¿Qué es el port forwarding? ¿Funciona con una VPN?

Cómo funciona el port forwarding

El port forwarding funciona indicando al sistema de traducción de direcciones de red (NAT) del router que deje pasar las conexiones a puertos específicos. Imagínate al NAT como un servicio de reenvío que tiene que abrir el paquete antes de pasarlo. El reenvío de puertos le indica adónde debe ir el paquete sin tener que abrirlo.  Sigue leyendo si quieres conocer las partes más técnicas.

¿Qué son los puertos y para qué sirven?

En términos más técnicos, los puertos son direcciones que un dispositivo asigna a servicios y aplicaciones que necesitan entrada desde el exterior (normalmente Internet).  Por razones matemáticas, los números de puerto van de 0 a 65,535. Los 1024 primeros se asignan históricamente a los servicios más comunes. 

Por ejemplo, POP3, el protocolo que utiliza un cliente de correo electrónico para recuperar correo del servidor, utiliza el puerto 110. 

Y cuando llega el momento de enviar y recibir los datos de Internet, el número de puerto se añade a la dirección IP (Protocolo de Internet) del dispositivo (que es como la dirección particular del dispositivo, pero en Internet), lo que permite a los distintos procesos implicados saber a dónde va cada paquete de datos. 

Si tu IP fuera 321.45.678.90 y utilizaras un cliente de correo POP3, los datos dirigidos al cliente de correo irían a 321.45.678.90:110. 

Pero luego hay que ocuparse del NAT.

¿Qué hace el NAT?

La traducción de direcciones de red (NAT) existe porque hay escasez de direcciones IP en línea. Solo la dirección IP de tu router es única, se llama «IP pública», ya que es la que ven los servicios en línea. Los dispositivos conectados —teléfonos, portátiles, lavadoras inteligentes— obtienen unas IP no únicas para comunicarse únicamente con el router: se llaman «IP privadas», ya que nadie en Internet puede verlas.  

El NAT recoge los paquetes de datos de los dispositivos conectados, anota sus direcciones, añade su propia dirección única y los reenvía a Internet. Sin embargo, cualquiera que interactúe con el router solo ve su dirección IP, mientras que las IP de los dispositivos conectados al router permanecen invisibles. Esto se convierte en un problema cuando quieres conectarte a esos dispositivos fuera de tu red doméstica.

¿Qué tiene esto que ver con el reenvío de puertos?

El reenvío de puertos indica al NAT que espere y permita conexiones externas para una combinación específica de IP y puerto. Si lo configuras en un router, podrás conectarte fácilmente a otros dispositivos conectados al router. Así, tu red doméstica se amplía para abarcar todos los increíbles aparatos que tengas.

¿Quieres conectarte a tu robot de cocina inteligente mientras estás de vacaciones? ¿Necesitas acceder al ordenador de casa mientras estás en el trabajo? ¿Tienes una cámara para bebés y quieres utilizarla cuando estás fuera? Todo esto es posible gracias al reenvío de puertos. 

¿Se puede reenviar puertos con una VPN?

Sí que se puede. Aunque puede que el reenvío de puertos no sea necesario para la mayoría de los usuarios de VPN, hay razones por las que puede resultar útil.

Acceder a la red doméstica

Si configuras una red privada virtual en tu casa, es posible que quieras acceder a ella desde una ubicación remota. Es entonces cuando necesitas una VPN que reenvíe esos puertos. 

Crear servidores y redes domésticas seguros

El reenvío de puertos VPN es clave para crear servidores y redes domésticas seguros, pero esto solo se aplica a los usuarios más avanzados.  

Teniendo en cuenta lo anterior, probablemente esté claro por qué la mayoría de los usuarios no necesitan el reenvío de puertos VPN: si no te has encontrado con esto en tu vida diaria, es poco probable que instalar una VPN lo cambie.

Si surge la necesidad —por ejemplo, si decides alojar tu sitio web en un servidor en casa— puedes configurar el reenvío de puertos manualmente, como se explica más adelante en este artículo. Sin embargo, también se puede hacer de forma automática, lo que facilita la vida del usuario habitual. Se consigue mediante Universal Plug and Play (UPnP).

