Tema 15
No se puede defender lo que no se puede observar. La visibilidad de red se construye a partir de distintas fuentes: registros, metadatos de flujo y capturas de paquetes. Cada una aporta un nivel diferente de detalle, contexto y costo operativo, y juntas forman una base esencial para detectar, investigar y mejorar.
En el tema anterior vimos la importancia de detectar y correlacionar eventos. Pero para que esa capacidad exista, antes debe haber datos. Y no todos los datos son iguales. Un log de firewall, un flujo NetFlow y una captura de paquetes responden preguntas distintas y tienen costos distintos.
La visibilidad real surge cuando una organización entiende qué puede obtener de cada fuente, cómo combinarlas y qué limitaciones tiene cada una. Sin esa comprensión, es fácil caer en dos extremos igualmente problemáticos: no tener suficiente información o acumular demasiados datos sin capacidad de analizarlos.
Tener visibilidad de red significa poder responder preguntas concretas sobre qué está ocurriendo en la infraestructura. Por ejemplo:
Ninguna fuente responde por sí sola a todas estas preguntas. Por eso es importante distinguir entre registros, flujos y paquetes.
Los logs son registros generados por sistemas, aplicaciones o dispositivos cuando ocurre un evento relevante. En redes, pueden provenir de firewalls, routers, switches, controladores Wi-Fi, proxies, VPN, servidores y muchas otras fuentes.
Un log puede reflejar:
Los logs son especialmente útiles para entender decisiones y eventos internos del dispositivo que los genera. No muestran solo el tráfico, sino la interpretación que ese dispositivo hizo del evento.
| Fuente | Qué suele registrar | Valor principal |
|---|---|---|
| Firewall | Allow, deny, NAT, reglas aplicadas | Entender decisiones de control |
| VPN | Conexiones, autenticación, duración | Rastrear acceso remoto |
| Switch/router | Cambios, errores, eventos de interfaz | Diagnóstico y seguridad operativa |
| Controlador Wi-Fi | Asociaciones, roaming, autenticación | Visibilidad sobre acceso inalámbrico |
NetFlow, y otros mecanismos equivalentes de exportación de flujos, permiten registrar metadatos sobre las comunicaciones observadas en la red. En lugar de capturar el contenido completo de los paquetes, describen quién habló con quién, por qué puertos, durante cuánto tiempo y con qué volumen aproximado.
Esto hace que NetFlow sea especialmente útil para obtener visibilidad amplia con un costo mucho menor que capturar todos los paquetes completos.
Con esto se puede entender la forma general del tráfico aunque no se vea el contenido completo.
En muchos entornos, NetFlow ofrece una relación muy buena entre visibilidad y costo operativo.
NetFlow no muestra el contenido del tráfico ni siempre refleja la decisión exacta del dispositivo sobre ese flujo. Aporta metadatos, no contexto profundo de aplicación ni carga útil.
Por eso, puede decirnos que un host habló con otro por cierto puerto durante cierto tiempo, pero no necesariamente qué se transmitió dentro de esa sesión.
El análisis de paquetes consiste en capturar y estudiar paquetes individuales o sesiones completas de red para observar con gran detalle cómo se está produciendo la comunicación. Es la forma más profunda de visibilidad técnica, pero también una de las más costosas en términos de almacenamiento, procesamiento y operación.
Una captura de paquetes puede mostrar:
No suele ser práctico capturar todo el tráfico de forma indefinida. Por eso la captura profunda suele reservarse para casos específicos, segmentos críticos o ventanas de investigación.
| Fuente | Qué aporta | Cuándo destaca |
|---|---|---|
| Logs | Eventos y decisiones del sistema | Auditoría, autenticación, cambios, políticas |
| NetFlow | Metadatos de comunicación | Patrones de tráfico, tendencias, lateralidad |
| Paquetes | Detalle técnico profundo | Troubleshooting e investigación detallada |
Una condición básica para investigar bien es que las fuentes tengan tiempo coherente. Si un firewall, un servidor VPN y un sensor de red muestran eventos con relojes desalineados, reconstruir la secuencia real del incidente se vuelve confuso y propenso a error.
Por eso la sincronización de tiempo es un requisito operativo central en cualquier estrategia de visibilidad.
Cuanta más visibilidad se desea, más datos se generan. Eso obliga a tomar decisiones sobre retención, priorización y niveles de detalle.
Una estrategia madura no busca guardar absolutamente todo, sino conservar lo más útil según criticidad, objetivos y capacidad operativa.
El cifrado reduce visibilidad sobre el contenido, pero no elimina por completo la capacidad de observar la red. Los metadatos de flujo, los logs de aplicaciones, los eventos del endpoint y ciertos patrones de comportamiento siguen siendo muy valiosos.
Por eso, en entornos modernos, la visibilidad ya no puede depender solo de ver el contenido en claro. Debe apoyarse en múltiples fuentes complementarias.
La visibilidad de red no depende de una única herramienta, sino de la capacidad de usar distintas fuentes según el problema a resolver. Logs, flujos y capturas de paquetes cumplen roles diferentes y complementarios. Cuando se entienden bien, permiten detectar mejor, investigar con más precisión y sostener decisiones de seguridad basadas en evidencia real.
En el próximo tema estudiaremos hardening de routers, switches, servidores y servicios expuestos para reforzar la superficie técnica de la infraestructura.