Qué son las VLANs y por qué toda empresa debería usarlas
La mayoría de pymes tiene todos los dispositivos en la misma red: empleados, servidores, impresoras, cámaras y el WiFi de visitas, todo junto. Es la configuración más sencilla, pero también la más expuesta. Cuando algo se infecta, tiene acceso directo a todo lo demás. Las VLANs resuelven esto sin necesidad de infraestructura adicional.
Explicamos qué son, cómo funcionan y cómo las aplicamos en la práctica.
El problema de tenerlo todo en la misma red
En la mayoría de pymes, todos los dispositivos comparten la misma red: portátiles de empleados, ordenadores de sobremesa, servidores, impresoras, cámaras de seguridad, teléfonos IP y el WiFi de visitas. Todo junto, en el mismo segmento de red.
Esto tiene dos consecuencias directas. La primera es de seguridad: si un dispositivo se infecta —un portátil con malware, una cámara IP con firmware sin actualizar— tiene visibilidad directa a todos los demás. El ransomware que entra por un equipo puede propagarse al servidor de ficheros sin ningún obstáculo.
La segunda es de rendimiento: el tráfico de difusión (broadcast) que generan los dispositivos de red se distribuye a toda la red. Con muchos equipos, esto genera ruido que degrada el rendimiento general.
Qué es una VLAN
VLAN significa Virtual Local Area Network. Es una técnica que permite dividir una red física en varias redes lógicas independientes, aunque compartan el mismo cableado y los mismos switches.
Desde el punto de vista de cada dispositivo, funciona exactamente como si estuviera en su propia red separada: no ve los equipos de las otras VLANs, no puede acceder a ellos directamente y el tráfico entre VLANs pasa obligatoriamente por el router o firewall, donde se pueden aplicar reglas de control.
La clave está en los switches gestionados: cada puerto del switch se configura para pertenecer a una VLAN concreta, y el tráfico entre VLANs se etiqueta con un identificador (VLAN ID) que los switches entienden y respetan.
Cómo segmentamos la red en una empresa típica
En la mayoría de instalaciones, configuramos al menos cuatro VLANs diferenciadas:
VLAN de empleados (VLAN 10): los puestos de trabajo y portátiles del personal. Con acceso a recursos compartidos internos y salida a internet. Esta VLAN tiene las políticas más permisivas dentro del entorno interno.
VLAN de servidores (VLAN 20): los servidores de ficheros, el controlador de dominio, el servidor de aplicaciones. Aislados del tráfico general. Solo reciben conexiones desde la VLAN de empleados, y solo en los puertos necesarios.
VLAN de visitas (VLAN 30): acceso a internet únicamente, sin visibilidad de nada interno. El WiFi de visitas se mapea a esta VLAN automáticamente.
VLAN de IoT y dispositivos periféricos (VLAN 40): impresoras, cámaras, teléfonos IP, pantallas de sala de reuniones. Dispositivos que necesitan conectividad pero que no deben tener acceso a recursos críticos.
La relación entre VLANs y WiFi
Las VLANs no son solo para red cableada. Con puntos de acceso gestionados (como Ubiquiti UniFi), cada SSID WiFi se puede mapear a una VLAN diferente. El resultado es que el WiFi de empleados y el WiFi de visitas son redes completamente separadas aunque emitan en el mismo punto de acceso.
Esto significa que un visitante conectado al WiFi de la sala de reuniones no puede ver ni el servidor NAS ni los equipos de empleados, aunque esté físicamente en la misma sala.
Reglas entre VLANs: quién puede hablar con quién
El tráfico entre VLANs pasa por el firewall, lo que permite definir reglas precisas. Algunos ejemplos habituales:
— La VLAN de empleados puede acceder a servidores en puertos específicos (SMB, RDP, SQL). — La VLAN de visitas no puede acceder a ninguna IP interna. — La VLAN de IoT puede salir a internet pero no puede iniciar conexiones hacia la VLAN de empleados. — Desde la VLAN de servidores no se permite tráfico saliente iniciado desde el propio servidor (reduce el impacto de un servidor comprometido).
Estas reglas se definen una vez y se aplican a nivel de infraestructura, no dependen de la configuración de cada equipo.
Por qué muchas pymes no tienen VLANs (y qué pierden)
Configurar VLANs requiere switches gestionados —que cuestan algo más que los switches no gestionados básicos— y conocimiento de red para configurarlos correctamente. Muchas pymes no lo tienen porque nadie se lo ha propuesto o porque el proveedor anterior simplemente instaló un switch básico y lo dejó así.
Lo que se pierde es control. Sin VLANs, un dispositivo comprometido tiene acceso directo a toda la infraestructura. Con VLANs, el daño queda contenido y los atacantes se encuentran con barreras que tienen que saltar activamente, lo que da tiempo para detectar y responder.
Segmentación típica en una pyme
Empleados
Puestos de trabajo, portátiles del personal
Servidores
NAS, servidor de ficheros, controlador de dominio
Visitas
WiFi de visitas, solo internet
IoT / periféricos
Impresoras, cámaras, teléfonos IP
Sin VLANs, el ransomware se propaga libremente
En redes planas sin segmentación, el ransomware que entra por un puesto de trabajo puede explorar y cifrar el contenido del servidor de ficheros sin encontrar ninguna barrera técnica. Con una VLAN de servidores correctamente configurada, el acceso está restringido a los puertos y protocolos necesarios, reduciendo significativamente el radio de impacto.
Si quieres revisar la segmentación de red de tu empresa o implementar VLANs en tu infraestructura actual, podemos hacer un análisis de tu red y proponerte la configuración adecuada.
