Qué firewall necesita una pyme y cuándo vale la pena invertir
La mayoría de pymes tiene el router del operador como único punto de seguridad perimetral. Para algunas empresas eso puede ser suficiente. Para otras — las que tienen servidor, teletrabajadores o datos sensibles — es un riesgo que tarde o temprano tiene consecuencias. Esta guía explica qué opciones existen, cuándo aplica cada una y qué hay que configurar independientemente del hardware.
Qué hace realmente un firewall
Un firewall es el dispositivo que controla qué tráfico puede entrar y salir de tu red. En su forma más básica, aplica reglas: esta IP puede conectarse a este puerto, este protocolo está bloqueado, este tráfico procedente de internet no puede llegar al servidor interno.
Sin firewall —o con uno mal configurado— la red de la empresa está abierta: cualquier servicio expuesto sin querer, cualquier puerto mal cerrado, cualquier conexión remota sin proteger es una superficie de ataque activa. No es teórica. Los atacantes escanean internet continuamente buscando exactamente eso.
El router del operador no es un firewall empresarial
El router que instala el operador tiene una funcionalidad básica de NAT (Network Address Translation) que actúa como cortafuegos por defecto para el tráfico entrante: si nadie dentro ha iniciado la conexión, el tráfico de fuera se descarta. Esto protege de los ataques más básicos.
Pero tiene limitaciones importantes. No tiene visibilidad del tráfico saliente, no puede filtrar por contenido o aplicación, no genera registros auditables, no soporta VLANs complejas y no tiene capacidad para gestionar reglas entre segmentos internos. Para una empresa con servidor, teletrabajo, múltiples redes o requisitos de cumplimiento, no es suficiente.
Tipos de firewall: cuál corresponde a cada empresa
Firewall de próxima generación (NGFW): los dispositivos más completos. Inspeccionan el tráfico a nivel de aplicación (no solo puerto/protocolo), detectan amenazas en tiempo real, pueden autenticar usuarios y tienen capacidades de VPN avanzadas. Marcas como Fortinet, Palo Alto, Sophos o pfSense (en su variante enterprise). Adecuados para empresas con más de 20 usuarios, múltiples sedes o requisitos de seguridad elevados.
UTM (Unified Threat Management): combina firewall, antivirus de red, filtrado web y gestión de VPN en un único dispositivo. Más sencillo de gestionar que un NGFW completo, pero con capacidades reales. Soluciones como Fortinet FortiGate de gama baja o Sophos XGS son habituales en pymes de 10-50 empleados.
Router con firewall gestionado: para empresas pequeñas con pocos usuarios y sin servidor expuesto, un router empresarial con firewall correctamente configurado puede ser suficiente. La clave es la configuración, no el hardware: muchos routers tienen capacidades que nadie ha activado.
Qué hay que configurar, independientemente del hardware
El firewall más caro del mercado es inútil con la configuración de fábrica. Lo que importa es la configuración:
Reglas de entrada estrictas: por defecto, nada de internet debe poder entrar. Solo se abren los puertos que se necesitan explícitamente, y solo hacia las IPs internas que corresponden.
Control del tráfico saliente: muchos malware y exfiltración de datos usan el tráfico saliente. Filtrar destinos y protocolos en la salida reduce significativamente el impacto de un equipo comprometido.
VPN para acceso remoto: el acceso remoto al servidor o a los recursos internos debe pasar siempre por VPN. RDP sin VPN en internet es un vector de ataque activo y documentado.
Segmentación interna: el firewall gestiona también el tráfico entre VLANs. Las reglas entre la VLAN de empleados y la de servidores son tan importantes como las reglas hacia internet.
Logs y alertas: un firewall que no genera registros legibles no sirve para responder a incidentes. Los logs deben estar configurados y, en entornos con requisitos de cumplimiento, guardarse durante un período mínimo.
Cuándo vale la pena invertir en un firewall dedicado
La respuesta corta: cuando tienes un servidor con datos sensibles, teletrabajadores que acceden a recursos internos, o más de 10-15 usuarios.
La respuesta larga: si la empresa tiene servidores con información de clientes, datos contables o acceso a software crítico (A3, ERP, CRM), el riesgo de un incidente supera con creces el coste de un firewall UTM de gama media. Un FortiGate 60F o un Sophos XGS 87 se pueden instalar y configurar correctamente por menos de lo que cuesta un solo día de parada por ransomware.
El error habitual es esperar a tener un incidente para planteárselo.
Comparativa rápida por tipo de empresa
| Solución | Cuándo es adecuada | Limitación |
|---|---|---|
| Router del operador | Empresa sin servidor, sin teletrabajo, menos de 5 usuarios | Sin visibilidad de tráfico, sin VLANs, sin logs auditables |
| Router empresarial gestionado | Oficina pequeña con requisitos básicos y configuración correcta | Sin inspección de aplicaciones ni detección de amenazas |
| UTM (Fortinet, Sophos, pfSense) | Pyme de 10-50 usuarios con servidor y teletrabajo | Requiere configuración y mantenimiento especializado |
| NGFW (Palo Alto, Fortinet gama alta) | Empresas con requisitos de cumplimiento o múltiples sedes | Mayor coste y complejidad de gestión |
Configuración mínima, independientemente del hardware
Reglas de entrada: solo los puertos estrictamente necesarios
Bloqueo de tráfico saliente a destinos no autorizados
VPN para todo acceso remoto a recursos internos
Reglas entre VLANs internas documentadas
Logs activados con retención mínima de 90 días
Alertas ante intentos de acceso no autorizados
Revisión periódica de reglas (al menos semestral)
El mayor error: comprar el hardware y no configurarlo
Hay empresas con firewall UTM instalado que funciona en modo "transparente" desde el primer día — básicamente como si no estuviera. Todas las reglas en "permit any", sin VPN configurada, sin logs activos. El coste del hardware fue real; la seguridad, no. El hardware importa menos que la configuración y el mantenimiento.
Si no sabes qué tiene configurado tu firewall actual o quieres revisar la seguridad perimetral de tu empresa, podemos hacer un diagnóstico completo y decirte exactamente qué hay y qué falta.
