Auditar la seguridad de tu red local con Nmap y Wireshark

Cuando te planteas auditar la seguridad de tu red local, dos nombres aparecen una y otra vez: Nmap y Wireshark. Son herramientas gratuitas, potentes y usadas tanto por administradores de sistemas como por atacantes, así que aprender a utilizarlas es casi obligatorio si quieres saber qué está pasando en tu infraestructura y hasta qué punto estás expuesto.

Con una combinación de escaneos de puertos, análisis de servicios y captura de tráfico puedes descubrir agujeros que de otro modo pasarían desapercibidos: puertos abiertos que no deberían estarlo, servicios mal configurados, protocolos sin cifrar o dispositivos ocultos en tu LAN. A lo largo de este artículo veremos, con bastante detalle, cómo encaja todo esto, qué hacen exactamente Nmap y Wireshark, qué otras herramientas entran en juego y cómo aprovechan estas técnicas tanto los defensores como los atacantes.

Por qué importa auditar los puertos y el tráfico de tu red

En cualquier red basada en TCP/IP tienes hasta 65.535 puertos potenciales por cada máquina, y muchos de ellos pueden estar abiertos sin que nadie se haya parado a revisarlo. Cada puerto abierto es un posible punto de entrada a través del que un ciberdelincuente puede descubrir servicios, versiones de software y vulnerabilidades concretas.

Si un atacante consigue información detallada de tu red (hosts activos, sistema operativo, servicios activos, versiones, etc.), podrá preparar sus ataques con mucha más precisión: robo de datos, acceso a contraseñas, instalación de malware o despliegue de ransomware. Una vez está dentro del segmento de red o en un equipo concreto, tu privacidad y la disponibilidad de tus servicios quedan seriamente comprometidas.

Para localizar estas debilidades se utilizan analizadores de red y escáneres de puertos, como Nmap, Zenmap, Masscan o herramientas más específicas. El objetivo es claro: listar puertos abiertos, determinar qué servicios escuchan detrás y descubrir cualquier configuración débil antes de que lo haga alguien con malas intenciones.

También es crucial limitar la exposición: no conviene abrir más puertos de los estrictamente necesarios. Muchas veces se dejan expuestos servicios que ya no se usan o que no deberían estar accesibles desde ciertos segmentos de red. Cuanto más reduzcas la superficie de ataque, menos opciones tendrá un atacante de sacar partido a un fallo concreto.

En este contexto, Nmap se encarga de hacer el inventario y el reconocimiento, mientras que Wireshark se especializa en analizar el tráfico que circula por la red. Combinadas, ambas herramientas permiten revisar tanto la “puerta de entrada” (puertos y servicios) como el contenido de las comunicaciones, para evaluar si hay datos sensibles saliendo en claro o si se están usando protocolos obsoletos.

Para qué sirve realmente escanear puertos con Nmap

Un escaneo de puertos con Nmap te permite saber qué servicios ofrece cada equipo y en qué estado se encuentran sus puertos: abiertos, cerrados o filtrados por un firewall. Esta foto de la red es útil tanto para administración como para seguridad: puedes validar que solo están activos los servicios que necesitas y localizar aplicaciones olvidadas o mal configuradas.

Los administradores suelen usar Nmap para descubrir vulnerabilidades potenciales en servidores internos, servicios de escritorio remoto, bases de datos expuestas o sistemas de correo. La misma información, por desgracia, también la explotan los atacantes para perfilar objetivos, identificar versiones concretas de software y buscar exploits disponibles en bases de datos públicas.

Entre las ventajas de escanear puertos está el poder comprobar de forma periódica el estado de la red: detectar nuevos servicios que alguien ha levantado sin avisar, ver si los cambios en el firewall se han aplicado correctamente o asegurarte de que una máquina que debería estar aislada no expone nada crítico.

Qué es Nmap y cómo funciona a nivel práctico

Nmap es una herramienta de código abierto para descubrimiento y auditoría de redes, disponible en Linux, Windows y macOS. Se ejecuta principalmente desde terminal, aunque dispone de interfaz gráfica (Zenmap) para quien prefiera trabajar con ventanas y perfiles de escaneo predefinidos.

