Login Probar gratis
Segmentación de red: cómo limitar el impacto de un ciberataque

Segmentación de red: cómo limitar el impacto de un ciberataque

por MataSpam Seguridad Empresarial

La segmentación de red divide la infraestructura en zonas aisladas para que un atacante que comprometa un equipo no acceda al resto. Funciona como los compartimentos estancos de un barco: si entra agua en uno, los demás siguen secos. Aplicada bien, una red segmentada convierte un ransomware potencialmente catastrófico en un incidente acotado al departamento contable. Aplicada mal, es un plano de Wi-Fi de invitados con nombre rimbombante. Las VLANs de seguridad, la microsegmentación y los firewalls internos son las piezas que permiten aislar la red de la empresa por funciones, sensibilidad de datos y nivel de confianza. Hablamos de cómo se diseña, qué errores evitar y por qué tu router doméstico convertido en "solución empresarial" no cuenta.

Qué es exactamente segmentar una red

Segmentar significa partir una red plana en subredes lógicas con políticas de tráfico entre ellas. La diferencia con un simple "tener varios switches" es que cada segmento tiene reglas explícitas sobre qué puede hablar con qué, y cualquier intento fuera de esas reglas se bloquea y se registra.

El modelo clásico distingue tres niveles. La macrosegmentación separa grandes zonas (oficina, servidores, IoT, invitados). La microsegmentación baja al nivel de carga de trabajo individual, controlando qué procesos pueden comunicarse incluso dentro del mismo servidor o cluster. Entre medias, las VLANs aíslan dominios de difusión a nivel 2 y permiten políticas distintas por puerto del switch.

El objetivo no es teórico. Informes anuales como el Verizon Data Breach Investigations Report y el IBM Cost of a Data Breach Report coinciden en que el movimiento lateral es una de las fases más costosas de un incidente. Cortar esa fase reduce drásticamente el daño y el tiempo de contención.

Por qué una red plana es una invitación al desastre

En una red sin segmentación, el portátil de la recepcionista, la impresora con firmware del 2014, el servidor de nóminas y el NAS con copias de seguridad están en el mismo dominio. Si alguien cae en un phishing AiTM y entrega credenciales, el atacante encuentra un parque de atracciones abierto.

El patrón se repite en casi todos los grandes incidentes públicos. El ataque a Target en 2013 entró por el proveedor de climatización; el de Maersk con NotPetya en 2017 paralizó terminales portuarias enteras porque el malware se propagó sin frenos por la red corporativa. La lección común: no había barreras internas, solo el perímetro.

Y el perímetro lleva años roto. El teletrabajo, los SaaS y los dispositivos personales han diluido la idea de "fuera y dentro". Por eso frameworks como Zero Trust (NIST SP 800-207) parten de asumir que la red interna ya está comprometida y que cada conexión debe autenticarse y autorizarse explícitamente.

VLANs, subredes y firewalls internos: el kit básico

La implementación más extendida combina tres capas. Conviene entender qué hace cada una antes de comprar nada.

TecnologíaCapa OSIPara qué sirveLimitación
VLAN (802.1Q)2Aislar dominios de difusión, separar tráfico por puerto/SSIDPor sí sola no filtra tráfico entre VLANs
Subredes IP + ACLs3Rutas y listas de acceso entre segmentosACLs estáticas, difíciles de mantener a escala
Firewall interno (NGFW)3-7Inspección profunda, IDS/IPS, políticas por aplicación e identidadCoste, latencia si está mal dimensionado
Microsegmentación (host-based)3-7Políticas por workload, contenedor o procesoRequiere agente y telemetría

Las VLANs solas son insuficientes. Si configuras VLAN 10 para oficinas y VLAN 20 para servidores pero el router las enruta sin filtros, has cambiado el cableado pero no la postura de seguridad. El filtrado real lo hace el firewall entre VLANs, idealmente con políticas basadas en identidad (usuario y dispositivo) y no solo en IP.