Reenvío automático de puertos, también conocido como Universal Plug and Play

UPnP o Universal Plug and Play es un conjunto de protocolos (consulta: normas de comunicación) que hacen posible el reenvío automático de puertos. Permite que los dispositivos de una misma red se descubran mutuamente, abran puertos y trabajen juntos sin problemas. 

La magia de la «red de configuración cero», la creación de redes que no requiere la configuración por parte de ningún un ser humano, permite a cualquier dispositivo compatible con UPnP de cualquier fabricante unirse a una red, obtener una dirección IP, dar a conocer su presencia y aprender sobre otros dispositivos.

Se trata de una función muy práctica para redes domésticas y de pequeñas oficinas. Sin embargo, el UPnP no es bienvenido en un entorno empresarial, ya que tener un gran número de dispositivos, todos haciendo saber de su presencia y con capacidades en la red local, ocuparía mucho tráfico. 

¿Hasta qué punto está extendido el UPnP? Bueno, algunas investigaciones sobre el tema encontraron que el 76 % de los routers funcionan con UPnP activado. Los dispositivos multimedia ocupan el segundo lugar, con un 27 %. Lo más probable es que también tengas un dispositivo que funcione con él. 

Sin embargo, el UPnP no es la única forma de gestionar el reenvío automático de puertos. Una solución más segura, aunque limitada, es la activación de puertos. 

Reenvío de puertos comparado con la activación de puertos 

El reenvío de puertos y la activación de puertos son conceptos similares, aunque diferentes en su función. Con el reenvío de puertos, el puerto siempre está abierto. Eso significa que los dispositivos ajenos a la red pueden conectarse cuando quieran. 

Con la activación de puertos, un puerto se abre cuando un dispositivo local dentro de la red solicita algo desde fuera de la red. El puerto permanece abierto el tiempo suficiente para que entre la respuesta y se cierra al cabo de un rato. No se abre cuando lo solicitan las conexiones entrantes, lo que hace casi imposible que los dispositivos externos a la red abran los puertos.

Por eso, la activación de puertos es la opción inferior si lo que buscas es poder acceder a una webcam o a un ordenador de sobremesa doméstico de forma remota.

Exención de responsabilidad: Surfshark no se hace responsable de los riesgos de seguridad derivados del uso del reenvío de puertos.

Desventajas del reenvío de puertos

Como ya se ha mencionado, no todos los proveedores de VPN ofrecen la función de reenvío de puertos debido a algunas buenas razones de ciberseguridad:

Da a los hackers una vía de entrada 

El reenvío de puertos puede permitir a los hackers comprometer tu seguridad. Todo lo que tienen que hacer es aprenderse tus puertos e IP, y pueden pasar por alto tu cortafuegos. 

Elude la seguridad VPN 

Imagina que tienes una VPN para proteger tu conexión. Tus datos están cifrados y tu ISP está ciego, nadie sabe desde dónde te conectas. Sin embargo, si decides hacer un reenvío de puerto, lo que es posible con algunas VPN, abrirás un camino hacia tus sistemas que eludirá incluso la capa de seguridad adicional que te da tu software VPN. 

Crea filtraciones de datos privados 

El reenvío normal de puertos puede ser peligroso, pero el UPnP plantea aún más riesgos de seguridad. El hecho de que el proceso esté automatizado hace que sea mucho más fácil de explotar para los hackers y otros actores maliciosos. En enero de 2019, un grupo de hackers utilizó vulnerabilidades en routers UPnP para hacer que dispositivos Chromecast, televisores inteligentes y Google Home reprodujeran vídeos instando a los usuarios a suscribirse a PewDiePew en YouTube. 

Convierte tus dispositivos en un centro para hackers 

Este caso es más molesto que dañino, pero otras explotaciones de UPnP permitieron a los hackers utilizar dispositivos expuestos en botnets, campañas de spam y ataques de denegación de servicio distribuido. Y eso sin contar su capacidad para instalar malware, robar datos (como nombres de usuario y fotos) y acceder a tus dispositivos (como cámaras web).

