Referencia de puertos
Busca puertos TCP y UDP habituales por número, protocolo, nombre de servicio, nivel de riesgo, tipo de rango y contexto operativo. Usa esta referencia para entender para qué se suele utilizar un puerto, si conviene exponerlo a Internet y qué revisar al depurar reglas de firewall, grupos de seguridad en la nube, mapeos de contenedores, acceso VPN, DNS, correo, bases de datos, administración remota y servicios web.
- Busca por número de puerto, protocolo, nombre de servicio, palabra clave de seguridad o síntoma de diagnóstico.
- Compara los rangos de puertos bien conocidos, registrados y dinámicos/privados con recomendaciones prácticas de exposición.
- Consulta el comportamiento del servicio, los puertos relacionados, el nivel de riesgo y las notas de despliegue para tareas de operación y auditorías de seguridad.
No se encontraron puertos que coincidan.
Bien conocidos
Reserved
Número de puerto reservado; no se usa para escuchar servicios reales. Enlazar al puerto 0 suele pedir al sistema operativo que elija un puerto disponible de forma automática.
Detalles
El puerto TCP 0 es un valor reservado dentro del espacio de números de puerto, no un puerto de escucha normal para servicios públicos. Los servicios de red reales, por lo general, no deberían exponer el 0 como puerto fijo para el acceso de los clientes.
En la programación de sockets, enlazar al puerto 0 tiene un significado especial: la aplicación no intenta escuchar en el puerto 0, sino que pide al sistema operativo que seleccione automáticamente un puerto local disponible. Una vez que el enlace se realiza correctamente, el sistema devuelve el número de puerto asignado realmente.
Este patrón es habitual en pruebas automatizadas, herramientas de desarrollo local, servicios HTTP temporales, procesos de prueba de RPC, entornos de pruebas de extremo a extremo y programas que necesitan puertos dinámicos para evitar conflictos.
Si un escáner de puertos informa de que el puerto TCP 0 está abierto, verifícalo con cuidado. En muchos casos no se trata de un servicio real, sino de un artefacto de visualización del escáner, una respuesta de sondeo inusual, un comportamiento del firewall o el proxy, un problema del firmware del dispositivo o una respuesta de la pila de red de bajo nivel a un sondeo de un puerto especial.
Durante la investigación, confirma los sockets que realmente están a la escucha en el host con herramientas como ss, netstat, lsof, los mapeos de puertos de contenedores, los registros del sistema y las reglas del firewall. Si ningún proceso está realmente escuchando en el puerto 0, no debe tratarse como una superficie de exposición real.
tcpmux
Puerto multiplexor de servicios TCP de los inicios; rara vez se usa como punto de entrada de descubrimiento de servicios en los entornos de producción modernos.
Detalles
El puerto TCP 1 está asignado a tcpmux, el TCP Port Service Multiplexer. Proviene del diseño de los primeros protocolos de Internet y su objetivo era permitir que los clientes consultaran o se conectaran a otros servicios TCP a través de un punto de entrada fijo.
En los entornos de producción modernos, tcpmux rara vez se usa como mecanismo principal de descubrimiento de servicios. Hoy, el descubrimiento de servicios suele gestionarse mediante DNS, balanceadores de carga, registros de servicios, Services de Kubernetes, Consul, ZooKeeper o directorios de servicios de plataformas en la nube.
Si un escaneo detecta el puerto 1 abierto, confirma primero el proceso que está realmente a la escucha y el contenido de su respuesta en lugar de suponer que es un servicio normal. Es más probable que sea un sistema antiguo, un dispositivo de propósito especial, una configuración incorrecta, un honeypot, un servicio heredado o una anomalía de identificación del escáner.
Este puerto no es adecuado como punto de entrada público. Si no existe una dependencia clara, debería cerrarse; si aún existe una dependencia heredada, restringe los orígenes permitidos y documenta por qué debe seguir disponible.
Durante la investigación, revisa los servicios del sistema, los parámetros de arranque de los procesos, los mapeos de puertos de contenedores, las reglas del firewall y la propiedad del activo para asegurarte de que no sea una superficie de bajo valor expuesta por accidente.
FTP Data
Puerto de conexión de datos del modo activo de FTP, que el servidor usa para enviar el contenido de los archivos o los listados de directorios al cliente.
Detalles
El puerto TCP 20 es el puerto de conexión de datos del modo activo de FTP. FTP separa las conexiones de control y de datos: el puerto 21 gestiona el inicio de sesión, los comandos y las respuestas, mientras que el puerto 20 lo usa normalmente el servidor en modo activo para transferir el contenido de los archivos o los listados de directorios.
El puerto 20 no se usa en todas las transferencias FTP. Suele intervenir solo en el modo activo, en el que el servidor se conecta desde su puerto local 20 a un puerto de datos indicado por el cliente. En modo pasivo, la conexión de datos se invierte: el cliente se conecta a un rango de puertos pasivos abierto por el servidor.
