En la mayoría de las empresas medianas que auditamos, la red fue diseñada "para que funcione" hace varios años y nadie la ha tocado desde entonces. El resultado es predecible: todos los dispositivos —servidores, estaciones de trabajo, cámaras IP, impresoras, teléfonos VoIP, dispositivos IoT y WiFi de visitantes— comparten el mismo rango de red.

Esto es un riesgo inaceptable. No porque sea probable que algo falle hoy, sino porque cuando algo falla, el impacto es total.

Por qué una red plana es un riesgo

En una red plana, un dispositivo comprometido puede alcanzar cualquier otro dispositivo de la red sin restricción. Esto significa que:

  • Un ransomware que infecta una estación de trabajo puede propagarse directamente a los servidores
  • Un visitante conectado al WiFi puede intentar acceder a recursos internos
  • Una cámara IP con firmware desactualizado (típicamente sin soporte de seguridad) tiene acceso a la red de servidores
  • Un equipo de producción legacy sin parches convive en la misma red que los datos financieros

Según el principio de mínimo privilegio, cada dispositivo debe tener acceso únicamente a los recursos que necesita para su función. Una red plana viola este principio por diseño.

Fundamentos de segmentación con VLANs

Una VLAN (Virtual Local Area Network) es una segmentación lógica de la red que permite agrupar dispositivos independientemente de su ubicación física, controlando qué puede comunicarse con qué.

La segmentación no requiere hardware adicional si ya cuenta con switches administrables. La mayoría de los switches empresariales — incluso de gama media — soportan VLANs por IEEE 802.1Q.

Principio de diseño

La pregunta que guía el diseño es: ¿qué necesita hablar con qué? Todo lo que no necesita comunicación directa entre segmentos debe estar separado y el tráfico debe pasar por el firewall, donde se aplican las políticas.

Diseño práctico para una empresa mediana

Un esquema de VLANs funcional para una empresa de 50 a 300 usuarios generalmente incluye:

VLAN de servidores (ej. VLAN 10)

Todos los servidores físicos y virtuales: ERP, archivos, bases de datos, correo interno. Este segmento debe ser el más restringido. Solo tráfico autorizado explícitamente por política en el firewall debe poder acceder aquí.

VLAN de usuarios corporativos (ej. VLAN 20)

Estaciones de trabajo y laptops del personal. Acceso a servidores solo por los puertos y protocolos que necesita cada área: contabilidad accede al ERP, TI accede a administración, producción accede al sistema de planta.

VLAN de WiFi corporativo (ej. VLAN 30)

Dispositivos móviles del personal. Acceso a internet y a algunos recursos internos, pero con mayor restricción que los equipos cableados. La autenticación debe ser por usuario, no solo por clave compartida (WPA2-Enterprise o certificados).

VLAN de WiFi invitados (ej. VLAN 40)

Visitantes y contratistas. Acceso a internet únicamente. Completamente aislada de la red interna mediante regla de denegación explícita en el firewall.

VLAN de dispositivos IoT y cámaras (ej. VLAN 50)

Cámaras IP, sistemas de control de acceso, sensores, impresoras. Estos dispositivos rara vez reciben actualizaciones de seguridad. Aislarlos limita el daño si son comprometidos.

VLAN de gestión (ej. VLAN 99)

Interfaces de administración de switches, APs y firewalls. Esta VLAN no debe ser accesible desde ningún otro segmento excepto desde la estación de administración de TI. Es el activo más crítico de la infraestructura.

Firewall perimetral y políticas de acceso

La segmentación con VLANs define los grupos. El firewall define las reglas entre grupos. Las políticas deben seguir el modelo de denegación por defecto: todo está bloqueado salvo lo que se permite explícitamente.

Las reglas más comunes para validar en cualquier implementación:

  • VLAN invitados → Internet: permitir (puertos 80, 443)
  • VLAN invitados → cualquier VLAN interna: denegar todo
  • VLAN IoT → VLAN servidores: denegar (salvo excepciones documentadas)
  • VLAN usuarios → VLAN servidores: permitir solo puertos específicos por servicio
  • VLAN gestión → acceso externo: denegar siempre

Una segmentación bien implementada no garantiza que no haya incidentes. Sí garantiza que cuando hay un incidente, el daño quede contenido. Esa diferencia vale más que cualquier herramienta de detección reactiva.

Monitoreo: qué vigilar después de segmentar

La segmentación es el primer paso. Sin monitoreo, no sabrá si alguien está intentando cruzar los segmentos. Los eventos mínimos a registrar:

  • Tráfico denegado por el firewall entre VLANs — especialmente desde IoT o invitados hacia servidores
  • Intentos de autenticación fallidos en la VLAN de gestión
  • Dispositivos nuevos en la red — alerta cuando aparece una MAC desconocida
  • Tráfico inusual en horario fuera de oficina