Cómo diseñar una segmentación que aguante

El error frecuente es segmentar por departamento porque "queda ordenado". Mejor segmentar por sensibilidad de los datos y función técnica. Un esquema mínimo realista para una pyme:

  • Zona usuarios: portátiles y sobremesas del personal.
  • Zona servidores internos: ERP, ficheros, controladores de dominio.
  • DMZ: lo que se expone a internet (web, correo entrante, VPN).
  • Zona IoT/OT: impresoras, cámaras, climatización, maquinaria. Donde viven los dispositivos que nadie parchea.
  • Zona invitados: Wi-Fi para visitas, sin acceso a nada interno.
  • Zona administración: acceso a interfaces de gestión, accesible solo desde estaciones bastión.

Las reglas entre zonas siguen el principio de mínimo privilegio: por defecto denegar todo, abrir solo lo estrictamente necesario, registrar y revisar. La zona de administración merece atención especial. Comprometer una estación con acceso al panel del firewall o al hipervisor equivale a tener llaves maestras, así que conviene aplicar hardening específico a esos equipos.

Otro detalle importante: los servicios compartidos (DNS, NTP, parches, antivirus) suelen necesitar acceso desde casi todas las zonas. Centralizarlos en una zona de servicios y permitir solo los puertos exactos evita abrir agujeros que después nadie cierra.

Microsegmentación: cuando las VLANs ya no llegan

Cuando hay decenas de servidores virtuales, contenedores y cargas en cloud, las VLANs se quedan cortas. La microsegmentación aplica políticas a nivel de carga de trabajo: este contenedor de la aplicación de pedidos solo puede hablar con esta base de datos por el puerto 5432, y nada más. Aunque ambos vivan en el mismo host físico.

Las implementaciones suelen apoyarse en agentes en cada host (VMware NSX, Illumio, Cisco Secure Workload, Akamai Guardicore) o en capacidades nativas del proveedor cloud (Security Groups en AWS, NSGs en Azure, firewall rules en GCP). En entornos Kubernetes, las NetworkPolicies con CNIs como Calico o Cilium permiten un control equivalente entre pods.

El valor real aparece en incidentes. Un ransomware que aterriza en un servidor de aplicaciones se encuentra con que no puede llegar al controlador de dominio, ni a las copias, ni siquiera a otros servidores de su mismo cluster. El radio de explosión queda contenido a una máquina.

Errores típicos al segmentar (y cómo no cometerlos)

La teoría es bonita, la práctica deja huellas. Los fallos que se repiten:

  1. Permitir "any-any" temporal que se queda para siempre. La regla de prueba de un viernes por la tarde sobrevive cinco años. Documenta excepciones con caducidad.
  2. Dejar la administración accesible desde la red de usuarios. El panel del firewall o el SSH del hipervisor no deberían responder a un portátil cualquiera.
  3. Olvidar el tráfico de gestión out-of-band. iLO, iDRAC, IPMI, switches: si están en la misma VLAN que los datos, un atacante puede apagar máquinas o reflashear firmware.
  4. No segmentar el IoT. La cámara IP china con credenciales por defecto y la impresora con SMBv1 no pertenecen a la red de servidores. Nunca.
  5. Confiar solo en VLANs sin firewall. Es separación administrativa, no de seguridad.
  6. No monitorizar el tráfico este-oeste. Si solo miras lo que entra y sale por internet, te pierdes el movimiento lateral, que es donde el atacante hace daño.

Una buena práctica es validar el diseño con ejercicios de red team o, al menos, con escaneos internos asumiendo compromiso de un endpoint. Si desde un portátil random llegas al servidor de copias, la segmentación es decorativa.

La segmentación pasó de ser una buena práctica recomendada a un requisito explícito o implícito de varias normativas. NIS2 (Directiva UE 2022/2555, transpuesta en España mediante el Real Decreto-ley 7/2025 y la Ley de coordinación y gobernanza de la ciberseguridad) exige medidas técnicas proporcionadas para empresas de sectores esenciales e importantes, y la segmentación aparece entre las mencionadas en sus guías de aplicación.