El FTP en modo activo suele dar problemas con los firewalls, el NAT, los grupos de seguridad en la nube y las redes de contenedores, porque la conexión de datos la inicia el servidor hacia el cliente. Un síntoma habitual es que el inicio de sesión FTP funciona, pero el listado de directorios o la transferencia de archivos falla.
Al diagnosticar fallos de transferencia FTP, no revises solo los puertos 20 y 21. Confirma si se está usando el modo activo o pasivo, si el rango de puertos pasivos está permitido, si los mapeos NAT son correctos y si el firewall del lado del cliente o del servidor está bloqueando la conexión de datos.
El FTP sin cifrar suele transmitir nombres de usuario, contraseñas y contenido de archivos en texto plano. Para redes públicas, archivos sensibles, distribución automatizada o flujos de producción, SFTP, FTPS, la subida y descarga por HTTPS, las URL prefirmadas de almacenamiento de objetos o los servicios controlados de intercambio interno de archivos suelen ser opciones más seguras.
FTP Control
Puerto de conexión de control de FTP para el inicio de sesión, la autenticación, el intercambio de comandos y el control de las operaciones con archivos.
Detalles
El puerto TCP 21 es el puerto de conexión de control de FTP. Cuando un cliente se conecta al puerto 21, esta conexión se usa para el inicio de sesión del usuario, la autenticación por contraseña, la navegación por directorios, las solicitudes de listado de archivos, los comandos de subida y descarga, el borrado, el cambio de nombre y otras operaciones de control.
Una característica clave de FTP es que la conexión de control y la de datos están separadas. El puerto 21 se encarga de enviar comandos y recibir respuestas; el contenido real de los archivos o los listados de directorios se transfieren a través de una conexión de datos independiente.
En modo activo, la conexión de datos suele estar relacionada con el puerto TCP 20. En modo pasivo, el servidor abre un rango de puertos pasivos y el cliente se conecta a uno de ellos. Por eso, que el puerto 21 sea accesible solo significa que el canal de control funciona; no garantiza que la transferencia de archivos funcione.
Muchos problemas de FTP se manifiestan como que el inicio de sesión funciona, pero el listado de directorios o la transferencia de archivos falla. Esto no suele ser un problema del puerto 21, sino que a menudo se debe a que las conexiones de datos las bloquean los firewalls, el NAT, los grupos de seguridad en la nube, la red de contenedores, los balanceadores de carga o una configuración incorrecta de los puertos pasivos de FTP.
FTP todavía se ve en el intercambio de archivos de sistemas heredados, las transferencias por lotes de proveedores, la exportación de registros de equipos industriales y las copias de seguridad de la configuración de dispositivos de red. Sin embargo, el FTP sin cifrar envía las credenciales y el contenido en texto plano. Para escenarios públicos o sensibles, es preferible usar SFTP, FTPS, servicios de archivos basados en HTTPS o soluciones de almacenamiento de objetos.
SSH / SFTP
Puerto predeterminado de administración remota SSH; también se usa habitualmente para la transferencia de archivos SFTP y para Git sobre SSH.
Detalles
El puerto TCP 22 es el puerto predeterminado de SSH y uno de los puntos de entrada de administración remota más habituales en Linux, Unix, dispositivos de red, hosts en la nube, máquinas de desarrollo y entornos de operaciones.
SSH se usa para el inicio de sesión remoto cifrado, la ejecución de comandos, el reenvío de puertos, el acceso mediante host bastión y la automatización. También suele transportar SFTP y Git sobre SSH: SFTP transfiere archivos sobre el protocolo SSH, mientras que Git sobre SSH usa claves SSH para la autenticación del repositorio y las operaciones de fetch, pull y push.
Exponer el puerto 22 a Internet no siempre es un error, pero es casi seguro que será escaneado, atacado por fuerza bruta y objeto de pulverización de contraseñas. Los entornos de producción deberían desactivar el inicio de sesión por contraseña de root, dar preferencia a las claves, los certificados o la MFA, y combinar restricciones de IP de origen, hosts bastión, VPN, Fail2ban, auditoría de inicios de sesión y cuentas con privilegios mínimos.
Cambiar SSH a otro puerto no resuelve realmente el problema de seguridad. Un puerto personalizado puede reducir parte del ruido de escaneo del puerto predeterminado, pero los controles fundamentales siguen siendo la robustez de la autenticación, las restricciones de origen, la aplicación de parches, los límites de permisos y la capacidad de auditoría.
Al diagnosticar fallos de conexión SSH, comprueba si sshd está en ejecución, si el puerto de escucha se cambió a uno personalizado como el 2222, si los firewalls o los grupos de seguridad en la nube permiten la conexión, si el nombre de usuario es correcto, si los permisos del archivo de clave son válidos, si el inicio de sesión por contraseña está desactivado en el servidor y si la red corporativa bloquea el SSH saliente.
Telnet
Puerto de terminal remota en texto plano, que se ve sobre todo en dispositivos heredados, sistemas embebidos y entornos de laboratorio.
