Inicio / Blog / Firewall empresas Chile: no basta con tenerlo instalado, tiene que estar bien configurado

Firewall empresas Chile: no basta con tenerlo instalado, tiene que estar bien configurado

👁 5,705 lecturas
Firewall empresas Chile: no basta con tenerlo instalado, tiene que estar bien configurado

Existe una idea muy extendida en las empresas chilenas: "ya tenemos firewall, estamos protegidos". Es una de las frases más peligrosas en ciberseguridad.

Un firewall instalado con configuración de fábrica, con reglas genéricas o que lleva años sin revisión puede ser tan inútil como no tener ninguno — y lo que es peor, genera una falsa sensación de seguridad que hace que nadie busque el problema real.

En este artículo explicamos por qué la configuración correcta de un firewall para empresas en Chile importa tanto como el equipo mismo, y qué parámetros deben adaptarse a cada empresa en particular.

¿Qué hace realmente un firewall bien configurado?

Un firewall es esencialmente un sistema de reglas: define qué tráfico puede pasar y qué tráfico debe bloquearse. La calidad de esas reglas determina el nivel real de protección.

Un firewall bien configurado para una empresa específica debe:

  • Permitir solo el tráfico estrictamente necesario para que el negocio funcione
  • Bloquear por defecto todo lo que no está explícitamente autorizado
  • Distinguir entre tipos de usuarios — empleados, administradores, invitados, sistemas
  • Detectar y bloquear patrones de ataque conocidos
  • Generar alertas cuando ocurre algo inusual
  • Registrar todo el tráfico para auditoría y análisis forense

Nada de esto ocurre automáticamente al enchufar el equipo.

Los errores más comunes en firewalls de empresas chilenas

Error 1: Regla "permit any any" — el firewall que no filtra nada

La regla más peligrosa que existe en un firewall es permit any any — que en términos simples significa "deja pasar todo". Es la configuración por omisión en algunos equipos de gama baja, y también aparece cuando alguien configura el firewall rápidamente para "que funcione" y deja las reglas restrictivas para después.

Con esta regla activa, el firewall existe físicamente pero no cumple ninguna función de seguridad. Todo el tráfico pasa libremente, como si no hubiera nada. Hemos encontrado esta configuración en empresas que llevaban años creyendo que estaban protegidas.

Error 2: Configuración de fábrica sin personalizar

Los fabricantes como Fortinet, Cisco o pfSense entregan sus equipos con una configuración base que sirve para cualquier empresa genérica. El problema es que tu empresa no es genérica — tiene aplicaciones específicas, sistemas internos, políticas de acceso particulares y usuarios con distintos niveles de privilegio.

Una configuración de fábrica no conoce nada de esto. No sabe que tu ERP corre en el puerto 8080, que solo ciertos usuarios deben acceder al servidor de archivos, o que el equipo de contabilidad no debería poder navegar hacia plataformas de descarga de archivos. Toda esa lógica tiene que configurarse manualmente por alguien que entiende tanto de redes como de tu operación.

Error 3: Reglas que se acumulan sin revisión

Las reglas de un firewall se van agregando con el tiempo: se abre un puerto para una aplicación nueva, se crea una excepción para un proveedor externo, se permite acceso remoto temporal para un técnico. El problema es que esas reglas rara vez se eliminan cuando dejan de ser necesarias.

Con el tiempo, el firewall acumula decenas de reglas obsoletas que abren brechas innecesarias. Un puerto abierto para una aplicación que ya no se usa es una puerta que cualquier atacante puede intentar forzar. La revisión periódica de reglas no es opcional — es parte del mantenimiento básico.

Error 4: Sin segmentación de zonas

Un firewall bien configurado no solo separa la red interna de internet — también segmenta la red interna en zonas con distintos niveles de confianza:

  • DMZ (Zona Desmilitarizada): Para servidores accesibles desde internet — web, correo, VPN
  • LAN corporativa: Para equipos de empleados con acceso a sistemas internos
  • Red de servidores: Para servidores críticos, aislada del resto
  • Red de invitados: Sin acceso a ningún recurso interno
  • Red IoT: Para cámaras, impresoras y dispositivos con firmware no actualizable

Sin esta segmentación, si un equipo de la red de invitados se infecta, puede alcanzar los servidores. Si una impresora antigua tiene una vulnerabilidad, puede usarse como punto de entrada hacia toda la red. La segmentación limita el radio de daño de cualquier incidente.

Error 5: Sin inspección de tráfico cifrado

La mayoría del tráfico de internet hoy viaja cifrado por HTTPS. Un firewall básico ve ese tráfico pero no puede inspeccionarlo — es como revisar el sobre pero no la carta. Los ataques modernos aprovechan esto: el malware se descarga encubierto en tráfico HTTPS legítimo.

Los firewalls UTM modernos como Fortinet FortiGate tienen capacidad de SSL Inspection — pueden descifrar, inspeccionar y re-cifrar el tráfico HTTPS para detectar amenazas ocultas. Esta funcionalidad debe configurarse correctamente para no romper servicios legítimos que usan certificados propios.