Con Nmap puedes detectar hosts activos en una red local o en Internet, identificar si un dispositivo está encendido, qué puertos tiene abiertos y qué servicios están escuchando en ellos. Además, dispone de técnicas avanzadas para intentar adivinar el sistema operativo, realizar inventarios de red completos y automatizar pruebas de pentesting a través de su motor de scripts NSE.

El programa admite múltiples tipos de escaneo: TCP (SYN, CONNECT, FIN, NULL, Xmas, ACK), UDP, ICMP, SCTP, etc. También incluye opciones para hacer escaneos más sigilosos, fragmentando paquetes o falseando origen, para complicar la detección por parte de cortafuegos, IDS o IPS.

A la hora de catalogar los puertos, Nmap devuelve varios estados posibles que conviene entender: open, closed, filtered, open|filtered y closed|filtered. Esto permite distinguir si el puerto acepta conexiones, si responde pero no tiene servicio, si un firewall bloquea la comunicación o si directamente no hay información suficiente para saber qué está pasando.

Otra característica potente es la capacidad de usar NSE (Nmap Scripting Engine), un conjunto de scripts que automatizan tareas como detección de versiones, pruebas de fuerza bruta en servicios autenticados (FTP, SSH, Samba…), comprobación de vulnerabilidades conocidas o ataques más avanzados en servidores web, DNS y otros componentes expuestos.

Estados de los puertos en Nmap y su impacto en la seguridad

Cuando Nmap finaliza un escaneo te muestra los puertos con diferentes estados que describen su comportamiento. Entenderlos es clave para interpretar correctamente los resultados y tomar decisiones de endurecimiento de la red.

Un puerto marcado como open significa que hay una aplicación escuchando y aceptando conexiones TCP o UDP. Desde el punto de vista de un pentester, estos son los objetivos prioritarios para intentar explotar vulnerabilidades. A nivel de administración, cualquier puerto abierto debe estar justificado y protegido mediante autenticación, cifrado o filtrado adecuado.

Si el estado es closed, el puerto responde a Nmap pero no hay servicio detrás. Esto sirve para confirmar que el host está activo y puede ayudar en la detección de sistema operativo. Sin embargo, lo deseable es filtrar esos puertos con un firewall para que ni siquiera sean accesibles desde el exterior.

Cuando aparece filtered, Nmap no puede determinar si el puerto está abierto porque un dispositivo intermedio (firewall, router con filtrado, IPS) bloquea los paquetes. Estos puertos suelen aparecer así en sistemas protegidos por cortafuegos bien configurados, aunque también complican la vida al administrador que intenta depurar problemas.

Los estados open|filtered y closed|filtered aparecen en situaciones en las que la respuesta es ambigua, por ejemplo cuando se usan escaneos FIN, NULL, Xmas o técnicas como el IP Idle Scan. Nmap sabe que algo está filtrando o que la respuesta no es estándar, pero no puede asegurar si realmente hay un servicio detrás.

Principales usos de Nmap en auditorías de red

El uso más típico de Nmap es el escaneo de puertos de uno o varios hosts. Puedes limitarte a los puertos más habituales, a un rango concreto o a todos, según el nivel de detalle que necesites. Esto te permite localizar servicios expuestos, revisar qué servidores están activos y descartar puertos que deberían estar cerrados.

Otra función clave es la detección de sistemas vivos en la red. Nmap puede escanear un rango de direcciones IP completo y mostrarte qué dispositivos responden, incluso combinando técnicas (ICMP, ARP, SYN, ACK, UDP…) para sortear filtros o firewalls que bloquean ciertos tipos de tráfico.

Mediante la detección de servicios y versiones (-sV), Nmap es capaz de indicar qué software se está ejecutando detrás de cada puerto: HTTP, SSH, FTP, Telnet, POP3, IMAP, bases de datos y muchas otras opciones, a menudo con la versión exacta del servidor. Esta información enlaza directamente con bases de datos de vulnerabilidades conocidas.

También se utiliza como herramienta de mapeo de redes. A través de distintos escaneos y del propio traceroute integrado, puedes inferir la topología de la red, ver qué dispositivos actúan como salto intermedio, localizar routers, switches y servidores clave, y elaborar un mapa visual o lógico de la infraestructura.

