We support browsers, not dinosaurs. Please update your browser if you want to see the content of this webpage correctly.

¿Qué es el análisis de puertos?

El análisis de puertos se utiliza para comprobar qué puertos de la red están abiertos y pueden recibir o enviar datos. También se utiliza para enviar paquetes a puertos concretos de un anfitrión y analizar respuestas para identificar vulnerabilidades. Este proceso de análisis no es posible si no se crea una lista de anfitriones activos y se asignan a sus direcciones IP. Una vez que se ha completado el análisis exhaustivo de la red y se ha creado una lista de anfitriones, se puede realizar un análisis de puertos adecuado. La organización de direcciones IP, anfitriones y puertos permite que el escáner identifique correctamente las ubicaciones de servidores abiertos o vulnerables con el objetivo de diagnosticar los niveles de seguridad.

Estos análisis revelan la presencia de seguridad en el lugar, como un cortafuegos entre el servidor y el dispositivo del usuario.

Tanto los ciberatacantes como los administradores pueden utilizar estos análisis para verificar o comprobar las políticas de seguridad de una red e identificar vulnerabilidades y, en el caso de los atacantes, para explotar puntos de entrada débiles.

Los protocolos generales utilizados para el análisis de puertos son TCP (Protocolo de control de transmisión) y UDP (Protocolo de datagramas de usuario). Ambos son métodos de transmisión de datos en Internet, pero tienen diferentes mecanismos. TCP es una transmisión de datos fiable con conexión bidireccional que depende del estado del destino para completar un envío satisfactorio. UDP no tiene conexión y no es fiable. No importa el destino al que se envían los datos, por lo que no se garantiza que los datos lleguen a él. Existen varios métodos para realizar análisis de puertos mediante estos dos protocolos; se explicarán más adelante en la sección de técnicas.

¿Qué es un puerto?

En informática, los puertos son el punto de acoplamiento central del flujo de información desde un programa o Internet a un dispositivo u otro equipo de la red y viceversa. Es el lugar de estacionamiento para el intercambio de datos mediante mecanismos electrónicos, de software o vinculados a la programación. Los números de puerto se utilizan con fines de programación y homogeneidad. Todo proveedor de servicios de Internet debe guardar el número de puerto asociado a una dirección IP para poder responder a las peticiones. Los puertos tienen un rango de 0 a 65 536 y se clasifican por su popularidad.

Los puertos del 0 a 1023 son conocidos por estar diseñados para su uso en Internet, aunque también pueden tener fines especializados. Los administra la Internet Assigned Numbers Authority (IANA). Estos puertos están en manos de empresas de máximo nivel como Apple QuickTime, MSN, servicios SQL y otras organizaciones importantes. Puede que reconozca algunos de los puertos más destacados y los servicios que tienen asignados:

  • El puerto 20 (UDP) lo ocupa el Protocolo de transferencia de archivos (FTP), que se usa para transferir datos
  • El puerto 22 (TCP) corresponde a Secure Shell (SSH), un protocolo para inicios de sesión seguros, ftp y enrutamiento de puertos
  • El puerto 53 (UDP) es el Sistema de nombres de dominio (DNS), que traduce nombres a direcciones IP
  • El puerto 80 (TCP) es el HTTP de la World Wide Web

Los números 1024 a 49 151 se consideran «puertos registrados», ya que están registrados por corporaciones de software. Los puertos 49 151 a 65 536 son puertos dinámicos y privados; casi todos pueden usarlos.

¿Qué tipo de resultados puede obtener de un análisis de puertos?

Los análisis de puertos informan al usuario y clasifican el estado de la red o servidor, dentro de una de estas tres categorías: abierto, cerrado o filtrado.

Los puertos abiertos indican:

El servidor o la red de destino acepta activamente conexiones o datagramas y ha respondido con un paquete que indica que está escuchando. También indica que el servicio utilizado para el análisis (normalmente TCP o UDP) está en uso. El objetivo general del análisis de puertos suele ser encontrar puertos abiertos, y supone una victoria para el ciberdelincuente que busca una vía de ataque. Los administradores intentan bloquear estos puertos instalando cortafuegos para protegerlos sin tener que limitar el acceso a los usuarios legítimos.