Cómo configurar el reenvío de puertos en el router: Windows 10

Si sigues queriendo usar el reenvío de puertos, puedes configurarlo manualmente. Es menos sencillo que hacerlo con Universal Plug and Play (para eso existe), pero al final, el proceso no es demasiado difícil. 

1. En primer lugar, debemos asegurarnos de que tu dispositivo tiene una dirección IP estática. Por eso debes empezar introduciendo PowerShell en la barra de búsqueda. 
2. Haz clic con el botón derecho en PowerShell y selecciona Ejecutar como administrador. Debería abrirse una ventana.

3. Escribe Get-NetIPConfiguration y pulsa Intro.

4. Anota los valores junto a:
   • InterfaceIndex
   • IPv4Address
   • IPv4DefaultGateway
   • DNSServer
5. Ahora escribe: -InterfaceIndex [el valor de InterfaceIndex en el paso n.º4] -IPAddress [el valor de InterfaceIndex en el paso n.º4] -PrefixLength 24 -DefaultGateway [el valor de IPv4DefaultGateway en el paso n.º4]. Ten en cuenta que no necesitas introducir los corchetes, las comillas ni el punto, solo los números.

6. Pulsa Intro. Esto establecerá la dirección IP estática.
7. Ahora escribe: Set-DnsClientServerAddress -InterfaceIndex [el valor de InterfaceIndex en el paso n.º 4] -ServerAddresses [el valor de DNSServer en el paso n.º 4]. Ten en cuenta que no es necesario introducir los corchetes, las comillas ni el punto, solo los números. Pulsa Intro. Esto establecerá la dirección IP estática.

8. Pulsa Intro. Así se configurará el servidor DNS.

El resto es un esquema general que hay que seguir. Las particularidades del acto dependen del router en cuestión:

1. Inicia sesión en tu router. Normalmente se hace introduciendo la dirección del router en el navegador.
2. Antes de cambiar de DHCP a Manual, anota la dirección IPv4. 
3. Localiza la pestaña con el reenvío de puertos, la ubicación y el nombre dependerán del router, por lo que puede llevarte algún tiempo encontrarla. 
4. Introduce los puertos de entrada y salida y el protocolo elegidos. Una apuesta segura es ir por encima de 1000 y por debajo de 65 000: esta es una lista de puertos utilizados por algunos de los procesos más comunes. 
5. Introduce tu dirección IP estática o la dirección IP local del dispositivo para el que quieres abrir el reenvío de puertos.
6. Haz clic en Habilitar o en cualquier botón similar que exista en la interfaz de usuario de tu router. 

Ahora has habilitado el reenvío de puertos en tu router.

Cómo configurar el reenvío de puertos en el router: Mac OS

¿Quieres configurar el reenvío de puertos en Mac OS? A continuación, te explicamos cómo puedes hacerlo. 

1. Obtén una dirección IP estática siguiendo las instrucciones del sitio web de Apple.

2. Antes de cambiar de DHCP a Manual, anota la dirección IPv4.

3. Cambia a Manual. 
4. Escribe la dirección IPv4 en la línea que ahora dice 0.0.0.0, 
5. Anota la dirección del router.

El resto es un esquema general que hay que seguir. Las particularidades del acto dependen del router en cuestión:

1. Inicia sesión en tu router. Normalmente se hace introduciendo la dirección del router en el navegador.
2. Antes de cambiar de «DHCP» a «Manual», anota la dirección IPv4.
3. Localiza la pestaña con el reenvío de puertos, la ubicación y el nombre dependerán del router, por lo que puede llevarte algún tiempo encontrarla.
4. Introduce los puertos de entrada y salida y el protocolo elegidos. Una apuesta segura es ir por encima de 1000 y por debajo de 65 000:  esta es una lista de puertos utilizados por algunos de los procesos más comunes.
5. Introduce tu dirección IP estática o la dirección IP local del dispositivo para el que quieres abrir el reenvío de puertos.
6. Haz clic en Habilitar o en cualquier otro botón similar que exista en la interfaz de usuario de tu router.

