Port scan online: Cómo detectar y cerrar una brecha de seguridad en tu red

revisatuweb

Un escaneo de puertos online es tu primera línea de defensa para descubrir qué puertas de tu red están abiertas a Internet. Si no compruebas estas puertas, los ciberdelincuentes lo harán por ti, y las consecuencias pueden ser devastadoras. Esta guía te enseñará, con un caso práctico, cómo usar esta técnica para identificar riesgos y proteger tu negocio antes de que sea demasiado tarde.

1. Resumen del caso: El ransomware que entró por una puerta olvidada

Un comercio online de tamaño medio sufrió un ataque de ransomware que paralizó sus operaciones durante una semana. Los atacantes no necesitaron explotar una vulnerabilidad compleja; su punto de entrada fue mucho más simple: un puerto que nunca debió estar abierto.

¿Qué ocurrió?

El equipo de TI había habilitado temporalmente el puerto 3389, utilizado por el Protocolo de Escritorio Remoto (RDP), para que un proveedor externo realizara un mantenimiento urgente. Una vez terminado el trabajo, nadie se acordó de cerrar ese acceso. Días después, herramientas automatizadas de ciberdelincuentes, que escanean Internet sin descanso en busca de estos descuidos, detectaron el puerto abierto.

El resultado fue catastrófico:

  • Ataque: Los atacantes lanzaron un ataque de fuerza bruta contra el acceso RDP y, al encontrar una contraseña débil, tomaron el control del servidor.
  • Impacto: Cifraron todos los archivos críticos del negocio, incluyendo bases de datos de clientes y pedidos.
  • Consecuencias: Exigieron un rescate de 50.000 €. Las pérdidas totales, sumando el tiempo de inactividad y los costes de recuperación, superaron los 100.000 €.

Este desastre podría haberse evitado con una simple acción preventiva: realizar un port scan online periódico para verificar la exposición de la red.

2. Análisis técnico paso a paso: Así se explotó la vulnerabilidad

Entender cómo los atacantes pasaron de encontrar un puerto abierto a secuestrar una empresa entera es clave para evitar que te ocurra lo mismo. Este fue su modus operandi:

  1. Fase 1: Reconocimiento (Scanning). Utilizando herramientas automatizadas, los atacantes realizaron un escaneo masivo de rangos de direcciones IP en busca del puerto 3389 (RDP). Al encontrarlo abierto en la IP del comercio online, supieron que tenían un objetivo viable.
  2. Fase 2: Acceso inicial (Fuerza Bruta). Una vez localizado el puerto, lanzaron un ataque de fuerza bruta, probando miles de combinaciones de usuario y contraseña comunes hasta que dieron con la correcta. La contraseña "Verano2023!" no fue suficiente para detenerlos.
  3. Fase 3: Movimiento lateral (Lateral Movement). Con acceso al servidor, utilizaron herramientas como Mimikatz para extraer credenciales de administrador almacenadas en la memoria. Esto les permitió moverse libremente por la red interna, identificando servidores de archivos y bases de datos críticas.
  4. Fase 4: Ejecución (Despliegue del Ransomware). Una vez mapeada la red, desplegaron el ransomware de forma simultánea en todos los sistemas críticos, cifrando los datos y dejando una nota de rescate en cada máquina.

Todo comenzó con un puerto que no debía estar ahí. Un escaneo de puertos online es fundamental en las pruebas de intrusión en redes precisamente para detectar estos puntos ciegos.

3. Remediación inmediata: Plan de acción en 3 pasos

Si te enfrentas a una brecha similar, el tiempo es oro. La prioridad es contener el daño y recuperar el control.

  1. Aislar los sistemas comprometidos: Desconecta inmediatamente los servidores afectados de la red para detener la propagación del ransomware. Esto incluye tanto la conexión a Internet como a la red local.
  2. Desactivar puntos críticos: Si tienes pasarelas de pago o APIs conectadas a terceros, desactívalas temporalmente para evitar el robo de datos sensibles o transacciones fraudulentas.
  3. Restaurar desde un backup seguro: No pagues el rescate. Activa tu plan de recuperación de desastres y restaura los sistemas desde una copia de seguridad reciente y verificada que sepas que está limpia (offline o inmutable).

