Firewall doméstico: qué hace tu router (y qué no)
El firewall de tu router bloquea conexiones entrantes no solicitadas, pero deja pasar todo el tráfico saliente sin inspeccionar nada. Aquí está lo que ocurre realmente en tu red doméstica.
Tienes firewall. Pero no hace lo que crees.
Si tienes un router en casa —del ISP o comprado aparte— hay un firewall ahí dentro. Eso lo sabes, o al menos lo intuyes. Quizá incluso has visto la opción en el panel de administración y has pensado: «bien, estoy cubierto». Es una sensación razonable. El problema es que esa protección existe, sí, pero tiene unos límites bastante concretos que casi nadie explica.
No es que el router mienta. Es que hace exactamente lo que fue diseñado para hacer: bloquear lo que nadie ha pedido que entre. Eso es todo. Lo que sale de tu red —tu portátil, tu móvil, ese enchufe inteligente que compraste en una oferta flash— sale sin que nadie lo revise. Y ahí es donde están la mayoría de los problemas reales hoy en día.
En este artículo vas a entender qué hace realmente el firewall de tu router, por qué el NAT no es lo mismo que un firewall aunque se comporte parecido, y qué opciones tienes si quieres ir un paso más allá sin montarte un centro de operaciones de seguridad en el salón.
Por qué importa
NAT no es un firewall
NAT oculta tus IPs privadas (RFC 1918) pero no inspecciona el tráfico. Es una barrera pasiva, no una defensa activa.
Salida sin control
El puerto 443 sale libre en el 100% de redes domésticas. Cualquier proceso puede conectar con cualquier servidor sin restricción.
Capa 7 requiere hardware
Tu router ISP filtra por puerto y protocolo, no por aplicación. La inspección profunda necesita hardware dedicado como pfSense u OPNsense.
IPv6 rompe el modelo
Sin NAT, cada dispositivo tiene IP pública directa. Las reglas de firewall para IPv6 deben configurarse explícitamente o quedan expuestas.
Lo que hace (de verdad) el firewall de tu router
El router que te puso el ISP tiene un firewall integrado. No es un claim de marketing vacío: sí filtra tráfico. El problema está en qué filtra y qué deja pasar sin enterarse.
La mayoría de routers domésticos trabajan con un NAT stateful. Llevan un registro de las conexiones que tú has iniciado: si tu ordenador pide una página web, el router deja entrar la respuesta porque sabe que la esperaba. Lo que no deja entrar son conexiones que nadie ha pedido desde dentro de tu red.
Ejemplo concreto: si alguien en internet intenta conectarse a tu IP pública en el puerto 22 (SSH), el router descarta esos paquetes directamente. Nadie en tu red lo pidió, así que no tiene sentido dejarlos pasar. Esto es real y funciona bien para ese caso.
Lo que no hace ese firewall:
- Inspeccionar el contenido de las conexiones que sí has iniciado
- Filtrar por aplicación — qué programa concreto está conectando
- Controlar el tráfico que sale de tu red
- Entender protocolos cifrados como HTTPS o DNS sobre TLS
NAT no es lo mismo que firewall, aunque actúe como uno
El NAT (Network Address Translation) no es un firewall. Es un mecanismo para traducir las IPs privadas de tus dispositivos — los rangos 192.168.x.x, 10.x.x.x y 172.16.x.x definidos en el RFC 1918 — a la IP pública que te asigna el ISP.
Como efecto secundario, el NAT oculta tus dispositivos: desde internet solo se ve tu IP pública, no la de tu móvil, tu NAS o tu impresora. Eso da una protección pasiva real. Pero protección pasiva no es lo mismo que control activo sobre lo que entra y sale.
Un NAT sin reglas explícitas no bloquea nada de forma inteligente: bloquea conexiones entrantes por defecto porque no hay a qué mapearlas. Cuando abres un puerto (port forwarding), ese mecanismo desaparece exactamente para ese servicio.
El tráfico saliente: el punto ciego del router típico
Aquí viene lo que más sorprende a la gente: el firewall de tu router casi nunca filtra el tráfico que sale de tu red.
