Tema 3

3. Modelo OSI, TCP/IP y puntos críticos de seguridad

Entender una red por capas permite identificar mejor dónde nacen los riesgos, qué controles corresponden a cada nivel y por qué una defensa efectiva no depende de una sola herramienta, sino de varias decisiones coordinadas a lo largo de toda la comunicación.

Objetivo Relacionar capas, protocolos y riesgos
Enfoque Técnico y conceptual
Resultado Analizar la seguridad por nivel de comunicación

3.1 Introducción

Las redes funcionan porque distintos protocolos cooperan entre sí. Un usuario abre una página web o se conecta por VPN sin pensar en los múltiples niveles técnicos involucrados, pero detrás de esa acción intervienen direccionamiento, tramas, paquetes, sesiones, puertos, cifrado, validación y procesamiento de aplicaciones.

Desde la seguridad, pensar en capas es útil porque permite localizar problemas con más precisión. No todos los ataques ocurren en el mismo nivel ni se resuelven con los mismos controles. Un problema en capa 2 no se analiza igual que un abuso de HTTP, y un cifrado en capa superior no corrige una mala segmentación en capa inferior.

Por eso el modelo OSI y la pila TCP/IP siguen siendo herramientas didácticas fundamentales. No porque la realidad opere exactamente como una maqueta teórica, sino porque ayudan a razonar de forma ordenada sobre cómo viajan los datos y dónde se deben aplicar protecciones.

3.2 Qué es el modelo OSI

El modelo OSI es un marco conceptual que divide la comunicación de red en siete capas. Cada capa cumple funciones específicas y presta servicios a la capa superior. Aunque en la práctica muchos protocolos no se separan de manera tan estricta, el modelo sigue siendo muy útil para estudiar y diagnosticar redes.

Capa Nombre Función general
7 Aplicación Interacción con servicios y protocolos orientados al usuario
6 Presentación Formato, transformación y representación de datos
5 Sesión Establecimiento, mantenimiento y cierre de sesiones
4 Transporte Comunicación extremo a extremo, puertos y control de entrega
3 Red Direccionamiento lógico y encaminamiento
2 Enlace de datos Comunicación local, tramas y acceso al medio
1 Física Transmisión eléctrica, óptica o inalámbrica de bits

3.3 Qué es la pila TCP/IP

La pila TCP/IP es el modelo práctico sobre el que opera internet y gran parte de las redes modernas. En lugar de siete capas, suele describirse en cuatro o cinco niveles, según el enfoque didáctico.

De manera simplificada, TCP/IP agrupa funciones así:

  • Acceso a red: tecnologías locales como Ethernet o Wi-Fi.
  • Internet: direccionamiento y encaminamiento, principalmente con IP.
  • Transporte: comunicación extremo a extremo con TCP o UDP.
  • Aplicación: protocolos como HTTP, DNS, SMTP, SSH o TLS.

OSI es más detallado como modelo explicativo; TCP/IP es más cercano al funcionamiento real. Ambos se complementan y son útiles para seguridad.

3.4 Por qué pensar la seguridad por capas

Un incidente puede originarse en una capa y manifestarse en otra. Por ejemplo, un atacante puede aprovechar una debilidad de resolución local en capa 2 para redirigir tráfico hacia un servicio web falso en capa 7. Si se analiza solo la aplicación, puede pasarse por alto el origen del problema.

La seguridad por capas ayuda a:

  • Distinguir entre problemas de conectividad, direccionamiento, transporte y aplicación.
  • Elegir controles adecuados para cada tipo de amenaza.
  • Evitar confiar en una sola defensa.
  • Relacionar mejor monitoreo, segmentación, cifrado y autenticación.
  • Diagnosticar con más rapidez dónde se rompe una comunicación o dónde fue alterada.
Un principio central de seguridad en redes es que no existe una única capa "mágica" de protección. La defensa eficaz distribuye controles a varios niveles.

3.5 Capa 1: física

La capa física se ocupa de transmitir bits por medios eléctricos, ópticos o inalámbricos. A veces se la subestima porque parece demasiado básica, pero también tiene implicancias de seguridad.

