Seguridad en Redes - 2. Arquitectura de red, topologías y superficies de ataque

              Objetivo
              Entender cómo el diseño afecta la seguridad
            

              Enfoque
              Estructural y aplicado
            

              Resultado
              Leer una red con criterio de riesgo
            

2.1 Introducción

La arquitectura de red define cómo se conectan entre sí usuarios, dispositivos, servidores, servicios internos, enlaces externos, redes inalámbricas, sistemas de administración y recursos en la nube. No es un detalle técnico menor: es la base sobre la que luego operan todos los controles de seguridad.

Una mala arquitectura obliga a compensar con reglas, excepciones y controles reactivos. Una buena arquitectura reduce exposición desde el origen, segmenta mejor el riesgo, simplifica el monitoreo y facilita la contención ante incidentes.

Por eso, cuando se analiza la seguridad de una organización, una de las primeras preguntas no es qué herramienta usa, sino cómo está organizada su red y qué caminos de comunicación existen entre los distintos activos.

2.2 Qué entendemos por arquitectura de red

La arquitectura de red es la forma en que se estructuran físicamente y lógicamente las comunicaciones dentro de una infraestructura. Incluye dispositivos, segmentos, enlaces, jerarquías, zonas, rutas, servicios centrales y mecanismos de acceso.

Desde el punto de vista de seguridad, una arquitectura no se evalúa solo por rendimiento o escalabilidad. También se evalúa por:

Qué tan claramente separa funciones y niveles de confianza.
Qué tan fácil resulta controlar el tráfico entre zonas.
Qué tan visible es la actividad relevante para detectar anomalías.
Qué tan contenido queda un incidente cuando algo falla.
Qué tan simple es administrar cambios sin introducir riesgos ocultos.

2.3 Componentes típicos de una arquitectura moderna

Una red empresarial o institucional suele estar formada por varias piezas interdependientes. Entenderlas es el primer paso para analizar su exposición.

Componente	Función	Riesgo habitual
Core o núcleo	Interconecta segmentos y concentra tráfico crítico	Impacto alto si se compromete o se cae
Acceso de usuarios	Conecta estaciones de trabajo, notebooks y teléfonos IP	Ingreso inicial de malware o abuso de credenciales
Zona de servidores	Aloja aplicaciones, bases, autenticación y archivos	Movimiento lateral y acceso a activos críticos
Perímetro	Conecta la red con internet o terceros	Exposición de servicios y tráfico malicioso externo
Acceso remoto	Permite ingreso desde fuera de la organización	Abuso de cuentas, robo de sesiones o equipos inseguros
Red Wi-Fi	Brinda conectividad inalámbrica a usuarios y visitantes	Acceso no autorizado o mala segmentación
Integración con nube	Conecta servicios internos con recursos cloud	Confianzas excesivas y pérdida de visibilidad

2.4 Diseño físico y diseño lógico

Una red tiene una dimensión física y otra lógica. La primera describe cableado, equipos, edificios, enlaces y hardware. La segunda describe VLAN, subredes, rutas, políticas de acceso, dominios de broadcast, zonas y relaciones de confianza.

Desde la perspectiva de seguridad, ambas importan. Una red puede tener equipamiento redundante y cableado ordenado, pero estar lógicamente mal segmentada. Del mismo modo, una red lógicamente correcta puede volverse frágil si depende de un único enlace o de un punto físico sin tolerancia a fallas.

Seguridad de red no equivale a seguridad lógica solamente. El diseño físico también afecta disponibilidad, resiliencia y capacidad de contención.

2.5 Topologías de red más comunes

Las topologías describen la forma general en que se conectan los nodos. En la práctica moderna suelen combinarse, pero sus conceptos siguen siendo útiles para pensar fortalezas y debilidades.