El puerto 80 (HTTP) y el 443 (HTTPS) están abiertos en salida en prácticamente el 100 % de las redes domésticas. Cualquier proceso en cualquier dispositivo de tu red puede conectar con cualquier servidor de internet sin que el router haga ninguna pregunta.
Ejemplo real: si tienes una tele smart de marca dudosa, un enchufe inteligente barato o cualquier dispositivo IoT de fabricante poco escrupuloso, puede estar enviando datos a un servidor en otro país ahora mismo. Tu router lo deja pasar porque el dispositivo fue quien inició la conexión. Stateful, recuerda: el que inicia, manda.
Por qué importa controlar el tráfico saliente
El modelo de amenaza en redes domésticas ha cambiado. Ya no es solo «alguien de fuera intenta entrar». También es:
- Malware que se ejecuta en un dispositivo de dentro y exfiltra datos hacia fuera
- Dispositivos IoT con firmware comprometido comunicándose con servidores de control remotos
- Aplicaciones que envían más datos de los que deberían a servicios en la nube
- Publicidad que trackea a nivel de red, no solo de navegador
Para todo esto, el router de tu ISP no tiene defensa preparada. No hay reglas de egress (salida) configuradas por defecto. No inspecciona qué hay dentro de los paquetes que salen. Lo deja pasar todo sin una sola pregunta.
Qué no ve un firewall doméstico (y por qué)
Los routers domésticos filtran en capa 3 (dirección IP) y capa 4 (puerto y protocolo TCP/UDP) del modelo OSI. Las capas 5, 6 y 7 — sesión, presentación y aplicación — quedan completamente fuera de su alcance.
Esto tiene consecuencias prácticas muy concretas:
- HTTPS: el router sabe que estás conectando al puerto 443 de una IP, pero no sabe si estás descargando actualizaciones de Ubuntu o subiendo documentos a un servidor sospechoso. El contenido está cifrado y él no lo puede abrir.
- DNS sobre TLS / DNS sobre HTTPS: si un dispositivo usa su propio servidor DNS cifrado en lugar del que le asigna el router, este ni siquiera ve qué dominios está resolviendo ese dispositivo.
- Aplicaciones: el router no distingue entre tu navegador, una app de escritorio y un proceso malicioso. Si los tres usan el puerto 443, los tres pasan exactamente igual.
Para inspeccionar a nivel de aplicación (capa 7) necesitas Deep Packet Inspection (DPI), y eso requiere hardware dedicado con capacidad de cómputo real. No lo tiene el router de plástico que te dejó la operadora.
Un matiz honesto: no todos los routers son iguales. Un MikroTik o un Firewalla tienen más capacidades que el router ISP estándar. Pero incluso con DPI, el tráfico HTTPS sigue siendo opaco sin un proxy SSL en medio, lo cual tiene sus propias implicaciones de privacidad y complejidad técnica.
IPv6 rompe el modelo que conocías
Si tienes IPv6 activado en tu red — y cada vez más ISPs lo activan por defecto — el modelo de protección cambia de forma significativa.
Con IPv4 y NAT, tus dispositivos tienen IPs privadas y no son directamente accesibles desde internet. Con IPv6, el espacio de direcciones es enorme: cada dispositivo puede recibir su propia IP pública. No hay NAT, no hay traducción de por medio.
Esto no es malo en sí mismo, pero significa que la protección pasiva que daba el NAT desaparece. Si el router no tiene reglas de firewall explícitas para IPv6, tus dispositivos pueden quedar expuestos a conexiones entrantes directamente desde internet, sin ninguna barrera.
Los routers modernos suelen tener un firewall IPv6 básico activado por defecto, pero muchos usuarios — y algunos ISPs — no lo verifican. Si usas IPv6, comprueba que tu router filtre conexiones entrantes también para ese protocolo. No des por hecho que está configurado de forma segura solo porque todo funciona.
Cuándo el router no es suficiente (y qué opciones existen)
El router del ISP es una primera línea razonable para bloquear conexiones entrantes no solicitadas. Para ese caso de uso concreto, cumple su función. Para todo lo demás — control de egress, DPI, visibilidad real de red — tiene límites estructurales que no se resuelven con configuración: son limitaciones de hardware y de diseño.
