Audita los puertos de tu servidor: guía paso a paso
Un puerto abierto es una puerta. Si no sabes qué puertas tiene tu servidor abiertas, no sabes por dónde pueden entrar. Esta guía te enseña a auditar tu servidordesde fuera, como lo haría un atacante.
¿Por qué auditar puertos?
Vulnerabilidades desconocidas
Instalaste un servicio hace 2 años y olvidaste que existe. Sigue expuesto.
Configuración por defecto
MySQL en 0.0.0.0 en vez de 127.0.0.1. SSH en puerto 22 sin fail2ban.
Actualizaciones rotas
Un update cambió firewall rules y dejó expuesto un puerto que antes estaba cerrado.
Apps de terceros
Docker abre puertos automáticamente. WordPress plugins instalan servicios.
Los puertos más peligrosos
| Puerto | Servicio | Riesgo | Por qué |
|---|---|---|---|
| 21 | FTP | Crítico | Sin cifrado. Credenciales en texto plano. Fuerza bruta fácil. |
| 22 | SSH | Alto | Fuerza bruta masiva. Necesita clave, no password. fail2ban obligatorio. |
| 23 | Telnet | Crítico | Obsoleto, sin cifrado. Eliminar inmediatamente. |
| 25 | SMTP | Medio | Relay abierto = spam. SPF/DKIM/DMARC obligatorios. |
| 3306 | MySQL | Crítico | Expuesto a internet = base de datos hackeada en días. |
| 3389 | RDP | Crítico | Ataques de fuerza bruta masivos. Usar VPN + cambiar puerto. |
| 5432 | PostgreSQL | Crítico | Igual que MySQL. Nunca expuesto sin firewall. |
| 5900 | VNC | Crítico | Sin cifrado por defecto. Usar tunnel SSH. |
| 6379 | Redis | Crítico | Sin autenticación por defecto. Ransomware objetivo #1. |
| 27017 | MongoDB | Crítico | Igual que Redis. Exposición = datos robados. |
Cómo auditar TU servidor
Usa nmap desde tu ordenador (no desde el servidor mismo):
# Escaneo básico de los 1000 puertos más comunes nmap -sV tu-ip-publica # Escaneo completo de TODOS los puertos (tarda más) nmap -p- tu-ip-publica # Escaneo UDP (servicios DNS, SNMP, etc.) sudo nmap -sU -p 53,161,162 tu-ip-publica # Guardar resultado nmap -sV -oA mi-servidor tu-ip-publica
Si no tienes nmap instalado o quieres algo rápido, usa nuestra herramienta web:
Qué hacer con los resultados
Cierra lo que no necesitas
Si no usas FTP, cierra el puerto 21. Si no accedes a MySQL desde fuera, bloquea el 3306.
Cambia puertos por defecto
SSH en 2222 en vez de 22. RDP en 33890. Reduce ataques automatizados.
Usa firewall
ufw (Ubuntu), firewalld (CentOS), o iptables. Whitelist de IPs confiables.
Fail2ban + Claves SSH
Bloquea IPs tras 3 intentos fallidos. Usa claves SSH, nunca passwords.
Configuración firewall recomendada
# Ubuntu / Debian (ufw) sudo ufw default deny incoming sudo ufw default allow outgoing sudo ufw allow 22/tcp # SSH (o tu puerto alternativo) sudo ufw allow 80/tcp # HTTP sudo ufw allow 443/tcp # HTTPS sudo ufw enable # Ver estado sudo ufw status verbose
Conclusión
Auditar puertos no es opcional si tienes un servidor expuesto a internet. Hazlo mensualmente. La mayoría de los ataques exitosos no usan vulnerabilidades zero-day: usan servicios olvidados, configuraciones por defecto, y puertos abiertos que nadie revisó.
Publicado el 6 de junio de 2026.