Estrella: los equipos se conectan a un punto central. Es común en LAN actuales y facilita control y administración.
Bus: varios nodos comparten un medio común. Hoy es menos frecuente, pero sirve para entender problemas de compartición y visibilidad.
Anillo: los nodos forman una cadena cerrada. Puede aportar redundancia, aunque su gestión puede ser más compleja.
Malla: existen múltiples caminos entre nodos. Aumenta resiliencia, pero también complejidad operativa.
Árbol o jerárquica: organiza la red en niveles, por ejemplo acceso, distribución y core.
Híbrida: mezcla varias topologías según las necesidades del entorno.

2.6 Relación entre topología y seguridad

La topología no define por sí sola la seguridad, pero condiciona dónde centralizar controles, cómo fluye el tráfico y qué pasa si un punto falla o es comprometido.

Topología	Ventaja de seguridad	Riesgo a considerar
Estrella	Facilita inspección y control centralizado	Punto central crítico si no hay redundancia
Malla	Mejor continuidad ante fallas	Más caminos posibles para tráfico no deseado
Jerárquica	Permite separar capas y funciones	Mala configuración en un nivel puede propagarse
Híbrida	Se adapta a necesidades reales del negocio	Complejidad si no hay documentación clara

2.7 Arquitectura por capas

En muchas redes corporativas se trabaja con una arquitectura jerárquica compuesta por capas de acceso, distribución y core. Este modelo ayuda a ordenar funciones y a ubicar controles según el rol de cada nivel.

Capa de acceso: conecta a usuarios y dispositivos finales. Aquí aparecen controles como port security, 802.1X y VLAN de acceso.
Capa de distribución: aplica políticas, enruta entre segmentos y consolida tráfico proveniente del acceso.
Capa core: transporta grandes volúmenes de tráfico entre zonas críticas con alta disponibilidad.

Separar capas no es un capricho académico. Permite decidir mejor dónde inspeccionar, dónde autenticar, dónde limitar el tráfico y dónde priorizar resiliencia.

2.8 Zonas de confianza y separación funcional

Una red madura no trata todos los segmentos como equivalentes. Establece zonas con distintos niveles de confianza. Por ejemplo, la red de usuarios no debería tener el mismo nivel de privilegio que la red de servidores, la red de administración o una red de invitados.

Separar funciones reduce el impacto de errores y ataques. Si todo comparte el mismo espacio lógico, un único punto comprometido puede convertirse rápidamente en un incidente transversal.

Ejemplos de zonas comunes:

Red de usuarios internos.
Red de servidores y aplicaciones.
Zona administrativa para gestión de infraestructura.
DMZ para servicios expuestos.
Wi-Fi de invitados.
Segmentos para IoT, impresoras o dispositivos con menor confianza.

2.9 Qué es la superficie de ataque de una red

La superficie de ataque es el conjunto de puntos desde los cuales un actor puede intentar interactuar con la infraestructura de forma no autorizada o dañina. En una red, esa superficie no se limita a servicios publicados en internet. También incluye conexiones internas, relaciones de confianza mal definidas y administración expuesta.

Forman parte de la superficie de ataque:

Puertos y servicios accesibles desde internet.
Accesos remotos para empleados o proveedores.
Interfaces de administración de dispositivos.
Redes inalámbricas y mecanismos de autenticación asociados.
Enlaces entre sedes, VPN y túneles con terceros.
Conectividad entre entornos on-premise y cloud.
Equipos internos que pueden servir como pivote tras una intrusión inicial.

2.10 Exposición externa e interna

Muchas organizaciones concentran su atención en internet, pero una red también tiene exposición interna. La exposición externa incluye lo que está publicado o reachable desde fuera. La exposición interna comprende lo que puede ser abusado una vez obtenido cierto acceso, por ejemplo mediante una notebook comprometida, una cuenta robada o un proveedor conectado.

Tipo de exposición	Ejemplos	Riesgo principal
Externa	Portales web, VPN, correo, DNS público	Ingreso inicial desde internet
Interna	Accesos laterales, shares abiertos, gestión sin segmentar	Escalada y propagación del incidente
De terceros	Proveedores, integraciones B2B, mantenimiento remoto	Riesgo transferido por confianza excesiva

2.11 Cómo la arquitectura amplía o reduce la superficie de ataque

La arquitectura puede jugar a favor o en contra de la defensa. Algunos diseños amplían innecesariamente la exposición y otros la reducen de forma natural.