Ahora has habilitado el reenvío de puertos en tu router.

Configuración del reenvío de puertos para tu servidor VPN

Si tienes un servidor VPN en casa y quieres configurar el reenvío de puertos para acceder a él de forma remota a través de Internet, puedes seguir estas instrucciones. Recuerda: los detalles específicos dependen en gran medida de tu router: 

1. Abre la interfaz de usuario de tu router. Suele hacerse introduciendo tu dirección IP en el navegador;
2. Busca la pantalla/pestaña Reenvío de puertos. Puede que tengas que hacer clic;
3. Según el tipo de protocolo VPN que estés utilizando, introduce esto:
   1. PPTP: establece el Puerto local en 1723 y el Protocolo en TCP para el PPTP propiamente dicho, y el Puerto 47 y el Protocolo «Otro» para el túnel GRE;
   2. IPSec: para el túnel VPN IPSec, establece el Puerto local en 500 y el Protocolo en UDP, y el Puerto 4500 con Protocolo UDP para el túnel IPSec;
   3. OpenVPN: Puerto local fijado en 1194 y protocolo en UDP;
   4. IKEv2: este necesita que el Puerto se establezca en 500 y el Protocolo en UDP;
   5. WireGuard: establece el Puerto 51820 y el Protocolo en UDP.
4. Ahora puedes establecer una conexión VPN en otro ordenador utilizando la IP pública de tu servidor VPN.

Exención de responsabilidad: Surfshark no se hace responsable de los riesgos de seguridad derivados del uso del reenvío de puertos.

Clientes VPN y reenvío de puertos VPN

Es posible que las VPN admitan la función de reenvío de puertos. Algunas VPN permiten el reenvío completo de puertos. Otras solo permiten el paso de algunos de los puertos más populares. En cualquier caso, es difícil saberlo de antemano, así que, si el reenvío de puertos es importante para ti, consulta el sitio web de la VPN, ponte en contacto con su servicio de atención al cliente o lee las preguntas frecuentes para ver si se admite.

Aparte de eso, existe la posibilidad de que se descubran otras vulnerabilidades. Por ejemplo, el fallo «Port Fail» se descubrió en 2015. Era un efecto secundario del reenvío de puertos de una VPN que podía filtrar en línea la dirección IP real del usuario. Como una VPN está pensada para proteger tu privacidad, dirección IP incluida, está claro que queda descartado. No admitir el reenvío de puertos evita que Surfshark sucumba a tales vulnerabilidades en el futuro. 

Sí, desactivar el reenvío de puertos causará molestias a algunos usuarios. Sin embargo, el aumento de la seguridad merece la pena. 

En conclusión: no reenvíes ese puerto

El reenvío de puertos existe para facilitar la comunicación por Internet y permitir que los dispositivos se comuniquen entre sí sin interrupciones del cortafuegos. Sin embargo, abrir las puertas a conexiones no controladas desde dispositivos externos plantea algunos riesgos, sobre todo si el proceso se automatiza con UPnP. Por este motivo, los principales proveedores de VPN, incluido Surfshark, han restringido el reenvío de puertos en sus servicios. Al fin y al cabo, la seguridad de los datos de nuestros usuarios es el objetivo más importante.

Preguntas frecuentes

¿Es seguro el VPN port forwarding?

El reenvío de puertos nunca es seguro, ya que abre un canal inseguro en tu dispositivo para que las conexiones externas accedan libremente. 

¿Te pueden hackear a través del reenvío de puertos?

Sí, ya que el reenvío de puertos deja un enorme agujero en tus ciberdefensas. 

¿Arruinará mi Internet el reenvío de puertos?

El reenvío de puertos no arruinará tu conexión a Internet a menos que estropees algo al activarlo. Sin embargo, puede hacerte vulnerable a intentos de hackers.