Generalmente para realizar la mayoría de tareas no se requiere que abramos un puerto en nuestro router. No obstante, para algunas tareas especiales es imprescindible hacerlo. En algunos momentos para el correcto funcionamiento de un programa o juego, necesitamos abrir unos puertos para que sean accesibles desde Internet. Esta tarea hay que hacerla con mucho cuidado, ya que los ciberdelincuentes realizan el escaneo de puertos buscado distintas posibilidades para ejecutar sus ataques. Aquí vamos a explicar si pueden entrar virus si abro los puertos y cómo debemos hacerlo de forma correcta.
Cosas a a tener en cuenta sobre los puertos
Vamos a aclarar una serie de conceptos antes de abordar si puedo coger un virus si abro los puertos Un router tiene 65536 puertos, y empiezan desde el cero y terminan en el 65535. Una entidad que tiene mucho que decir al respecto es la IANA que viene de las siglas en inglés Internet Assigned Numbers Authority. Esta autoridad se encarga de supervisar la asignación global de direcciones IP, sistemas autónomos, servidores raíz de nombres de dominio DNS y otros recursos relativos a los protocolos de Internet. Así se han creado tres grupos diferentes cada uno con una función diferente:
- Puertos bien conocidos, van desde el 0 al 1023 y son los que están reservados para el sistema operativo de nuestro ordenador junto a los protocolos más importantes. Algunos ejemplos son el puerto 21 para FTP, el 23 el de Telnet, y el 80 para el HTTP.
- Los puertos registrados son los que van del 1024 al 49151. En cuanto a éstos, pueden ser utilizados por cualquier aplicación, aunque existe una lista pública en la web de la IANA donde se puede consultar el protocolo que usa cada uno.
- Puertos dinámicos o privados que irían desde 49152 al 65535 y se asignan de forma dinámica a las aplicaciones de clientes al iniciarse la conexión. En este rango, por ejemplo, encontraríamos los clientes de descargas P2P.
Abrir de forma correcta los puertos del router
Antes de empezar, una cosa importante a comentar es que en la capa de transporte del modelo TCP/IP, tenemos que hablar de dos tipos de protocolos: TCP y UDP. Los dos se pueden utilizar a la hora de abrir los puertos.
En ese sentido, unas recomendaciones para no tener problemas a la hora de abrir los puertos serían:
- Tener claro la IP local a la que vamos abrir los puertos. Una buena medida puede ser dejarla fija en el TCP / IP de Windows o en la configuración del router. Caso contrario si tienes el DHCP en automático la próxima vez te podrían asignar una IP local diferente y no funcionaría.
- Establecer el puerto adecuado. En ocasiones, para funcionar se requiere que utilicemos un puerto concreto. Por ejemplo, en el apartado anterior hablamos de los puertos bien conocidos. Y, por ejemplo, si queremos crear un servidor web para alojar una web usaremos el puerto 80. En el hipotético caso que podamos elegir uno debemos hacerlo con cuidado.
- A veces no es suficiente con poner el número de puerto. Dependiendo del router también tendréis que especificar si vais a utilizar el protocolo TCP o UDP.
Si queremos abrir puertos en nuestro PC con Windows empezaremos por utilizar el comando ipconfig /all en una ventana Símbolo del sistema.
De aquí necesitamos la puerta de enlace predeterminada que es la IP de nuestro router y que vamos a necesitar para acceder a sus configuraciones. La otra es la dirección IPv4 que es nuestra IP local a la que vamos abrir los puertos.
A continuación, escribimos la IP del router en el navegador e introducimos nuestro usuario y contraseña para entrar a la configuración del router. Luego, buscamos un apartado llamado generalmente NAT, Virtual Server o Port Forwarding y seguimos los pasos que establecí arriba.
No obstante, si queréis una información más detallada aquí tenéis un tutorial para abrir los puertos TCP / UDP de cualquier router.
¿Puedo coger un virus si abro los puertos de mi router?
En el momento que abrimos un puerto puede ser peligroso, sobre todo porque en cualquier momento podría estar escuchando un servicio vulnerable en ese puerto, por lo tanto, estaremos expuestos. Para que no nos ataquen a través de un puerto abierto que tiene un servicio vulnerable, y, por tanto, que puedan explotar alguna vulnerabilidad, es muy importante que sigas estos consejos:
- No abrir cualquier puerto al azar, asegurarnos de que el servicio que está escuchando detrás no tiene ninguna vulnerabilidad. Debemos actualizar el software a la última versión siempre.
- Hay que procurar que el rango de puertos sea lo más pequeño posible. Cuantas menos posibilidades demos a los atacantes mejor.
- Es más seguro abrir los puertos de forma manual, que automáticamente utilizando UPnP, porque seguramente tengas clientes conectados que no sepas que usan UPnP y abran los puertos de forma autónoma.
Una de las razones por las que hacemos esto, es que en buscadores como Shodan se pueden ver los puertos abiertos de diferentes servicios, e incluso es capaz de decirnos si hay un servicio funcionando detrás de este puerto.
En ese sentido para mejorar nuestra seguridad debemos evitar el uso de algunos puertos si no vamos a utilizar ese servicio. Por ejemplo, el puerto 21 del FTP, el 22 del protocolo SSH, el 23 del protocolo Telnet o el 80 para crear un servidor web son puertos bien conocidos, y serán los primeros en localizar en un escaneo de puertos. Aunque uses los servicios de FTP o SSH, es recomendable cambiar los puertos de escucha por alguno que no sea el de por defecto.
Aquí tenéis los puertos TCP y UDP más peligrosos y que recomendamos no utilizar salvo que los necesitéis específicamente. Por lo tanto, si sólo abrimos los puertos estrictamente necesarios vamos a tener un sistema más protegido. Recordad que, cuantos más puertos abiertos tengamos más posibilidades de ataque estamos dando a los ciberdelincuentes.