Imagen que muestra el texto "Network Scanner o Escaneo de Red" sobre un fondo de código binario y huellas dactilares digitales, representando la seguridad informática y el análisis de redes.
Descubre cómo un Network Scanner puede proteger tu red. Analiza, detecta y protege tu infraestructura informática con la ayuda de escaneos de red. ¡Aprende más!
Blog CCNA
·8 Minutos de lectura

Network Scanner o Escaneo Red: ¿De qué se trata?

Inicio
Blog CCNA

En el ámbito de la seguridad preventiva, una herramienta interesante es el análisis de red o escaneo de red (network scanning).

¿Qué es un Network Scanner o Escáner de Red?

Hablando de «network scan» o «network scanning» (Escaneo de red, en español), nos referimos al uso de una tecnología específica combinada con los conocimientos de un especialista en seguridad informática para analizar los puntos débiles de un sistema informático e identificar sus vulnerabilidades. Desafortunadamente, este análisis también interesa a los malintencionados, quienes lo usan para mapear redes en busca de vulnerabilidades que luego explotarán para comprometer un dispositivo o todo el sistema IT.

Imagen de servidores de datos con superposición de datos numéricos, que representa visualmente el concepto de escaneo de red y el análisis de la infraestructura informática.
El escaneo de red: una herramienta esencial para entender y proteger tu infraestructura IT. Visualiza el poder del análisis de redes.

Un network scanner es una herramienta que analiza todos los componentes de un entorno de TI y sus servicios, incluyendo todos los dispositivos, servidores web o FTP, routers y estaciones de trabajo activas. Gracias a esta tecnología, se pueden identificar en cualquier momento las vulnerabilidades de seguridad presentes. Los objetivos de este análisis son múltiples:

  • Cuantificar los niveles de riesgo.
  • Identificar estrategias correctivas.
  • Identificar las acciones necesarias para una posible restauración.
  • Monitorear el tráfico de red para cerrar brechas de seguridad.
  • Verificar si los paquetes de datos se transmiten a través de las puertas previstas.
  • Verificar si los firewalls bloquean involuntariamente puertos importantes.
  • Comprobar si es necesario cerrar los puertos abiertos e inutilizados.

¿Qué es un Puerto en el Lenguaje Informático?

El término «port» (puerto) se usa frecuentemente en informática. Indica las puertas para los datos transmitidos entre computadoras e Internet.

A cada puerto se le asigna un número que forma parte de la dirección IP. Este número permite asignar paquetes de datos a una IP específica, para que los datos se transfieran exactamente al destinatario deseado. En resumen, el puerto determina la dirección específica de destino o del remitente que envió los datos.

En los sistemas operativos, estas operaciones se realizan continuamente, muy rápido e incluso simultáneamente. Esto crea la necesidad de tener un número considerable de puertos abiertos en paralelo, capaces de gestionar todo el tráfico de datos sin errores. Cada computadora posee 65.536 puertos que trabajan incansablemente.

Algunos de estos puertos están reservados para tareas específicas, como correo electrónico, sitios web o protocolos. Estas son las «puertas estandarizadas» o «Well Known Ports«, un total de 1024. Existen puertos asignados para aplicaciones fijas y dinámicas (aproximadamente 48.000), mientras que otros se asignan dinámicamente desde un pool.

¿Para qué sirve un puerto?

Para que varios dispositivos se comuniquen a través de la red, se necesitan tres componentes: un protocolo de red, una dirección IP y un puerto.

La dirección IP identifica inequívocamente un host en la red, el protocolo es el medio por el que viajan las informaciones y el puerto es el que se encarga de dirigir el paquete de datos hacia un servicio específico o una aplicación dentro del dispositivo receptor. En pocas palabras, imagínate que quieres visitar a un amigo. Necesitarás saber dónde encontrarlo (dirección IP), deberás seguir un camino respetando las reglas de tránsito (protocolo) siguiendo indicaciones (puertos).

Escaneo de Red (Network Scanning): Técnica de Ataque y Defensa

Captura de pantalla que muestra una interfaz de software de escáner de red, mostrando una lista de dispositivos conectados a una red local con sus direcciones IP, nombres, direcciones MAC y sistemas operativos.
Visualiza cómo un escáner de red identifica y lista los dispositivos conectados a tu red. Gestiona y monitoriza tu infraestructura de red con facilidad.

Como ya hemos dicho, el escaneo de red, o network scanning, es una herramienta útil para identificar posibles fallas en los sistemas informáticos. El problema surge porque esta técnica puede ser explotada con diferentes propósitos, incluso por ciberdelincuentes. Por un lado, podría ser el legítimo administrador del sistema informático quien lo utilice para encontrar y eliminar problemas de seguridad, pero por otro, podría ser un hacker utilizándolo para encontrar puntos de acceso útiles para lanzar un ataque.

Funcionamiento Básico

En el caso más simple, un network scanner crea un paquete ad hoc para enviarlo a cada uno de los puertos del sistema informático que se pretende analizar. Al obtener las respuestas, se puede distinguir el estado de cada puerto:

  • Abiertos: Significa que están activos y envían una respuesta positiva.
  • Cerrados: El puerto está inactivo; la respuesta comunica que las solicitudes en ese puerto serán rechazadas.
  • Filtrados: No se obtiene ninguna respuesta del host; el puerto está bloqueado o está controlado por un firewall.

Una vez obtenida una mapa completo de los posibles puntos de acceso, se puede intentar violarlos para identificar las vulnerabilidades. Porque, si el dispositivo analizado no está configurado correctamente, también transmitirá otra información, como el tipo de dispositivo, el sistema operativo, los servicios en ejecución en el puerto y el nivel de autenticación necesario.