Por último, Nmap sirve como apoyo en pruebas de penetración y monitorización. Puedes automatizar escaneos periódicos para comprobar disponibilidad de servicios, detectar cambios inesperados o verificar que un servidor sigue levantado tras actualizaciones o modificaciones en el firewall.

Tipos de escaneo en Nmap y técnicas de evasión

Nmap incorpora diversas técnicas de análisis de puertos, cada una con sus ventajas, limitaciones y nivel de “ruido” en los registros de los sistemas objetivo. Algunas son muy directas y dejan rastro claro, mientras que otras intentan pasar lo más desapercibidas posible.

El escaneo SYN (-sS), también conocido como half-open, envía paquetes SYN sin completar totalmente la conexión TCP. Es rápido, eficiente y menos evidente en logs de aplicaciones, ya que no llega a establecerse el handshake completo. Permite escanear miles de puertos por segundo en redes poco protegidas.

El escaneo TCP CONNECT (-sT) utiliza las llamadas estándar del sistema para abrir conexiones completas. Es la opción por defecto cuando no se tienen privilegios especiales, pero resulta más ruidoso: muchos servicios registran estos intentos de conexión en sus ficheros de log, lo que lo hace menos “sigiloso”.

Con UDP (-sU) se analizan puertos que usan este protocolo (DNS, SNMP, DHCP, etc.), esenciales pero a menudo descuidados. Este tipo de escaneo puede ser más lento y provocar respuestas ICMP de puerto inalcanzable, muy útiles para deducir qué está abierto o cerrado tras un firewall.

Además, Nmap ofrece escaneos FIN, NULL y Xmas, que juegan con los flags TCP para detectar puertos sin provocar el comportamiento habitual de un SYN. En algunos sistemas y configuraciones de firewall, estos métodos permiten inferir el estado del puerto sin disparar alertas basadas en patrones clásicos.

En entornos con IDS/IPS o reglas complejas, se combinan técnicas de evasión y fragmentación: dividir paquetes, modificar la longitud de los datos, cambiar la unidad de transmisión, usar señuelos (-D), falsear la IP de origen (-S) o incluso modificar la MAC de origen. Todo esto complica la correlación de eventos y el rastreo del escáner.

Descarga, instalación y ejemplos básicos de Nmap

Instalar Nmap es relativamente sencillo: en distribuciones GNU/Linux suele estar disponible en los repositorios oficiales. En sistemas basados en Debian/Ubuntu bastaría con ejecutar en un terminal un comando del estilo sudo apt install nmap. En Windows y macOS se puede descargar el instalador o binarios desde la sección oficial de descargas del proyecto.

Una vez instalado, puedes lanzar un escaneo rápido de puertos a un host con una orden mínima, por ejemplo indicando su dirección IP. En este modo Nmap se centra en los puertos más comunes y ofrece un panorama general en poco tiempo, ideal para una primera comprobación de un equipo concreto.

Si quieres ser más exhaustivo puedes especificar un rango de puertos concreto o incluso todos, desde el 1 al 65535. Esto incrementa el tiempo de escaneo, pero es la única forma de asegurarte de que no queda ningún puerto abierto fuera de los habituales, algo especialmente importante en auditorías de seguridad estrictas.

Con la combinación de parámetros adecuada, Nmap también puede intentar identificar el sistema operativo y los servicios que corren en el host remoto, analizando la forma en que responde a paquetes cuidadosamente construidos. Aunque no siempre acierta al 100 %, suele distinguir bien entre familias de sistemas (Windows, Linux, etc.) y ayuda a afinar los análisis posteriores.

Para casos avanzados, Nmap dispone de una larga lista de opciones para seleccionar objetivos (rango de IP, nombres de dominio, ficheros de lista, exclusiones), controlar el ritmo y la paralelización del escaneo, ajustar los tiempos de espera, definir qué puertos analizar y cómo registrar los resultados en distintos formatos (texto, XML, orientado a grep o todos a la vez).

Nmap NSE: automatización de pruebas y explotación de servicios

El motor de scripts de Nmap, conocido como NSE (Nmap Scripting Engine), añade una capa de automatización muy potente a la herramienta. En lugar de limitarte a saber qué puertos están abiertos, puedes lanzar scripts que prueban vulnerabilidades concretas, realizan ataques de fuerza bruta controlados o extraen información detallada de servicios complejos.