El Esquema Nacional de Seguridad (Real Decreto 311/2022) la incluye en sus medidas para entidades del sector público y sus proveedores. PCI DSS 4.0 la considera prácticamente obligatoria para reducir el alcance del entorno de datos de tarjeta. Y el RGPD, aunque no lista controles concretos, exige medidas técnicas apropiadas al riesgo, y la AEPD ha sancionado ya casos donde una red plana facilitó brechas masivas.

Si manejas datos personales sensibles, propiedad intelectual o información financiera, la pregunta ya no es si segmentar, sino cuánto y cómo documentarlo. Conviene además asegurar la capa de navegación de los usuarios en paralelo, porque la mayoría de compromisos siguen entrando por el endpoint.

Preguntas frecuentes

¿Vale con las VLANs del router de mi proveedor de internet?

Para separar Wi-Fi de invitados, sí. Para una segmentación corporativa real, no. Esos equipos rara vez tienen capacidades de firewall entre VLANs ni inspección de tráfico decente. Necesitas un firewall propiamente dicho, ya sea físico o virtual.

¿Cuántos segmentos debe tener una pyme?

Como mínimo cuatro: usuarios, servidores, IoT/impresoras e invitados. Si hay servicios expuestos a internet, añade DMZ. Si hay administración remota, una zona específica para acceso privilegiado. Más segmentos solo tienen sentido si se gestionan correctamente.

¿La microsegmentación sirve para empresas pequeñas?

Generalmente no compensa por coste y complejidad operativa. Para menos de 50 servidores, una buena macrosegmentación con firewall interno y políticas por identidad cubre el riesgo razonable. La microsegmentación brilla en entornos con muchas cargas y movimiento lateral difícil de controlar de otra forma.

¿Zero Trust sustituye a la segmentación de red?

No, la complementa. Zero Trust añade autenticación y autorización por sesión a cada acceso, pero la segmentación sigue siendo la barrera física y lógica que limita lo alcanzable. Funcionan mejor juntas: red segmentada más control de identidad por conexión.

¿Cómo sé si mi segmentación funciona realmente?

Probándola. Lanza escaneos desde cada zona simulando un endpoint comprometido y comprueba qué alcanzas. Revisa logs de denegaciones del firewall: si están vacíos, probablemente las reglas son demasiado abiertas. Y haz auditorías periódicas, porque las redes mutan con cada proyecto nuevo.

El siguiente paso

Coge el diagrama actual de tu red (o dibújalo si no existe) y marca con colores las zonas por sensibilidad de datos. Donde dos colores distintos compartan VLAN, tienes el primer punto a corregir esta semana. Si necesitas apoyo para diseñar o auditar la arquitectura, el equipo de consultoría tecnológica de Piqture trabaja estos proyectos en empresas de Lleida y alrededores, y puedes complementar la parte de exposición pública con una revisión de tu infraestructura web antes de seguir avanzando.

segmentación red red segmentada vlans seguridad microsegmentación aislar red empresa
MataSpam

Somos un equipo obsesionado con la ciberseguridad. Creamos guías prácticas para que no te la cuelen online. Sin edulcorantes, con mala leche y buen corazón.

Artículos relacionados

Gestión de accesos privilegiados (PAM): proteger las cuentas críticas
Seguridad Empresarial

Gestión de accesos privilegiados (PAM): proteger las cuentas críticas

SIEM: detección de amenazas en tiempo real para empresas
Seguridad Empresarial

SIEM: detección de amenazas en tiempo real para empresas

Auditoría de ciberseguridad: qué es, tipos y cómo prepararse
Seguridad Empresarial

Auditoría de ciberseguridad: qué es, tipos y cómo prepararse

← Volver al blog