Existen dos técnicas diferentes según los objetivos. Se habla de escaneo vertical cuando se ejecuta un solo IP en todos los puertos para encontrar los abiertos. Se habla de escaneo horizontal cuando un puerto se prueba con diferentes IPs para saber cuántos hosts tienen acceso a ese puerto.

Técnicas Avanzadas para el Port Scanning Malévolo

Hay un problema: los servicios en escucha registran en un archivo, llamado log, todos los intentos de acceso y las solicitudes de conexión. Si reciben un paquete señuelo, registran un error y no envían datos; un administrador del sistema podría darse cuenta de un intento de intrusión o un port scanning malicioso. En lugar de realizar análisis rápidos, que al inundar el sistema de solicitudes generarían una señal anómala bastante evidente, los hackers se han ingeniado y utilizan exploraciones lentas, que pueden durar días. De esta manera, las solicitudes ilegítimas se mezclan con las legítimas y son más difíciles de detectar.

Hay otros métodos que permiten a los malintencionados eludir algunas limitaciones y filtros. En algunos casos, los ciberdelincuentes prueban los puertos cerrados para no generar informes y determinar por exclusión los puertos abiertos.

Cómo Controlar el Estado de los Puertos

Hay diferentes maneras de realizar un network scanning: existen métodos «hazlo tú mismo», que pueden dar resultados incomprensibles para quien no está familiarizado con esto. También hay software, algunos gratuitos, y como última opción (recomendada para cualquiera que necesite una prueba de seguridad realmente eficiente), puede recurrirse a profesionales que se encarguen de este análisis.

Lectura recomendada: Angry IP: Herramienta que “detecta” todas las Máquinas en la Red

Controlar los puertos de forma autónoma en Windows

Windows permite monitorear los puertos a través del símbolo del sistema. Simplemente use el comando «CMD netstat -ano» en el símbolo del sistema. De esta manera, se mostrarán en la pantalla todas las conexiones de red existentes a través de los puertos abiertos y los puertos de escucha momentáneamente no conectados. A través de este comando, también se puede acceder a información relacionada con el número PID, es decir, el ID del proceso utilizado en ese momento por un puerto o en escucha a través de él.

Es posible encontrar el nombre del proceso a través del PID en la sección «Administrador de tareas«.

Controlar los puertos a través de un software para el port scanning

El funcionamiento es similar al de los comandos del símbolo del sistema. Este software controla los puertos abiertos y los servicios autorizados, verifica la seguridad y la estructura de una red. Algunos de estos son gratuitos y capaces de analizar diferentes tipos de protocolos.

Ver también

Controlar los puertos con herramientas online

También es posible utilizar herramientas online gratuitas que pueden analizar tu computadora e identificar las fallas de seguridad. Estos sitios web analizan principalmente los puertos estándar, produciendo resultados en forma de lista.

Programas para escaneo de red

Diferentes Tipos de Escaneo de Puertos

Obviamente, no todos los algoritmos de network scanning funcionan de la misma manera. El escaneo de «conexión completa TCP» consiste en enviar una solicitud de acceso, llamada mensaje SYN, a un puerto. En caso de un puerto abierto, se recibe como respuesta un mensaje de reconocimiento, llamado SYN-ACK. El escáner también envía su mensaje ACK. Si el puerto está cerrado, el sistema remoto enviará como respuesta un mensaje de restablecimiento (RST). Si el sistema no existe en esa red, no habrá respuesta.

Un segundo tipo de escaneo es el llamado «TCP semiapertura»; en este caso, se envía un SYN y es suficiente recibir un SYN-ACK o un RST en respuesta para completar la conexión. Este mecanismo es más rápido que el anterior y requiere el envío de un número menor de paquetes.

Otro mecanismo posible es enviar paquetes desconocidos o incorrectos para probar si el sistema remoto cierra la conexión o lo hace conectar.

Conclusiones

Los datos de análisis de un escaneo de puertos deben considerarse sensibles, ya que contienen información sobre los posibles puntos de acceso y las vulnerabilidades del sistema examinado. Por lo tanto, deben conservarse con el debido cuidado. Identificar vectores de intrusión de esta manera puede ser extremadamente útil para una empresa que quiera solucionarlos, pero también para un malintencionado que quiera comprometer el sistema.

Obviamente, el hecho de recopilar información sobre el estado de los puertos no es en sí mismo un ataque informático, pero probablemente forma parte de la planificación de la amenaza. Precisamente por esto, el análisis de accesos anómalos y picos inusuales del tráfico de red pueden ayudar a evitar ataques.

Es necesario destacar que un network scanner no es un sistema de protección anti intrusiones, sino solo una herramienta para identificar los puntos que necesitan protección informática.

Los boletines de seguridad indican que la tendencia es lanzar ofensivas contra dispositivos y servidores a través de puertos considerados seguros y concentrar la acción en breves intervalos de tiempo para alcanzar el objetivo antes de que el ataque pueda ser detectado y bloqueado.

Solo queda informarse para protegerse mejor.

Lectura recomendada: Cómo prevenir ataques de escaneo de puertos

Un hombre de negocios celebra emocionado frente a un portátil, mostrando su éxito al encontrar empleo en el extranjero con ayuda de sitios web especializados en reubicación.
Anterior
Mejores Sitios Web para Encontrar Empleo en el Extranjero con Reubicación
Imagen de fondo oscuro con números digitales que se mueven, con el texto "MAC SPOOFING O SUPLANTACIÓN DE MAC" en un rectángulo rojo en el centro. Una figura encapuchada se insinúa en el fondo.
Siguiente
MAC Spoofing o Suplantación de MAC: Cómo puede poner en Riesgo tu Red