Hay scripts NSE para FTP, SSH, Samba, servidores web, DNS y un largo etcétera. Algunos verifican si un servidor FTP permite autenticación anónima, otros comprueban credenciales débiles en SSH o intentan explotar fallos conocidos en implementaciones concretas de servicios. Todo ello se puede aplicar después de un escaneo de puertos para centrarse en aquellos servicios realmente expuestos.

Por ejemplo, es posible lanzar un ataque de fuerza bruta a SSH invocando un script NSE que recorra un listado de usuarios y contraseñas. Lo mismo ocurre con servicios FTP, donde se pueden automatizar tanto pruebas de credenciales como verificaciones de configuración insegura o acceso anónimo habilitado cuando no debería.

El catálogo de scripts NSE es muy amplio y está en continua evolución. Encontrarás desde pruebas básicas de seguridad hasta exploits para vulnerabilidades ya documentadas en servidores web, protocolos de compartición de archivos, bases de datos y muchos otros servicios. Por este motivo, mantener todos los sistemas actualizados es crítico: un fallo ya parcheado puede seguir siendo explotable si el administrador no ha aplicado la actualización.

Además, puedes crear tus propios scripts NSE para adaptarlos a las necesidades de tu entorno, generando salidas personalizadas o integraciones con otras herramientas. Esto convierte a Nmap en un componente muy flexible dentro de pipelines de pentesting o auditoría continua.

Uso de Nmap en redes inalámbricas

Aunque mucha gente asocia Nmap a redes cableadas, también es muy útil en entornos WiFi y redes mixtas. Una vez estás conectado a la red inalámbrica, Nmap no distingue si el transporte físico es cobre o aire: puedes escanear la LAN igual que harías en un entorno cableado.

En redes WiFi es buena idea empezar identificando el rango de IP asignado por el servidor DHCP del router, para después escanear hosts activos y sus puertos. Esto te informa de qué móviles, portátiles, televisores, cámaras IP o dispositivos IoT están conectados y qué servicios exponen hacia la red local.

Herramientas como Aircrack-ng pueden complementar el trabajo de Nmap, ya que se especializan en analizar y romper cifrados WiFi (WEP, WPA, WPA2) o en inyectar paquetes para probar la robustez de la red. Combinando ambas soluciones puedes evaluar desde la fortaleza de la clave de la red inalámbrica hasta los servicios que cada dispositivo deja abiertos una vez está dentro.

Un uso muy práctico es revisar periódicamente qué dispositivos están conectados al router y qué puertos tienen abiertos. De esta forma puedes detectar intrusos en tu red WiFi, identificar aparatos mal configurados o decidir aislar ciertos equipos en VLAN separadas para limitar el impacto de un posible compromiso.

Wireshark y otras herramientas para analizar tráfico de red

Mientras Nmap se centra en el reconocimiento de hosts y puertos, Wireshark es un analizador de protocolos y sniffer de tráfico que te permite ver en detalle todo lo que circula por la red. Es especialmente útil para ver credenciales en claro, analizar fallos de comunicación o comprender cómo se comportan los protocolos a bajo nivel.

Herramientas como tcpdump y WinDump realizan una función similar, aunque desde línea de comandos, lo que las hace perfectas para servidores sin entorno gráfico o para automatizar capturas. Posteriormente, esos archivos pcap se pueden abrir en Wireshark para un análisis más cómodo y visual.

En auditorías de seguridad es habitual usar Wireshark para comprobar si servicios como Telnet, FTP, POP3 o HTTP envían información sensible sin cifrar. Con un simple filtro en la captura puedes ver nombres de usuario, contraseñas, comandos y contenidos de correos o peticiones web en texto plano, lo que evidencia la necesidad de migrar a alternativas cifradas como SSH, SFTP o HTTPS.

En escenarios más avanzados se combinan herramientas como Bettercap, que facilita ataques MITM en redes locales mediante ARP spoofing, con Wireshark para capturar el tráfico entre víctimas. De esta forma se pueden estudiar diferencias entre protocolos cifrados (SSH, HTTPS) y sin cifrar (Telnet, HTTP) y mostrar con claridad qué datos quedan expuestos cuando no se usa TLS.