Una red plana aumenta la capacidad de movimiento lateral.
Una administración mezclada con usuarios comunes expone activos críticos.
Una DMZ bien definida reduce el contacto directo entre internet y la red interna.
Una red de invitados separada evita que visitantes compartan el mismo espacio de confianza que sistemas internos.
Una segmentación coherente hace más predecible el tráfico y mejora la detección.

La mejor arquitectura no es la más compleja. Es la que separa bien funciones, minimiza dependencias innecesarias y hace visibles los flujos importantes.

2.12 Ejemplos de malas decisiones de diseño

Permitir administración de switches, routers o firewalls desde cualquier segmento interno.
Publicar aplicaciones críticas directamente sin una zona intermedia o controles compensatorios.
Usar una única VLAN para usuarios, impresoras, servidores y cámaras IP.
Abrir reglas amplias entre sedes sin justificar flujos concretos.
No diferenciar redes corporativas de redes de visitantes o dispositivos no confiables.
Agregar infraestructura cloud sin revisar qué rutas y confianzas se crean con la red local.

2.13 Visibilidad y monitoreo desde el diseño

Una arquitectura segura no solo bloquea: también permite observar. Si el tráfico circula por caminos desordenados, si existen demasiadas excepciones o si no hay puntos claros de control, el monitoreo se vuelve difícil y la detección pierde efectividad.

Diseñar pensando en visibilidad implica:

Identificar por qué puntos pasa el tráfico crítico.
Centralizar o estructurar registros de red y administración.
Separar segmentos para que el comportamiento esperado sea más fácil de distinguir.
Documentar rutas, interconexiones y dependencias.
Evitar caminos paralelos no controlados que eludan inspección.

2.14 Documentación e inventario arquitectónico

Una parte importante de la seguridad consiste en saber qué existe. Sin inventario ni documentación, la red tiende a crecer de forma informal y la arquitectura real deja de coincidir con la arquitectura teórica.

Como mínimo, una organización debería conocer:

Qué segmentos, subredes y VLAN existen.
Qué dispositivos cumplen funciones críticas.
Qué servicios están publicados y por qué.
Qué enlaces unen sedes, nube o terceros.
Qué flujos son necesarios entre zonas.
Qué responsables operativos y técnicos tiene cada área de la red.

2.15 Arquitectura segura como base de los temas siguientes

Los próximos controles que estudiaremos tienen sentido solo si se apoyan en una arquitectura entendida. Un firewall no compensa una red completamente plana. Una VPN no resuelve malas relaciones de confianza. Un sistema de monitoreo no puede detectar bien si no se sabe cuál es el tráfico normal.

Por eso este tema funciona como puente entre el marco general del tema 1 y los contenidos técnicos que siguen. Primero entendemos cómo está organizada la red; después veremos cómo proteger sus capas, protocolos, accesos y flujos.

2.16 Qué debes recordar de este tema

La arquitectura de red define relaciones de confianza y condiciona la seguridad desde el inicio.
El diseño físico y el lógico influyen sobre disponibilidad, segmentación y contención.
Las topologías ayudan a entender cómo fluye el tráfico y dónde centralizar controles.
La superficie de ataque incluye exposición externa, interna y de terceros.
Una red segura separa funciones, reduce exposición innecesaria y facilita visibilidad.

2.17 Conclusión

La seguridad de una red comienza mucho antes de aplicar controles específicos. Comienza con la manera en que se estructura la conectividad, se separan los entornos y se definen los caminos por donde circulará el tráfico. Una arquitectura clara y segmentada reduce riesgo, simplifica la operación y hace más efectiva cualquier medida posterior.

En el próximo tema veremos el modelo OSI, la pila TCP/IP y los puntos críticos de seguridad que aparecen en cada capa de comunicación.

Volver al índice