Estos son los 3 puertos que no debes abrir en el router para estar seguro

Redes

Abrir puertos de un router es algo que buscan miles de usuarios todos los días. Aunque por seguridad lo mejor es tenerlos cerrados si no sabemos lo que estamos haciendo, muchas aplicaciones requieren abrir los puertos para su buen funcionamiento. Esto ocurre a la hora de jugar online con nuestra consola o para descargar archivos de Internet con algún programa P2P. Sin embargo, acabamos de conocer que la mayor parte de usuarios pueden estar más seguros y librarse de la mayoría de los ciberataques con sólo tener cerrados 3 puertos.

Los 3 puertos que no debes abrir en el router para estar seguro

Analizando más de 130.000 ataques y 4.000 clientes de la compañía de seguridad Alert Logic ha sido posible llegar a una interesante conclusión que nos va a venir muy bien conocer. Según este informa de seguridad, existen tres puertos que “se llevan” la inmensa mayoría de los ataques realizados por Internet. Según el estudio, estos puertos son:

  • 22 – SSH (Secure Shell)
  • 80 – HTTP (Hypertext Transfer Protocol)
  • 443 – HTTPS (Hypertext Transfer Protocol Secure)

El 65% de los ataques se producen utilizando estos puertos. En cuarto lugar, encontramos el puerto utilizado para Windows Remote Desktop Protocol (RDP) o Escritorio remoto. Este puerto, el 3389, ha escalado hasta esa posición debido a algunos fallos de seguridad detectados este mismo año. Hablamos de GoldBrute, el ejército de bots que está escaneando Internet aprovechando BlueKeep, un fallo crítico que fue parcheado en mayo.

puertos abiertos

El resto de los puertos vulnerables por orden son: 3301, 3306, 8080, 53, 9002, 5986 y 8443. En este caso hablamos de puertos TCP. En el caso de FTP o File Transfer Protocol, los puertos 20 y 21 también han sido catalogados como peligrosos, detectándose miles de impresoras, cámaras y otros dispositivos vulnerables.

La compañía recomienda mantener cerrados todos estos puertos para máxima seguridad. En caso de necesitar abrir alguno de ellos para determinados servicios, debemos mantener actualizado el router, el software del sistema y todas las aplicaciones que utilicemos. En caso de existir vulnerabilidades, las actualizaciones pueden salvarnos la vida.

Desactualización y sistemas desfasados, otro riesgo para la seguridad

En otro orden de cosas, la compañía de seguridad ha recalcado que los sistemas operativos desactualizados también son un riesgo. El 66% de los ordenadores analizados tienen Windows 7, sistema que se queda sin actualizaciones de seguridad el 14 de enero de 2020. Para más inri, aún se han detectado ordenadores con Windows XP, sin soporte desde 2014, o Windows NT, desactualizado desde hace años. En el mundo Linux, tenemos a casi la mitad de los usuarios con la versión 2.6, sin soporte desde hace 3 años y con 65 vulnerabilidades conocidas.

puertos

Por todo ello, os emplazamos a esta herramienta para comprobar los puertos abiertos. Podemos hacerlo por aplicaciones, por un puerto en concreto, por varios puertos o rango de puertos y por todos los puertos del ordenador. Una vez detectados los puertos abiertos, podemos cerrar estos puertos en caso de no tener que utilizarlos. Para saber cómo hacerlo, podéis visitar el Foro sobre Routers de ADSLZone.

Escrito por Claudio Valero

Fuente > bleepingcomputer

Continúa leyendo
  • xavi73

    Si lo desconectas de Internet también ganas en seguridad. Y si lo apagas aún más!

  • Lucas

    Como para no estar mas seguro. Hombre, si te desconectas de todas las páginas web del mundo qué más puede hacer el usuario medio para infectarse. Un poco tontería de post la verdad.

  • Usuario Indignado

    Esto no hay por donde cogerlo … osea, según los genios del estudio este, lo mejor es no tener puertos abiertos sino es porque necesitas usar el servicio. !Coño, han descubierto la pólvora! …
    El estudio en realidad, habla de servicios vulnerables EXPUESTOS, no de que el puerto, por el hecho de estar abierto, te convierta en vulnerable.
    Si tienes un servidor de SSH expuesto a internet, y es vulnerable porque lo tienes mal configurado o porque la versión que usas es explotable, da igual que lo cuelgues en el 22 (su puesto estandar) en el 2222, o en el 65534, serás exactamente igual de vulnerable.

    Lo que hace vulnerable a los sistemas, es la incorrecta configuración de los mismos, en primer lugar, seguido de utilizar software vulnerable, en segundo.
    Porque da igual que el software no tenga ninguna vulnerabilidad conocida … si lo configuras mal y lo expones a internet, es igual o más peligroso que si tiene un 0-Day

    • José Manuel Iniesta Bernal

      Muy de acuerdo, un buen hacker no escaneará sólamente el puerto 22 en busca de una conexión SSH débil, sino que escaneará los 65536 puertos en busca de una conexión con este protocolo. Es más costoso en términos de tiempo para encontrar una puerta abierta vulnerable, pero es posible. Aunque es una primera protección ante ataques a puertos fijos, lo más importante es lo que haya detrás: software servidor actualizado, firewall activado y buenas contraseñas.

    • Carlos

      Exacto. No se puede explicar más claro.
      Por razones que no vienen al caso, tengo un servidor nas de qnap con unos servicios activados para acceso fuera de la red privada. Actualizo puntualmente el firmware y las aplicaciones que dan servicio, reviso la configuración en cada actualización por si acaso, cambio las claves con relativa frecuencia y, espero no tener que arrepentirme, no he tenido ningún susto. El sistema de notificaciones de qts me manda de vez en cuando mensajes por intentos de acceso no autorizado (no son míos, por supuesto) y los bloquea todos.
      Como en el trabajo diario: si te tienes que subir a un punto elevado para reparar algo, usa elevadora homologada, arnés, casco, herramientas adecuadas, etc.
      También hay que decir que el riesgo cero o seguridad absoluta no existen, pero hay que usar todos los medios para que se acerque lo más posible.

  • RexCIBoR

    Hace referencia a puertos de entrada no de salida…. Pero bueno se han lucido con el informe, si tienes o quieres dar servicios los estándar son estándar y si dejas de dar servicio te evitas los DoS. La genialidad del artículo no tiene limites….

  • Victor Bayas

    Falta el puerto 23, que varios routers de operadora lo dejan abierto y cualquiera si sabe la contraseña se loguea por telnet.