Además de Wireshark, existen otras alternativas y complementos: Masscan para escaneos masivos muy rápidos, Angry IP Scanner para reconocimientos sencillos, WinMTR para diagnóstico de rutas, Skipfish o Scapy para análisis más técnicos y manipulación de paquetes, o suites más integrales como Kali Linux que agrupan docenas de herramientas de pentesting en una sola distribución.

Ejemplo didáctico: Nmap, Bettercap y Wireshark en una red local

Un escenario muy habitual en clases de seguridad consiste en simular una pequeña red local con varias máquinas virtuales: un par de equipos internos, un observador y algún servidor con distintos servicios habilitados (web, SSH, FTP, Telnet, correo, DNS, etc.).

Desde la máquina de observación se arranca Nmap para descubrir qué equipos están activos mediante Ping Sweep y para escanear puertos de cada host con diferentes técnicas: TCP connect (-sT), SYN scan (-sS), NULL scan (-sN), etc. De esta forma se comprueba qué puertos están abiertos y cómo reaccionan los servicios.

En paralelo, en uno de los servidores se habilita el registro de eventos con rsyslog y se configuran reglas en iptables para loguear los paquetes SYN que intentan establecer conexiones TCP. Mientras se lanzan los escaneos desde Nmap, el administrador puede observar en /var/log/syslog cómo algunos métodos dejan rastro claro y otros apenas generan entradas.

Después se introduce Bettercap para llevar a cabo un ataque de ARP spoofing y MITM, en el que el equipo observador se hace pasar por los otros dos hosts ante la red. Esto se comprueba revisando las tablas ARP de cada máquina y analizando con tshark o Wireshark el tráfico ARP que inunda el segmento local.

Una vez establecido el MITM, se capturan con Wireshark sesiones Telnet, SSH, HTTP y HTTPS, guardando cada una en un archivo pcap. El análisis posterior muestra cómo, en Telnet y HTTP, las credenciales y los contenidos viajan en claro, mientras que en SSH y HTTPS (aunque se use un certificado autofirmado) el payload está cifrado y no se puede leer directamente.

Ventajas, desventajas y alternativas a Nmap

Nmap tiene muchos puntos a favor: es gratuito, de código abierto y muy flexible. Permite descubrir puertos abiertos, identificar sistemas operativos, reconocer servicios y sus versiones y llevar a cabo multitud de análisis de seguridad con relativa facilidad, incluso para usuarios que están empezando.

Entre sus inconvenientes está el hecho de que puede utilizarse con fines maliciosos. La misma funcionalidad que ayuda a un administrador a asegurar su infraestructura sirve a un atacante para localizar agujeros. Además, algunos equipos y dispositivos “raros” pueden reaccionar mal ante determinados escaneos, o incluso provocar falsos positivos en sistemas de detección.

También hay que tener en cuenta que no siempre acierta en la detección de sistema operativo y que antivirus o cortafuegos pueden bloquear parte del tráfico de Nmap, limitando los resultados. En redes grandes o muy segmentadas puede ser complicado llegar a todas las subredes sin la colaboración del equipo de redes.

En cuanto a alternativas, existen herramientas como Fing (y Fingbox), Masscan, Angry IP Scanner, WinMTR, Skipfish o Scapy, que cubren tareas específicas: desde reconocer dispositivos conectados y expulsar intrusos, hasta realizar escaneos ultrarrápidos o manipular paquetes a muy bajo nivel. Sin embargo, Nmap sigue siendo la referencia generalista para escaneo y auditoría de puertos.

En el ámbito corporativo, muchas empresas integran Nmap en procesos más amplios, definiendo políticas claras de uso, formación para el personal y procedimientos de actualización. El objetivo es que la herramienta forme parte de una estrategia de seguridad coherente, con análisis periódicos, revisión de resultados y acciones de corrección bien planificadas.

En conjunto, combinar Nmap para el descubrimiento y análisis de puertos con Wireshark y otras utilidades para la inspección del tráfico te da una visión bastante completa de cómo se comporta tu red local: qué equipos están vivos, qué servicios ofrecen, qué protocolos viajan en claro y dónde se concentran los riesgos, permitiéndote cerrar puertas innecesarias, reforzar configuraciones y reducir las oportunidades de éxito de un ataque antes de que sea demasiado tarde.