Los puertos cerrados indican:

El servidor o la red ha recibido la solicitud, pero no hay ningún servicio «escuchando» en ese puerto. Un puerto cerrado sigue siendo accesible y puede ser útil para mostrar que hay un anfitrión en una dirección IP. Estos puertos deben supervisarse, ya que pueden abrirse y crear vulnerabilidades. Los administradores deberían optar por bloquearlos con un cortafuegos, donde luego se convertirían en puertos «filtrados».

Los puertos filtrados indican:

Que se ha enviado un paquete de solicitud, pero el anfitrión no ha respondido y no está escuchando. Esto generalmente significa que un cortafuegos ha filtrado y/o bloqueado el paquete de solicitud. Los paquetes no alcanzan su objetivo y, por lo tanto, los atacantes no encuentran más información. A menudo responden con mensajes de error tales como «destino inalcanzable» o «comunicación prohibida».

¿Cuáles son las técnicas de análisis de puertos?

Existen varias técnicas de análisis de puertos que envían paquetes a destinos por diversas razones.

A continuación, se enumeran algunas de las técnicas y se explica su funcionamiento:

  • Los análisis de puertos más simples se denominan análisis de ping. Se trata de solicitudes del protocolo de mensajes de control de Internet (ICMP). Los análisis de ping envían una ráfaga automatizada de solicitudes ICMP a diferentes servidores para generar respuestas. Los administradores pueden usar esta técnica para solucionar problemas o deshabilitar el ping mediante el uso de un cortafuegos, lo que hace imposible a los atacantes encontrar la red mediante pings.
  • Un análisis medio abierto o «SYN» solo envía un mensaje SYN (abreviatura de sincronizar) y no completa la conexión, dejando el objetivo pendiente. Es una técnica rápida y engañosa destinada a encontrar posibles puertos abiertos en los dispositivos de destino.
  • Los análisis XMAS son aún más silenciosos y menos perceptibles. A veces, los paquetes FIN (mensaje que significa “no hay más datos disponibles del remitente”) pasan desapercibidos por los cortafuegos porque en su mayoría buscan paquetes SYN. Por esta razón, los análisis XMAS envían paquetes con todos los indicadores, incluido FIN, sin esperar una respuesta, lo que significa que el puerto está abierto. Recibir una respuesta RST significaría que el puerto está cerrado. Se trata de una forma más disimulada de averiguar más sobre la protección y el cortafuegos de una red, ya que este análisis rara vez aparece en los registros.

¿Cómo pueden los ciberdelincuentes utilizar el análisis de puertos como método de ataque?

Según el Instituto SANS, el análisis de puertos es una de las tácticas más populares de búsqueda de servidores vulnerables utilizadas por los ciberatacantes.

Estos ciberdelincuentes suelen usar el análisis de puertos como paso preliminar al ataque de redes. Lo utilizan para analizar los niveles de seguridad de las organizaciones y descubrir quién dispone de un cortafuegos potente y quién tiene un servidor o una red vulnerable. Existen varias técnicas de protocolo TCP que hacen posible que los atacantes oculten su ubicación de red y utilicen «tráfico señuelo» para realizar análisis de puertos sin revelar ninguna dirección de red al objetivo.

Sondean redes y sistemas para comprobar la reacción de cada puerto: abierto, cerrado o filtrado. Las respuestas abiertas y cerradas alertan a los hackers de que su red está en el extremo receptor del análisis. Estos ciberdelincuentes pueden determinar el nivel de seguridad y el tipo de sistema operativo con el que cuenta su empresa. El análisis de puertos es una técnica antigua que requiere cambios de seguridad e inteligencia de amenazas actualizada, ya que los protocolos y las herramientas de seguridad evolucionan a diario. Necesita las alertas de análisis de puertos y los cortafuegos para supervisar el tráfico a sus puertos y asegurarse de que el tráfico malicioso no detecte su red.