martes, 27 de enero de 2026

El cortafuegos silencioso (Stealth)

Por qué “Entrante: ignorar / Saliente: permitir” es una buena idea

En sistemas de escritorio GNU/Linux, especialmente en entornos como Debian con KDE Plasma, el cortafuegos no suele verse como algo necesario, y sí como algo desmesuradamente engorroso. Sin embargo, una sutil configuración puede aportar una sigilosa defensa sin complicarle la vida al usuario.

Una de esas configuraciones es:

  • Política entrante: ignorar
  • Política saliente: permitir 

 

 

 ¿Qué significa realmente “ignorar” lo entrante?

Configurar el tráfico entrante como ignorado implica que cualquier conexión no solicitada desde el exterior se descarta en silencio. El sistema no responde con mensajes de rechazo ni confirma la existencia de puertos abiertos o cerrados.

Desde fuera, el equipo:

  • No “contesta”
  • No da pistas
  • Aparece como filtrado o incluso inexistente

Este comportamiento reduce el ruido de red y dificulta tareas habituales como el escaneo de puertos o el fingerprinting (Intentar identificar un sistema observando cómo responde en la red y qué información deja ver) del sistema.

Un enfoque discreto, pero eficaz

A diferencia de políticas más explícitas como deny o reject (bloquean el tráfico entrante y saliente), el modo ignore apuesta por la discreción. No es una defensa agresiva, sino pasiva: el sistema simplemente no reacciona.

Para un equipo de escritorio que:

  • No ofrece servicios públicos
  • Se conecta a redes domésticas o de confianza
  • Inicia conexiones, pero no espera recibirlas

…este enfoque es más que suficiente y, en muchos casos, preferible. 

Saliente permitido: que el sistema fluya

Permitir todo el tráfico saliente garantiza que:

  • Navegadores
  • Actualizaciones del sistema
  • Aplicaciones de escritorio
  • Servicios como DNS (nombres de dominio), NTP (protocolo de tiempo para sincronizar la red) o gestores de paquetes

funcionen sin restricciones ni configuraciones adicionales.

Además, UFW (Uncomplicated Firewall) es un cortafuegos stateful (Capacidad del cortafuegos para reconocer conexiones iniciadas por el propio equipo y permitir solo sus respuestas), lo que significa que las respuestas a conexiones iniciadas desde el propio equipo sí están permitidas automáticamente, incluso con el tráfico entrante ignorado.

Seguridad sin fricción

Una de las grandes virtudes de esta configuración es que no interfiere con el uso normal del sistema:

  • No rompe el escritorio
  • No requiere mantenimiento constante
  • No obliga a abrir puertos “por si acaso”


Es una defensa silenciosa que cumple el principio de mínimo privilegio aplicado a la red.  

¿Es suficiente?

Para un escritorio personal, portátil o mini-PC sin servicios expuestos, sí.
No pretende sustituir otras medidas de seguridad, pero añade una capa adicional muy barata en términos de complejidad y coste cognitivo.

Si en el futuro se necesitan servicios entrantes (SSH, KDE Connect, impresoras en red), siempre es posible añadir reglas específicas sin cambiar la política general.

Conclusión

Usar UFW con entrante ignorado y saliente permitido es una forma elegante de aplicar seguridad práctica en Linux: silenciosa, sencilla y efectiva.

No es hardening (hacer un sistema más seguro reduciendo lo que no necesita estar activo o accesible) extremo, pero sí una defensa sutil que encaja perfectamente con el espíritu de un escritorio moderno y bien configurado. 

¿Qué dice el Terminal?


   nacho@nacho-herobox:~$ sudo ufw status verbose
[sudo] contraseña para nacho:  
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip


Status: active

UFW está activo y funcionando.
Las reglas se están aplicando realmente.

Logging: on (low)

El registro está activado en nivel bajo:

  • Solo se anotan eventos importantes
  • No llena los logs de ruido
  • Útil para detectar algo raro sin volverte loco

Buena elección para un escritorio.

Default: deny (incoming), allow (outgoing), disabled (routed)

Esto es lo más importante:

deny (incoming)
Las conexiones entrantes no solicitadas se bloquean por defecto.
Nota: aunque en la interfaz gráfica eligieras ignorar, UFW a nivel interno suele mostrarlo como deny; en la práctica el efecto es muy similar para un escritorio.

allow (outgoing)
Todo lo que el sistema inicia hacia fuera está permitido.

disabled (routed)
El equipo no actúa como router ni reenvía tráfico entre interfaces, que es lo normal y deseable en un PC.

 

Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)