Seguridad de nube e infraestructura

Segmentación de red

Se lee en aproximadamente 3 minutos

Última actualización: 2026-02-05

Qué es la segmentación de red

La segmentación de red es una técnica de seguridad que divide la red en múltiples segmentos pequeños y controla la comunicación entre segmentos. Su objetivo principal es prevenir el movimiento lateral de un atacante que ha infiltrado un sistema de la red hacia otros segmentos.

Por ejemplo, colocando servidores web, servidores de aplicaciones y servidores de bases de datos en segmentos separados y permitiendo solo la comunicación necesaria con firewalls. Incluso si el servidor web es comprometido, se puede evitar que el atacante acceda directamente a la base de datos.

Técnicas de implementación de segmentación

  • VLAN (Virtual LAN): Divide lógicamente la red en capa 2. Incluso en el mismo switch físico, la comunicación entre diferentes VLAN pasa por router o switch de capa 3, permitiendo control de acceso con ACL
  • División por subredes: Divide el espacio de direcciones IP en subredes y controla la comunicación con enrutamiento y grupos de seguridad. En entornos de nube (AWS VPC, Azure VNet), la separación entre subredes públicas y privadas es el diseño básico
  • Zonas de firewall: Define zonas como DMZ (zona desmilitarizada), red interna y red de gestión, y controla la comunicación entre zonas con firewalls
  • Separación mediante VPN: Cifra el acceso remoto y las conexiones entre sedes con VPN, construyendo redes lógicamente separadas

En entornos de nube, se implementa segmentación multicapa combinando grupos de seguridad (filtrado con estado) y ACL de red (filtrado sin estado).

Microsegmentación y confianza cero

Mientras que la segmentación convencional es una división gruesa por unidad de red, la microsegmentación controla el acceso de forma granular por unidad de carga de trabajo (servidor, contenedor, proceso).

Es un elemento central de la arquitectura de confianza cero, realizando técnicamente el principio de "no confiar ni siquiera dentro de la red". Los enfoques concretos incluyen:

  • Políticas definidas por software: Controlar la comunicación entre cargas de trabajo con agentes de software o service mesh (Istio, Linkerd) en lugar de dispositivos de red
  • Control basado en identidad: Permitir comunicación basándose en la identidad de la carga de trabajo (certificados, cuentas de servicio) en lugar de direcciones IP. Adecuado para entornos de nube donde las direcciones IP cambian dinámicamente
  • Comunicación cifrada: Cifrar la comunicación entre segmentos con mTLS (TLS mutuo) para prevenir interceptación y alteración

Para dispositivos IoT donde las medidas contra vulnerabilidades son difíciles, es especialmente importante aislarlos en segmentos dedicados y permitir solo la comunicación mínima necesaria.

Segmentación basada en SDN y técnicas de próxima generación

SDN (Software-Defined Networking) es una tecnología que separa el plano de control y el plano de datos de la red, gestionando centralmente las políticas de red mediante software. Mientras que las VLAN y ACL convencionales inyectan configuración en dispositivos individuales, SDN permite aplicar dinámicamente políticas de segmentación a toda la red desde un controlador.

  • Aplicación automática de políticas: Cuando se despliega una nueva carga de trabajo, se coloca automáticamente en el segmento apropiado basándose en tags o labels. Se elimina la necesidad de asignación manual de VLAN o adición de reglas de firewall
  • Visualización y auditoría: El controlador SDN visualiza en tiempo real los flujos de comunicación de toda la red. Permite comprender qué comunicación ocurre entre qué segmentos, útil para detectar patrones de comunicación sospechosos
  • Redes basadas en intención: Al declarar una intención de negocio como "prohibir el acceso desde el entorno de desarrollo a la base de datos de producción", el controlador SDN genera automáticamente las reglas necesarias

En AWS, los grupos de seguridad de VPC y las ACL de red son una forma de SDN, permitiendo gestionar la segmentación programáticamente vía API. Si se codifica la infraestructura con Terraform o CloudFormation, las políticas de segmentación también se convierten en objeto de control de versiones.

Casos de implementación y medición de efectividad

La efectividad de la segmentación de red se puede medir desde dos perspectivas: cumplimiento de requisitos de conformidad y localización del daño de incidentes.

Cumplimiento PCI DSS: En sistemas que manejan información de tarjetas de crédito, PCI DSS requiere separar el entorno de datos de tarjetas (CDE) en la red. Con segmentación adecuada, el alcance de la auditoría PCI DSS se puede limitar solo al CDE, reduciendo significativamente los costos y esfuerzos de auditoría.

Contención de daños por ransomware: En una red plana, si un terminal se infecta con ransomware, se propaga a toda la red en minutos a través de protocolos como SMB. Con segmentación adecuada, la infección se contiene dentro del segmento afectado y los sistemas de negocio de otros segmentos pueden continuar operando.

Indicadores de medición de efectividad: La efectividad de la segmentación se evalúa con los siguientes indicadores.

  • Número de detecciones de movimiento lateral (bloqueos de comunicación no autorizada en límites de segmento)
  • Alcance del impacto durante incidentes (número de segmentos comprometidos)
  • Número de reglas de comunicación innecesarias entre segmentos (menos es más cercano al principio de mínimo privilegio)
  • Tiempo de entrega de cambios de política (comparación antes y después de la implementación de SDN)

Conceptos erróneos comunes

Si tienes firewall implementado, no necesitas segmentación de red
El firewall es un elemento de la defensa perimetral, pero no puede prevenir el movimiento lateral del atacante dentro de una red plana. Firewall y segmentación son complementarios; el diseño correcto es utilizar firewalls para el control de comunicación entre segmentos.
Cuanto más fina sea la segmentación, mejor es la seguridad
La segmentación excesiva aumenta la complejidad operativa y genera agujeros de seguridad por errores en la gestión de reglas. Es importante seleccionar la granularidad adecuada basándose en requisitos de negocio y riesgo, y diseñar la segmentación dentro de un rango gestionable.

Diferencia entre segmentación convencional y microsegmentación

Segmentación convencional

Divide por unidad de red con VLAN y subredes. Controla límites con firewalls y routers. Diseño y operación simples pero no puede controlar comunicación dentro del mismo segmento.

Microsegmentación

Controla comunicación por unidad de carga de trabajo. Aplica políticas basadas en software. Puede bloquear comunicación innecesaria incluso dentro del mismo segmento, pero aumenta la complejidad de gestión de políticas.

Términos relacionados

Firewall Un mecanismo de seguridad ubicado en los límites de la red que inspecciona y con… Seguridad de confianza cero Un modelo de seguridad basado en el principio de 'nunca confiar, siempre verific… Seguridad de dispositivos IoT Medidas de seguridad para el creciente ecosistema de dispositivos conectados a I… NAT (Network Address Translation) Una tecnología que traduce entre direcciones IP privadas y públicas. Ampliamente… VPN (Red Privada Virtual) Una tecnología que encripta el tráfico de internet y lo enruta a través de un se…

Artículos relacionados

Fundamentos de firewalls - Tu primera línea de defensa en la red Comprende cómo funcionan los firewalls, los diferentes tipos disponibles y estrategias prácticas de … ¿Qué es la seguridad Zero Trust? El enfoque de 'nunca confiar' Aprende en qué se diferencia Zero Trust de la seguridad perimetral tradicional, sus principios funda…
← Glosario