En mayo de 2018, el Banco de Chile amaneció con un problema aparatoso: computadoras dañadas en 39 sucursales del país, 9.000 estaciones de trabajo con el registro de arranque corrupto, servicios caídos y equipos de TI corriendo en todos los sentidos. El culpable parecía ser un wiper, un malware diseñado para destruir. Y así era, en parte.

Lo que nadie vio de inmediato fue que el caos era la distracción. Mientras el banco apagaba incendios en toda su red, los atacantes ejecutaban transferencias SWIFT hacia cuentas en Hong Kong. Diez millones de dólares fuera del país antes de que alguien mirara en la dirección correcta.

El problema no era que el Banco de Chile no tuviera firewall. Lo tenía. El problema era que la red SWIFT, la que procesa las transferencias internacionales, no estaba suficientemente aislada del resto de la infraestructura. Un segmento bien configurado habría contenido el movimiento lateral antes de que el wiper llegara a los sistemas críticos. No lo estaba.

Eso es exactamente lo que hace un firewall cuando funciona bien: controla quién puede hablar con quién dentro y fuera de la red. Y es lo que no hace cuando está mal configurado o cuando nadie revisó las reglas en los últimos dos años.

Qué hace exactamente un firewall

Un firewall es el control de acceso de tu red. Decide qué paquetes de datos entran, cuáles salen y cuáles se quedan atascados en el filtro porque no deberían estar ahí. Funciona siguiendo un conjunto de reglas definidas: si el tráfico cumple las condiciones, pasa; si no, no.

La versión simple es así: imagina que tu red corporativa es un edificio de oficinas. El firewall es la recepción con seguridad. Puede revisar quién entra, hacia dónde va y si tiene autorización. Sin esa recepción, cualquiera que conozca la dirección puede entrar al piso ejecutivo sin que nadie lo detenga. Con ella, el visitante no autorizado llega hasta la puerta y ahí se acaba el recorrido.

El problema es que muchas organizaciones instalaron la recepción hace cinco años, contrataron al guardia y nunca volvieron a revisar si las políticas de acceso seguían teniendo sentido para los visitantes actuales.

Los tipos que debes conocer

No todos los firewalls hacen lo mismo, y elegir el equivocado para el contexto equivocado es tan costoso como no tener ninguno:

• Filtrado de paquetes: el más básico, revisa cada paquete contra reglas predefinidas. Eficaz para tráfico simple. Ciego ante amenazas que se esconden dentro de conexiones permitidas.
• Stateful firewall: monitorea el estado de las conexiones activas. Sabe si un paquete pertenece a una sesión legítima o llegó de la nada. Considerablemente más inteligente que el filtrado simple.
• NGFW (Next-Generation Firewall): inspección profunda de paquetes, identificación de aplicaciones, control por identidad de usuario. Es el estándar para entornos corporativos que enfrentan amenazas modernas. Si no sabes qué tipo tiene tu empresa, probablemente no sea un NGFW.
• WAF (Web Application Firewall): especializado en tráfico HTTP, protege aplicaciones web contra inyecciones SQL, XSS y ataques de capa 7 que los NGFW no están diseñados para manejar.
• FWaaS (Firewall as a Service): la versión nube, ideal para organizaciones con trabajadores remotos y múltiples entornos. Sin hardware propio, con actualizaciones automáticas y escalabilidad que la infraestructura física nunca tendrá.

Los NGFW y FWaaS se han convertido en la respuesta estándar para cualquier organización que opere en la nube, tenga empleados remotos o necesite visibilidad de aplicaciones, no solo de puertos.

El error que convierte el firewall en decoración

Existe una percepción extendida de que instalar un firewall equivale a estar protegido. Esa percepción ha costado fortunas.

Un firewall con las reglas por defecto es un firewall que dice "sí" a todo lo que el fabricante consideró razonable hace tres años. Las redes corporativas no son estáticas: crecen, cambian, incorporan servicios nuevos, abren accesos remotos. Cada cambio que no se refleja en las reglas del firewall es una brecha potencial que nadie cerró conscientemente porque nadie la registró.

Colonial Pipeline es el caso más citado en la industria y por una razón concreta. En mayo de 2021, el grupo DarkSide entró por una cuenta VPN heredada que no tenía autenticación multifactor y operaba en un segmento de red sin aislamiento efectivo del entorno OT. El ransomware se movió lateralmente desde los sistemas de TI hasta los de tecnología operativa porque el firewall no estaba configurado para bloquear ese camino. Cuarenta y cinco por ciento del suministro de combustible de la costa este de Estados Unidos se detuvo durante cinco días. El rescate pagado fue de 4,4 millones de dólares.

El firewall existía. Las reglas de segmentación no estaban bien implementadas. La diferencia entre los dos casos, Banco de Chile y Colonial Pipeline, es la misma lección repetida en geografías diferentes: no es la presencia del firewall lo que protege, sino la granularidad de sus reglas.

Firewall en la nube: cuando el perímetro desaparece

Las organizaciones que migraron a la nube descubrieron tarde que las reglas de seguridad que tenían sentido en un data center propio no se trasladan automáticamente a AWS, Azure o GCP. La arquitectura cambia, el perímetro se disuelve y el firewall tradicional queda fuera de contexto.

Los firewalls en la nube, y especialmente el modelo FWaaS, están diseñados para esa realidad: protegen la infraestructura virtualizada, aplican políticas consistentes a trabajadores remotos independientemente de desde dónde se conecten, y pueden actualizarse centralmente sin depender de hardware físico distribuido en múltiples oficinas. Para organizaciones con equipos distribuidos en Colombia, México o Argentina, esa centralización no es un lujo, es la única forma de mantener coherencia en las políticas de acceso.

La regla que pocas organizaciones en LATAM aplican

La segmentación de red sigue siendo la brecha más común en la región. Muchas organizaciones tienen un firewall en el perímetro externo que bloquea el tráfico entrante no autorizado, pero carecen de segmentación interna que impida el movimiento lateral una vez que un atacante ya está adentro.

La práctica correcta es asumir que alguien entrará y diseñar las reglas del firewall para que ese alguien no pueda llegar desde la red de invitados hasta la base de datos de clientes, ni desde el portátil de un empleado comprometido hasta el sistema de nómina. Esa es la lógica de Zero Trust aplicada al control de tráfico: verificar siempre, confiar nunca, segmentar con criterio.

Para organizaciones que no tienen un equipo de seguridad dedicado a mantener y auditar esas reglas, una solución de seguridad de redes y firewall gestionada elimina el riesgo de operar con reglas obsoletas o configuraciones heredadas que nadie revisó desde la última restructuración del equipo de TI.

Auditorías regulares, políticas bien documentadas y monitoreo continuo no son opcionales cuando el activo que el firewall protege son los datos de tus clientes, los sistemas que procesan tus transacciones y la continuidad de tu operación.

¿Cuándo fue la última vez que alguien de tu organización revisó activamente las reglas del firewall y verificó que reflejan exactamente la arquitectura de red que existe hoy, no la que existía cuando se instaló?