Los modelos típicos incluyen segmentación por función (desarrollo/producción/finanzas), por criticidad (crítico/importante/no crítico) o por tipología de datos (PII aislado, datos públicos en zonas abiertas).
Qué es segmentación de red
Segmentación de red es la división de la red corporativa en múltiples subredes o zonas aisladas, donde el tráfico entre ellas está controlado por firewalls o políticas explícitas. La idea es sencilla: si un atacante compromete una máquina, no debería tener acceso automático al resto de la infraestructura. Finanzas no ve desarrollo, desarrollo no ve recursos humanos y cada zona declara qué tráfico acepta y hacia dónde. Así, quien entra por un endpoint solo alcanza aquello para lo que ese endpoint tiene permiso explícito.
Por qué importa
Sin segmentación, una máquina comprometida es una puerta abierta al resto del negocio. Con segmentación, es una puerta cerrada salvo para lo estrictamente necesario. La diferencia en tiempo de contención de incidentes suele ser dramática: en entornos planos un gusano puede cifrar buena parte de la infraestructura antes de que el equipo reaccione; en entornos bien segmentados, el mismo gusano se propaga dentro de su zona y queda frenado en el firewall, reduciendo el impacto a una fracción del escenario peor. Segmentación es también control regulatorio: NIS2, ISO 27001 y RGPD exigen separación efectiva de datos sensibles, por lo que el cumplimiento suele ser el empujón que fuerza el diseño.
Puntos clave
La implementación requiere mapeo de dependencias (qué habla con qué), firewall interno o NSGs en la nube, políticas explícitas 'allow specific, deny por defecto' y monitorización activa del tráfico este-oeste.
La microsegmentación es la evolución avanzada: en lugar de grandes zonas, cada aplicación o incluso cada workload tiene su propia política. Granularidad máxima, defensa máxima, complejidad operacional máxima.
La segmentación por VLAN es simple pero limitada: no es equivalente a cifrado (la VLAN no cifra) y depende del firewall entre VLANs; cuando sea posible conviene complementarla con políticas basadas en identidad o aplicación.
La segmentación es el sustrato natural de Zero Trust: sin separar primero lo que importa, no se puede aplicar de forma eficaz el principio de verificar cada acceso.
La validación es crítica: la política debe reflejar la realidad operativa. Si dice que finanzas no puede hablar con IT pero en realidad necesita soporte, o se bypasea la política o el negocio sufre.
Ejemplo: Segmentación detiene el movimiento lateral en un incidente real
Una aseguradora tenía una arquitectura plana: todos los dispositivos en una VLAN única con routing abierto. Cuando un atacante entró por un endpoint en recepción sin MFA, dispuso de acceso directo a servidores de datos, sistemas de procesamiento e incluso infraestructura IT. El movimiento lateral hasta alcanzar sistemas críticos fue cuestión de minutos y el impacto fue severo: datos expuestos y servicio interrumpido.
Tras el incidente rediseñaron la red en zonas: endpoints de usuario en VLAN separada, servidores de datos en una DMZ interna muy restringida e infraestructura administrativa aislada con jump hosts. El tráfico entre zonas pasó a ser explícitamente whitelist y monitorizado. Un ataque posterior con vector inicial parecido quedó contenido en la zona de endpoints: el atacante no pudo saltar a los sistemas de datos, y el SOC detectó el intento de scaneo lateral en los primeros minutos.
Errores habituales
- Confundir VLAN con segmentación real. La VLAN es una capa de virtualización, pero el tráfico entre VLANs puede fluir abierto si no hay un firewall con políticas restrictivas que lo medie.
- Permitir exceso de tráfico entre segmentos. Si el desarrollador necesita acceso a base de datos y lo concedes, pero la base de datos también habla con RRHH (porque RRHH usa herramienta de reportes), acabas con acceso indirecto; la matriz debe minimizarse.
- No documentar políticas. Si la segmentación no deja rastro claro de qué puede hablar con qué, se vuelve imposible mantener, diagnosticar incidencias o auditar el diseño frente a un ISO/ENS.
- Olvidar la red este-oeste. Muchas organizaciones segmentan el perímetro pero dejan el tráfico interno entre servidores sin políticas; ahí es donde un atacante moderno se mueve más tranquilo.
- Diseñar sin plan de rollback. Una política demasiado estricta aplicada de golpe puede derribar servicios críticos; conviene iterar por zonas con ventanas controladas y monitorización del tráfico bloqueado.
Términos relacionados
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cómo se implementa segmentación de red en entornos cloud?
La nube pública usa equivalentes nativos: security groups y network ACLs. Funcionan como un firewall: definen reglas de inbound/outbound por puerto, protocolo e IP de origen/destino. El mapeo es similar al on-premise: las subredes de VPC equivalen a VLANs y los security groups a reglas de firewall. La ventaja del cloud es que son API-driven y fáciles de automatizar con IaC.
¿Cuántos segmentos debería tener nuestra red?
Depende del tamaño y la complejidad. Como punto de partida sensato suelen funcionar unas pocas zonas claras (usuarios, servidores de aplicación, datos/crítico, administración), refinando después según las dependencias reales del negocio. Organizaciones grandes acaban con muchas más zonas, pero demasiados segmentos generan complejidad que degrada la seguridad si no se acompaña de tooling y de un inventario vivo.
¿Cómo validamos que segmentación funciona sin romper operaciones?
Con testing en lab primero: crear segmentos en test environment, mapear tráfico actual con packet analyzer, definir políticas, tesear. Luego rollout gradual: un segmento a la vez, monitor tráfico bloqueado, ajustar políticas. Es iterativo, no de golpe.
¿Segmentación previene ransomware?
Reduce daño. Si ransomware entra en endpoint pero está segmentado de servidores de datos, no puede cifrar bases de datos centrales. Daño es limitado a un segmento. Pero ransomware puede expandir si tiene credenciales elevadas. Segmentación + mínimo privilegio + detección = defensa efectiva.