4. Prevención: Controles concretos para blindar tu red

Una vez recuperada la normalidad, el objetivo es que no vuelva a suceder. Aquí tienes una checklist de controles de seguridad accionables:

  • Firewall con política de denegación por defecto: Tu firewall debe bloquear todo el tráfico entrante por defecto y solo permitir explícitamente los puertos necesarios para el negocio (ej. 443 para HTTPS). 
    # Ejemplo de regla en UFW (Uncomplicated Firewall) para denegar un puerto
sudo ufw deny 3389/tcp
  • Escaneos de puertos programados: No esperes a tener un problema. Utiliza herramientas para realizar un port scan online de tu propia infraestructura de forma periódica (semanal o mensual). Herramientas como Nmap Online son un buen punto de partida.
  • VPN para accesos remotos: Jamás expongas servicios como RDP o SSH directamente a Internet. Implementa una Red Privada Virtual (VPN) para que el acceso remoto se realice a través de un túnel cifrado y seguro.
  • Gestión de contraseñas robusta: Implementa una política de contraseñas fuertes y habilita la autenticación de múltiples factores (MFA) en todos los servicios críticos.
  • Segmentación de la red: Aísla las redes críticas (como las de bases de datos) de las redes de usuario. Si un atacante compromete un segmento, no podrá moverse fácilmente a otro.

Screenshot from https://nmap.online/es

Para profundizar en las técnicas que usan los profesionales, te recomiendo nuestro tutorial sobre pruebas de seguridad en redes.

5. Resultados y lecciones aprendidas

El impacto del ataque fue mucho más allá del rescate solicitado:

  • Coste financiero: Más de 100.000 € entre pérdida de ventas, costes de recuperación y consultoría de seguridad.
  • Impacto reputacional: Pérdida de confianza de clientes y proveedores.
  • Lección clave: La seguridad por "oscuridad" (creer que nadie encontrará un puerto abierto) no funciona. La monitorización proactiva y automatizada es la única defensa real.

Implementar un programa de escaneo de vulnerabilidades recurrente y cerrar los puertos innecesarios son las acciones más rentables para evitar un desastre similar. La seguridad es especialmente crítica en sectores con alta digitalización, donde la superficie de ataque es enorme. Por ejemplo, según el tráfico y la digitalización portuaria en Puertos del Estado, la gestión de millones de toneladas de mercancías depende de redes seguras. Además, los retos en la seguridad de redes IoT añaden otra capa de complejidad que no debe ser ignorada.

Una imagen estilizada de un candado digital cerrándose, simbolizando la seguridad de la red y el cierre de puertos vulnerables.

Errores comunes al escanear puertos y cómo evitarlos


Saber cómo hacer un **port scan online** es solo la mitad del trabajo. La otra mitad, que a menudo es la más crítica, consiste en entender qué hacer con los resultados y no caer en los mismos tropiezos de siempre.

  • Olvidar los puertos UDP: La mayoría de escaneos se centran en TCP, pero servicios como DNS (puerto 53) usan UDP. Ignorarlos es dejar una puerta trasera sin vigilar.
  • Confiar en herramientas poco fiables: Usa siempre plataformas de escaneo reconocidas. Algunas herramientas gratuitas pueden registrar tu IP y los resultados para usarlos en tu contra.
  • No actuar tras el escaneo: El error más grave es escanear, encontrar un puerto abierto y pensar "ya lo cerraré mañana". Un atacante solo necesita unos minutos.

Preguntas frecuentes sobre el escaneo de puertos

Aquí vamos a resolver algunas de las dudas más habituales que surgen al usar herramientas de port scan online.

¿Es legal hacer un escaneo de puertos?

Sí, siempre que escanees sistemas de tu propiedad o sobre los que tengas permiso explícito. Escanear redes ajenas sin autorización es una actividad hostil y puede ser ilegal, ya que es el primer paso de un ciberataque.

¿Cuál es la diferencia entre un escaneo TCP y uno UDP?

TCP establece una conexión fiable, por lo que es fácil confirmar si un puerto está abierto (es como llamar a una puerta y esperar respuesta). UDP envía datos sin confirmación, lo que hace el escaneo más lento y menos concluyente (es como enviar una postal y no saber si ha llegado). La mayoría de los servicios de Internet (web, email, SSH) usan TCP.

¿Con qué frecuencia debería escanear mis puertos?

Para una empresa, se recomienda realizar un escaneo de puertos como mínimo una vez al mes y siempre después de realizar cambios significativos en la infraestructura de red (instalar un nuevo servidor, cambiar reglas del firewall, etc.). La clave es convertirlo en un proceso de seguridad continuo.

En DragonSec creemos que la seguridad proactiva es la única defensa que funciona de verdad. Nuestra plataforma te permite automatizar los escaneos de vulnerabilidades y monitorizar toda tu superficie de ataque de forma continua, para que siempre vayas un paso por delante de las amenazas. Descubre cómo podemos proteger tu negocio.

Entradas relacionadas