Opciones para quien quiere más control
- Pi-hole / AdGuard Home: filtran a nivel DNS. No son firewalls de red, pero cortan dominios maliciosos conocidos antes de que haya conexión. Fácil de montar en una Raspberry Pi o en Docker. Ojo: no ven tráfico que evite tu DNS local mediante DNS cifrado propio.
- Firewalla: hardware dedicado que se conecta entre el router y tu red. Tiene DPI básico, control de egress y alertas de actividad. Más accesible que OPNsense para quien no quiere meterse en configuraciones complejas desde cero.
- OPNsense / pfSense: firewalls open source completos. Control total de ingress y egress, IDS/IPS con Suricata o Snort, VLANs, logs detallados de todo el tráfico. Requieren hardware dedicado — una mini-PC o una VM en Proxmox — y una curva de aprendizaje real. No es una tarde de trabajo.
- Proxmox con VM de firewall: si ya tienes un homelab con Proxmox, puedes correr OPNsense como VM y poner toda tu red detrás. Es lo que tengo montado en casa, y da mucha visibilidad sobre lo que entra y sale, pero hay que dedicarle tiempo y ganas de depurar reglas.
Cada capa cubre cosas distintas
Ninguna solución es la respuesta definitiva. Son capas complementarias. Conviene tener claro que el antivirus y el firewall no son lo mismo ni hacen lo mismo: uno actúa dentro del dispositivo sobre procesos y archivos, el otro actúa en la red sobre el tráfico. Se complementan, no se sustituyen.
| Capa | Herramienta | Qué cubre |
|---|---|---|
| DNS | Pi-hole / AdGuard Home | Dominios maliciosos conocidos |
| Red (L3/L4) | Router ISP / Firewalla | Conexiones entrantes no solicitadas |
| Red (L7) | OPNsense + Suricata | Tráfico saliente, IDS/IPS, DPI |
| Dispositivo | Antivirus / EDR | Procesos locales, archivos maliciosos |
Cuantas más capas activas, más visibilidad tienes sobre lo que ocurre en tu red. Pero cada capa añade complejidad de gestión. El punto de equilibrio depende de tu perfil y de lo que tengas conectado: no es lo mismo una red doméstica con cuatro dispositivos que un homelab con veinte servicios corriendo en paralelo.
Preguntas frecuentes
Q: ¿Vale el firewall del router para frenar ataques desde fuera?
A: Para conexiones entrantes no solicitadas, sí: el NAT stateful bloquea todo lo que tú no hayas iniciado. El problema es que casi ningún ataque moderno llega de fuera hacia dentro; el malware sale desde tu red, y ahí el router ISP no tiene reglas de egress configuradas por defecto.
Q: ¿Qué pasa si un dispositivo IoT se infecta en mi red?
A: El router no lo detecta ni lo bloquea: el tráfico saliente hacia servidores de comando y control pasa libre porque los puertos 80 y 443 están abiertos en salida en prácticamente el 100% de redes domésticas. Sin filtrado de egress ni IDS, el dispositivo exfiltra datos sin que veas nada raro.
Q: ¿Por qué el router no ve lo que hago en HTTPS?
A: El firewall del router opera en capas 3 y 4 del modelo OSI: ve IPs y puertos, no el contenido. El tráfico HTTPS va cifrado, así que sin un proxy SSL intermedio que haga inspección de capa 7, el router solo sabe que conectaste a una IP por el puerto 443, nada más.
Q: ¿Cuándo deja de ser suficiente un Pi-hole como protección?
A: Desde el primer momento en que lo usas como sustituto de un firewall. Pi-hole filtra por nombre de dominio en DNS, pero no bloquea conexiones directas por IP, no inspecciona paquetes y no controla qué proceso de tu red inicia cada conexión. Es una capa útil, no un cortafuegos de red.
Q: ¿Cómo cambia el riesgo si mi router usa IPv6?
A: Con IPv6 desaparece el NAT: cada dispositivo de tu casa tiene una IP pública directa y expuesta. Las reglas de firewall que en IPv4 aplicaba el NAT 'de rebote' hay que configurarlas explícitamente para IPv6, algo que muchos routers ISP no hacen bien o dejan al usuario sin guía clara.
Deja una respuesta