo que le permite entender el “lenguaje” de la web, específicamente el protocolo HTTP/HTTPS.

2. Criterios de control y filtrado

Los mecanismos de decisión de ambos dispositivos son radicalmente distintos:

  • Firewall de red: Toma decisiones basadas en direcciones IP (origen/destino), puertos de red y protocolos. Su misión es permitir o denegar el paso a la infraestructura base según reglas estáticas o dinámicas de conexión.
  • WAF avanzado: No se limita a mirar el “sobre” de los datos; inspecciona el payload o carga útil. Analiza componentes específicos de las peticiones web como URLs, parámetros de formularios, encabezados HTTP, cookies y el comportamiento del usuario.
implementar seguridad red interna

3. Tipos de amenazas que mitigan

Esta es la razón por la que no son sustituibles, sino complementarios:

  • Firewall de red: Protege contra accesos no autorizados a la infraestructura, ataques de denegación de servicio (DDoS) de red y propagación de malware a nivel de sistema. Sin embargo, no puede detectar si un tráfico que entra legalmente por el puerto 443 contiene un ataque diseñado para explotar la lógica de una aplicación.
  • WAF avanzado: Está diseñado para detener ataques sofisticados contra aplicaciones web como Inyección SQL (SQLi), Cross-Site Scripting (XSS), falsificación de solicitudes (CSRF) y ataques a APIs. Un WAF avanzado utiliza Inteligencia Artificial y Machine Learning para crear perfiles de comportamiento normal y detectar anomalías que un firewall tradicional simplemente no vería.

4. Capacidades proactivas y automatización

Un WAF avanzado (como las soluciones de F5 o AWS) ofrece funcionalidades que superan incluso a los firewalls de próxima generación (NGFW):

  • Defensa activa contra bots: Puede distinguir entre un navegador humano y herramientas automatizadas (bots maliciosos), inyectando código JavaScript para identificar “huellas digitales” del cliente.
  • Protección de credenciales: Es capaz de cifrar dinámicamente las pulsaciones de teclado en el dispositivo del usuario para evitar el robo de contraseñas, incluso si el endpoint está infectado con malware.
  • Inspección total frente a muestreo: A diferencia de muchos NGFW que solo examinan los primeros bytes de una carga útil por razones de rendimiento, un WAF avanzado está optimizado para inspeccionar cada solicitud HTTP de forma íntegra.