Riesgos frecuentes en esta capa:

  • Acceso físico no autorizado a cableado, racks, patch panels o salas técnicas.
  • Desconexión deliberada o accidental de enlaces críticos.
  • Interferencia o degradación en enlaces inalámbricos.
  • Instalación de dispositivos no autorizados en puntos de red.

Medidas típicas de protección:

  • Control de acceso físico a equipamiento y cableado.
  • Etiquetado, documentación y orden de infraestructura.
  • Redundancia de enlaces críticos.
  • Monitoreo de caídas y cambios de estado físicos.

3.6 Capa 2: enlace de datos

La capa 2 gestiona la comunicación local dentro de un mismo segmento. Aquí trabajan tecnologías como Ethernet, switches, VLAN y direcciones MAC. Es una capa muy relevante porque muchos ataques iniciales o movimientos laterales dentro de una LAN se apoyan en debilidades locales.

Puntos críticos de seguridad en capa 2:

  • Suplantación de MAC.
  • ARP spoofing o envenenamiento ARP.
  • Conexión de dispositivos no autorizados a puertos físicos.
  • Configuraciones incorrectas de VLAN o trunks.
  • Ataques sobre servicios locales como DHCP.

Controles habituales:

  • Port security.
  • DHCP snooping.
  • Dynamic ARP Inspection.
  • Segmentación por VLAN.
  • 802.1X para control de acceso al puerto.

3.7 Capa 3: red

La capa de red se centra en el direccionamiento lógico y el encaminamiento entre segmentos. Aquí aparecen IP, subredes, routers, rutas estáticas o dinámicas y gran parte de la lógica de interconexión entre zonas.

Desde la seguridad, esta capa es clave porque define qué caminos son posibles entre redes distintas. Un mal diseño o un enrutamiento permisivo pueden anular toda intención de segmentación.

Riesgos comunes:

  • Rutas que habilitan acceso innecesario entre segmentos.
  • Suplantación de direcciones IP.
  • Falta de filtrado entre redes con distinto nivel de confianza.
  • Publicación excesiva de redes internas hacia terceros o nube.
  • Errores en protocolos de enrutamiento o redistribución de rutas.

3.8 Capa 4: transporte

La capa de transporte habilita la comunicación extremo a extremo entre procesos mediante puertos y protocolos como TCP y UDP. Este nivel es importante porque muchas políticas de seguridad se expresan precisamente en términos de puertos, estados de conexión y servicios permitidos.

Aspectos de seguridad en esta capa:

  • Exposición de puertos innecesarios.
  • Abuso de servicios escuchando en puertos conocidos.
  • Escaneos de puertos para enumerar superficie disponible.
  • Ataques de denegación de servicio que explotan el manejo de sesiones o recursos.
  • Uso indebido de UDP para servicios poco controlados o amplificación.

Controles típicos incluyen firewalls stateful, reglas por puerto, rate limiting y monitoreo de conexiones anómalas.

3.9 Capas 5, 6 y 7: sesión, presentación y aplicación

En muchas implementaciones prácticas estas capas se agrupan, pero conceptualmente conviene diferenciarlas. Aquí aparecen la gestión de sesiones, el formato de datos, la autenticación de usuarios y los protocolos que consumen directamente las aplicaciones.

Ejemplos habituales de protocolos y servicios en este nivel son HTTP, HTTPS, DNS, SMTP, IMAP, SSH, LDAP y APIs expuestas por aplicaciones.

Riesgos frecuentes:

  • Aplicaciones inseguras o mal autenticadas.
  • Sesiones robadas o mal gestionadas.
  • Protocolos sin cifrado o con configuración débil.
  • Exposición innecesaria de paneles administrativos.
  • Abuso de servicios públicos para pivoteo o exfiltración.

3.10 Relación entre OSI y TCP/IP

Ambos modelos describen la comunicación en capas, pero con granularidad distinta. Para fines prácticos, suele ser útil establecer equivalencias aproximadas.

OSI TCP/IP Ejemplos de protocolos
Aplicación, presentación, sesión Aplicación HTTP, HTTPS, DNS, SMTP, SSH, TLS
Transporte Transporte TCP, UDP
Red Internet IP, ICMP, protocolos de routing
Enlace y física Acceso a red Ethernet, Wi-Fi, ARP

Esta correspondencia no es perfecta, pero alcanza para interpretar dónde opera cada control y dónde aparece cada riesgo.