¿Qué parámetros deben configurarse según cada empresa?

Aquí está el punto central: no existe una configuración de firewall universal. Lo que es correcto para una empresa de distribución no es lo mismo que para una consultora o un comercio retail. Estos son los parámetros que deben definirse según cada caso:

Políticas de acceso por rol de usuario

¿Quién puede acceder a qué? Los empleados de ventas no necesitan acceso al servidor de contabilidad. El equipo de TI necesita acceso administrativo que el resto no debe tener. Los gerentes pueden necesitar acceso remoto con distintos privilegios que los operadores. Cada rol debe traducirse en reglas específicas del firewall.

Puertos y protocolos permitidos

Solo los puertos necesarios para las aplicaciones que usa la empresa deben estar abiertos. Un firewall que permite todos los puertos hacia un servidor es un colador. El proceso de identificar qué puertos realmente se usan — y cerrar todo lo demás — se llama hardening, y es fundamental en cualquier implementación seria.

Políticas de navegación web

¿Qué categorías de sitios web pueden visitar los empleados? ¿Se permite acceso a redes sociales? ¿A plataformas de streaming? ¿A sitios de descarga de archivos? Estas políticas varían completamente según la cultura y las necesidades de cada empresa, y deben configurarse explícitamente en el filtro de contenido del firewall.

Reglas de tráfico hacia internet

¿Qué sistemas internos necesitan acceso saliente a internet y hacia dónde? Un servidor de facturación que solo debería comunicarse con el SII no debería tener acceso libre a cualquier destino en internet. Restringir el tráfico saliente por sistema es una capa de seguridad adicional que detiene muchos tipos de malware que intentan comunicarse con servidores de comando y control.

Configuración de VPN para acceso remoto

Si hay trabajo remoto, el firewall debe gestionar la VPN. Los parámetros clave son: qué protocolo (IKEv2, SSL-VPN), qué nivel de autenticación (MFA obligatorio), qué recursos internos puede acceder cada usuario por VPN, y si el split tunneling está habilitado o no.

Alertas y monitoreo

¿Qué eventos generan alerta? ¿Quién recibe esas alertas? ¿Con qué frecuencia se revisan los logs? Un firewall sin monitoreo puede estar bloqueando ataques — o fallando en hacerlo — sin que nadie lo sepa.

El mantenimiento del firewall: tan importante como la configuración inicial

La configuración inicial es el punto de partida, no el punto de llegada. Un firewall bien configurado requiere mantenimiento regular:

  • Actualización de firmware: Los fabricantes publican actualizaciones que corrigen vulnerabilidades. Un Fortinet sin actualizar puede tener brechas de seguridad conocidas que los atacantes explotan activamente.
  • Revisión trimestral de reglas: Eliminar reglas obsoletas, revisar excepciones temporales que se volvieron permanentes, ajustar políticas según cambios en la empresa.
  • Renovación de suscripciones de seguridad: Las funciones UTM — antivirus, IPS, filtrado web — requieren suscripciones activas. Un Fortinet con suscripción vencida pierde gran parte de su capacidad de detección.
  • Revisión de logs mensuales: Identificar patrones de intentos de acceso, escaneos de puertos, tráfico inusual hacia destinos desconocidos.

¿Cómo saber si tu firewall está bien configurado?

  • ☐ ¿Alguien con conocimiento técnico revisó y personalizó la configuración después de la instalación?
  • ☐ ¿Hay reglas diferenciadas por tipo de usuario o departamento?
  • ☐ ¿La red está segmentada en zonas con distintos niveles de acceso?
  • ☐ ¿El firmware está actualizado a la última versión estable?
  • ☐ ¿Las suscripciones de seguridad están vigentes?
  • ☐ ¿Alguien revisa los logs periódicamente?
  • ☐ ¿Se han revisado y limpiado las reglas en los últimos 6 meses?
  • ☐ ¿Existe documentación de qué regla existe y por qué?

Si respondiste "no sé" a más de 3 preguntas, tu firewall probablemente está instalado pero no está protegiendo a tu empresa como debería.

¿Cuánto cuesta una configuración profesional de firewall para empresas en Chile?

La configuración profesional de un firewall existente — revisión, hardening, segmentación de VLANs, políticas por usuario y documentación — tiene un costo referencial de entre $200.000 y $500.000 CLP según la complejidad de la red.

Si además se incluye gestión mensual — monitoreo, actualizaciones y revisión de logs — el costo mensual está entre $80.000 y $180.000 CLP dependiendo del tamaño de la empresa.

En Union-TI trabajamos con Fortinet, pfSense y otras soluciones de firewall para empresas en Chile. Si tienes un firewall instalado y no estás seguro de cómo está configurado, solicita una revisión gratuita — en 48 horas te decimos exactamente en qué estado está y qué ajustes necesita.

¿Necesitas ayuda con tu infraestructura TI?

Diagnóstico gratuito sin compromiso. Respondemos en menos de 2 horas.

Solicitar diagnóstico gratuito