En seguridad de redes los puertos abiertos son las puertas hacia el sistema. Algunos son necesarios para que actúen los servicios; otros solo sirven como accesos para gusanos, fuerza bruta y la ejecución remota de código. Si no administra una red corporativa y no entiende por qué un puerto concreto está expuesto, es mejor cerrarlo y dormir tranquilo. A continuación — чек-лист по los puertos más riesgosos en Windows con explicaciones y pasos prácticos.
- TCP/135 — RPC. Históricamente objetivo favorito de gusanos de red (recuerde Blaster). Si no usa administración remota por RPC — bloquee las conexiones entrantes.
- TCP/139 — NetBIOS. Vestigio del antiguo intercambio de archivos. Hoy casi no se usa; a menudo se desactiva también NetBIOS sobre TCP/IP a nivel del adaptador.
- TCP/445 — SMB. Canal para compartir carpetas y impresoras y, al mismo tiempo, vector de epidemias de gran alcance como WannaCry. Si el uso compartido de archivos no es crítico — ciérrelo. En una red de dominio — al menos no exponerlo al exterior y restringirlo por segmentos.
- TCP/3389 — RDP. Conveniente para la administración, peligroso en Internet. La fuerza bruta, las vulnerabilidades del protocolo y las contraseñas débiles lo convierten en una vía de acceso directo. Si es necesario — colóquelo detrás de una VPN, active NLA, limite la lista de orígenes y supervise las actualizaciones.
- TCP/21 — FTP. Transmite nombres de usuario y contraseñas en texto claro. Sustitúyalo por SFTP/FTPS, y si no lo usa — bloquéelo.
- TCP/23 — Telnet. Texto sin cifrar, criptografía inexistente. La alternativa moderna — SSH. En producción en 2025, Telnet no tiene cabida.
- TCP/25 — SMTP (correo saliente). Objetivo frecuente de bots de spam. Si el equipo no debe enviar correo directamente — bloquee el 25 saliente y use la pasarela SMTP del proveedor por puertos protegidos.
- TCP/1433 — Microsoft SQL Server. Objetivo habitual de fuerza bruta y exploits. No lo publique en Internet, ciérrelo desde el exterior y, dentro de la red, restrínjalo por subredes y listas de orígenes.
- TCP/5900 — VNC. Escritorio remoto sin protección seria por defecto. Si lo usa — solo a través de un túnel cifrado, con contraseñas fuertes y listas blancas de IP. En otros casos — ciérrelo.
- UDP/161, UDP/162 — SNMP. Puede divulgar mucha telemetría operativa. En estaciones de trabajo casi no se necesita; en equipos de red pase a SNMPv3 y cambie las cadenas community; en los PC — desactívelo.
Para usuarios avanzados: bloqueo masivo de puertos
Atención: el bloqueo masivo de puertos mediante un script puede romper servicios críticos (por ejemplo, TCP/445 y TCP/135 en un entorno de dominio o en un servidor). Úselo solo si comprende las consecuencias y tiene un plan de reversión.
$ports = 135,139,445,3389,21,23,25,1433,5900
foreach ($p in $ports) {
New-NetFirewallRule -DisplayName "Block TCP $p" -Direction Inbound -Protocol TCP -LocalPort $p -Action Block -Profile Any
}
New-NetFirewallRule -DisplayName "Block UDP SNMP 161-162" -Direction Inbound -Protocol UDP -LocalPort 161-162 -Action Block -Profile Any
Para saber rápidamente qué está escuchando su sistema (por ejemplo, con PowerShell):
Get-NetTCPConnection -State Listen | Select-Object LocalAddress,LocalPort,OwningProcess | Sort-Object LocalPort
Ver qué proceso tiene abierto un puerto concreto (ejemplo para 445/TCP):
Get-Process -Id (Get-NetTCPConnection -LocalPort 445).OwningProcess
Bloqueo de puertos mediante el Cortafuegos de Windows. Ejemplo para 135/TCP — añadimos una regla entrante de bloqueo:
New-NetFirewallRule -DisplayName "Block TCP 135" -Direction Inbound -Protocol TCP -LocalPort 135 -Action Block
Desactivar funciones y servicios
SMBv1:
Set-SmbServerConfiguration -EnableSMB1Protocol $false -Force
Disable-WindowsOptionalFeature -Online -FeatureName SMB1Protocol -NoRestart
NetBIOS over TCP/IP: "Conexiones de red" → propiedades del adaptador → IPv4 → "Opciones avanzadas…" → pestaña WINS → "Desactivar NetBIOS sobre TCP/IP".
Telnet/FTP: abra "Activar o desactivar características de Windows" y quite los roles/clientes correspondientes si en su momento se instalaron.
Uso seguro de RDP:
- Active NLA, utilice contraseñas complejas y una política de bloqueo por intentos fallidos.
- Permita el acceso solo desde subredes de confianza; abra 3389/TCP en el perímetro solo para la lista blanca de IP.
- Preferiblemente — acceso mediante VPN o Zero Trust.
- Monitoree los eventos 4624/4625 y 4776 en el registro de seguridad.
¿Y qué hacer con SMTP en las estaciones de trabajo? Prohíba salidas al 25/TCP con una regla del cortafuegos y configure el cliente de correo con los puertos seguros del proveedor (normalmente 465/587 con TLS). Esto reduce el riesgo de que una máquina infectada se convierta en fuente de spam.
Conclusión
Cerrar puertos innecesarios no convierte el sistema en una fortaleza, pero reduce drásticamente la superficie de ataque y elimina una buena parte del ruido automatizado: desde gusanos de red hasta la simple fuerza bruta de contraseñas. Revise cada trimestre qué servicios están realmente escuchando en el host, mantenga el cortafuegos en un modo estricto por defecto, no publique servicios en Internet sin una necesidad real y no deje "puertas" abiertas solo porque "siempre se ha hecho así". Diez minutos de prevención a menudo ahorran horas de análisis forense.
