VLAN y segmentación de red
Una sola red plana es un caramelo para ransomware. Segmentamos en VLANs por uso (usuarios, servidores, IoT, invitados, voz) con políticas de control entre ellas. Si un equipo cae, el ataque NO se propaga.
Por qué separar la red por VLANs
Imagina tu red como un edificio. Si todos los departamentos están en la misma planta sin puertas, cualquier incendio se propaga rápido. Si cada departamento tiene su puerta cortafuegos, el daño se contiene. Las VLANs son las puertas cortafuegos de tu red.
VLANs típicas en una empresa
- VLAN Usuarios: portátiles y PCs de empleados. Acceso a servidores autorizados, no entre ellos.
- VLAN Servidores: solo accesible desde VLAN Usuarios (filtrado por firewall).
- VLAN IoT: cámaras, impresoras, dispositivos de control. Aislada de todo lo demás.
- VLAN Wi-Fi Invitados: clientes y visitantes. Solo acceso a internet, nada interno.
- VLAN VoIP: tráfico de voz separado para QoS y aislamiento de seguridad.
- VLAN Gestión: para administrar los propios switches/APs/firewall. Acceso solo IT.
Reglas entre VLANs (Firewall L3)
El switch L3 (o firewall) controla qué puede hablar con qué. Política por defecto: negar todo, permitir explícitamente lo necesario. Ejemplos: Usuarios → Servidores en puerto 443 solo. IoT → Internet sí, hacia LAN no. Invitados → Internet sí, hacia LAN no.
Beneficios concretos
Contención de incidentes
Ransomware en una VLAN no salta a otra. Reduce daño 80%.
Cumplimiento normativo
RGPD/ENS/NIS2 exigen segmentación efectiva entre datos sensibles y el resto.
Calidad de servicio
Voz y vídeo no compiten con descargas masivas.
Trazabilidad
Sabes quién se conecta a qué, desde dónde. Auditable.
¿Tu red es plana o segmentada?
Si todos los dispositivos pueden hablar con todos, es plana — y vulnerable. Auditoría gratuita.