3.11 Ejemplos de amenazas por capa

Analizar amenazas por capa ayuda a no mezclar fenómenos distintos bajo una misma etiqueta genérica de "ataque de red".

  • Capa 1: sabotaje físico, desconexión o interferencia.
  • Capa 2: ARP spoofing, rogue switch, abuso de DHCP, salto entre VLAN mal configuradas.
  • Capa 3: IP spoofing, rutas indebidas, tránsito entre redes mal filtrado.
  • Capa 4: escaneo de puertos, flood TCP/UDP, abuso de sockets y sesiones.
  • Capas superiores: secuestro de sesión, protocolos inseguros, servicios mal expuestos, exfiltración a través de aplicaciones.

3.12 Ejemplos de controles por capa

Una defensa equilibrada distribuye controles según el tipo de activo y el nivel del problema.

Capa Controles comunes Objetivo
Física Salas seguras, cerraduras, sensores, redundancia Evitar sabotaje o acceso físico indebido
Enlace 802.1X, port security, DHCP snooping, VLAN Restringir acceso local y proteger la LAN
Red ACL, routing controlado, segmentación, filtrado L3 Limitar caminos entre redes
Transporte Firewalls stateful, listas de puertos, rate limits Controlar conexiones extremo a extremo
Aplicación TLS, autenticación fuerte, WAF, validación, proxy Proteger servicios y datos de negocio

3.13 Qué errores aparecen cuando no se entiende el modelo por capas

  • Intentar resolver problemas de segmentación únicamente con controles de aplicación.
  • Asumir que usar HTTPS vuelve segura toda la red subyacente.
  • Ignorar riesgos locales de LAN porque el perímetro parece bien protegido.
  • Abrir puertos sin entender qué servicio, protocolo y dependencia están involucrados.
  • No distinguir entre una caída de conectividad física, un bloqueo de firewall o una falla de autenticación de aplicación.
Comprender capas no es teoría de examen. Es lo que permite diagnosticar mejor, diseñar mejor y aplicar controles donde realmente corresponden.

3.14 Cómo usar este enfoque en análisis reales

Cuando una comunicación debe evaluarse desde el punto de vista de seguridad, conviene recorrerla por capas y hacerse preguntas concretas:

  1. ¿Existe conectividad física y local confiable?
  2. ¿El dispositivo puede entrar a la red o el acceso está restringido?
  3. ¿Qué IP y qué rutas intervienen?
  4. ¿Qué puertos y protocolos de transporte están abiertos?
  5. ¿Qué servicio de aplicación responde realmente?
  6. ¿La autenticación, la sesión y el cifrado son adecuados?
  7. ¿Se registra lo suficiente como para detectar abuso o investigar incidentes?

Este enfoque ordenado evita conclusiones rápidas y mejora la calidad del análisis técnico.

3.15 Relación con los próximos temas del curso

Este tema prepara el terreno para estudiar amenazas y controles con mayor precisión. En los temas siguientes veremos ataques de sniffing, spoofing, MITM y DoS; todos ellos se entienden mejor cuando se reconoce en qué capas operan y qué debilidades aprovechan.

También servirá como base para firewalls, segmentación, protocolos seguros, TLS, control de acceso a la red, Wi-Fi, VPN y monitoreo. Cada uno de esos mecanismos protege una parte distinta de la pila de comunicación.

3.16 Qué debes recordar de este tema

  • El modelo OSI y TCP/IP ayudan a entender cómo se organiza la comunicación.
  • Los riesgos y controles de seguridad cambian según la capa analizada.
  • Una defensa sólida distribuye controles en varios niveles, no solo en uno.
  • Capa 2 y capa 3 son críticas para segmentación y movimiento lateral.
  • Las capas superiores concentran servicios, sesiones, autenticación y exposición directa de aplicaciones.

3.17 Conclusión

Pensar la red por capas permite pasar de una visión genérica de seguridad a una visión estructurada y precisa. Cada nivel introduce funciones, riesgos y controles distintos. Cuanto mejor entendemos esa relación, mejor podemos diseñar, monitorear y defender una infraestructura real.

En el próximo tema estudiaremos amenazas de red concretas, como sniffing, spoofing, ataques Man in the Middle, denegación de servicio y movimiento lateral.

Volver al índice