Saltar al contenido principal

Segmentación de red - Deteniendo el movimiento lateral

Lectura de 2 min aprox.

La segmentación de red es una técnica que divide la red de una organización en múltiples segmentos (zonas) de forma lógica o física y restringe la comunicación entre segmentos mediante firewalls y listas de control de acceso. Aunque un atacante vulnere un segmento, el daño puede localizarse al impedir el movimiento lateral hacia otros segmentos. A fecha de 2025, con la difusión de la arquitectura de confianza cero, la adopción de la microsegmentación se está acelerando.

Casos de uso reales

«El ransomware infectó un terminal del departamento de contabilidad, pero gracias a la segmentación basada en VLAN pudimos evitar el movimiento lateral hacia el entorno de desarrollo y los servidores de producción. Como la infección quedó confinada a un único segmento, la recuperación se completó en tan solo cuatro horas.»

Diagrama conceptual de la división de red

Segmento DMZ (servidores web)
Segmento de negocio (dispositivos de empleados)
Comunicación controlada por firewall
Segmento de servidores (BD y AP)
Segmento de administración (operación y monitoreo)

Métodos de segmentación

La segmentación física separa las redes mediante switches y routers dedicados; es la más fiable, pero también la más costosa. La segmentación lógica mediante VLAN (LAN virtuales) puede separar varias redes en un solo switch y ofrece una excelente flexibilidad. La microsegmentación es el enfoque más reciente, basado en el concepto de confianza cero, que controla la comunicación a nivel de carga de trabajo.libros de introducción al diseño de redes (Amazon) permiten aprender de forma sistemática.

Puntos de diseño en la práctica

PCI DSS establece como requisito que los sistemas que manejan datos de titulares de tarjetas se separen de otras redes. Un diseño común se basa en cuatro zonas: un segmento de servidores, un segmento de usuarios, una DMZ y un segmento de administración, que se subdividen según los requisitos del negocio. Como principio, las reglas de comunicación entre segmentos deben seguir el criterio de «denegación por defecto», y se recomienda un enfoque de lista blanca que permita explícitamente solo la comunicación necesaria. Proteja las consolas de administración de los dispositivos de red con contraseñas aleatorias robustas para evitar modificaciones no autorizadas de las reglas de segmentación.libros sobre redes de confianza cero (Amazon) también son una referencia útil.

Términos relacionados

¿Te resultó útil este artículo?

XHatena