Detalles
El puerto TCP 23 es el puerto predeterminado de Telnet. Telnet es un protocolo de terminal remota de los inicios que permite a un cliente conectarse a un dispositivo remoto, introducir comandos, ver la salida y administrar el sistema mediante una sesión similar a una terminal.
El gran problema de Telnet es la falta de cifrado moderno. Los nombres de usuario, las contraseñas, los comandos y las respuestas se transmiten habitualmente en texto plano, lo que los hace visibles para cualquiera que pueda observar la ruta de red, como una LAN compartida, una puerta de enlace comprometida, un dispositivo proxy o una red wifi no confiable.
Los servidores de producción modernos, por lo general, no deberían usar Telnet. Es más habitual encontrarlo en switches y routers antiguos, servidores de consola serie, cámaras, dispositivos embebidos, equipos de control industrial, laboratorios de formación y entornos temporales de depuración de protocolos.
Si un escaneo muestra el puerto 23 abierto, confirma primero si es una interfaz de administración predeterminada del dispositivo, un servicio heredado o un puerto de depuración activado por accidente. La exposición pública de Telnet es de alto riesgo; la corrección habitual incluye desactivar el servicio, migrar a SSH, restringir el acceso a una red de administración o VPN, y revisar si hay cuentas predeterminadas, contraseñas débiles y firmware desactualizado.
SMTP
Puerto tradicional de entrega de correo entre servidores SMTP, usado principalmente para la transferencia de mensajes basada en MX.
Detalles
El puerto TCP 25 es el puerto tradicional de transferencia de correo SMTP, usado principalmente para la entrega de servidor de correo a servidor de correo. Por ejemplo, un servidor de correo emisor consulta los registros MX del dominio del destinatario y, a continuación, intenta entregar el mensaje al servidor de correo de destino por el puerto 25.
El puerto 25 no es el puerto de envío preferido para los clientes de correo normales. Cuando los usuarios, los sitios web o los sistemas de negocio envían correo saliente mediante una cuenta autenticada, suele preferirse el puerto 587 con autenticación y STARTTLS; el puerto 465 se usa habitualmente para el envío de correo con TLS implícito.
Muchos proveedores en la nube, empresas de hosting y proveedores de Internet restringen el puerto 25 saliente de forma predeterminada, porque se abusa de él con frecuencia para enviar spam. Si un servidor de correo autoalojado no puede enviar correo saliente, revisa no solo el propio servicio SMTP, sino también las restricciones de puerto del proveedor, si hace falta solicitar el desbloqueo y si la IP del servidor tiene mala reputación antispam.
La entrega fiable de correo depende de mucho más que de la accesibilidad del puerto. Un servidor de correo autoalojado también necesita registros MX correctos, DNS inverso PTR, SPF, DKIM, DMARC, TLS, una configuración de nombre de host adecuada, un comportamiento de reintento de la cola y una gestión de los rebotes. Sin todo esto, el correo puede rechazarse, retrasarse o acabar en spam aunque el puerto 25 esté abierto.
DNS
Puerto de consultas DNS por TCP, usado habitualmente para respuestas grandes, DNSSEC, transferencias de zona y reintentos tras el truncamiento por UDP.
Detalles
El puerto TCP 53 es uno de los puertos DNS estándar, pero su función no es idéntica a la del UDP 53. Las consultas DNS habituales suelen preferir el UDP 53; cuando las respuestas son demasiado grandes, las respuestas UDP se truncan, se usa DNSSEC o se necesita un transporte más fiable, los resolutores pueden recurrir al TCP 53.
El TCP 53 también se usa habitualmente para las transferencias de zona entre servidores DNS autoritativos, como AXFR e IXFR. Las transferencias de zona son útiles para la sincronización entre DNS primario y secundario, pero si las restricciones de origen no se configuran correctamente, pueden exponer una zona DNS completa a terceros no autorizados.
El diagnóstico de DNS no debería revisar solo el UDP 53. Los registros TXT grandes, los registros relacionados con el correo, las respuestas DNSSEC, los conjuntos de registros grandes y los entornos DNS empresariales complejos pueden fallar de forma intermitente si un firewall o un dispositivo de seguridad bloquea el TCP 53.
En los servidores DNS autoritativos, es posible que el TCP 53 deba ser accesible desde Internet para las consultas válidas, pero las transferencias de zona deberían limitarse a los servidores secundarios de confianza. En los resolutores recursivos, el TCP 53 no debería estar abierto a todos los orígenes públicos, porque de un resolutor abierto se puede abusar para consultas no deseadas, exposición de la privacidad o vías de ataque de amplificación de DNS.
DNS
El puerto de consultas DNS más habitual, usado para resolver nombres de dominio en direcciones IP y otros registros de recursos.
Detalles
El puerto UDP 53 es el puerto de consultas DNS más habitual. Los navegadores, los sistemas operativos, los resolutores recursivos y la mayoría de las aplicaciones lo usan normalmente para consultar registros como A, AAAA, CNAME, MX y TXT.
Las consultas DNS por UDP son ligeras y rápidas, lo que las hace adecuadas para la mayoría de las respuestas cortas. Cuando una respuesta es demasiado grande, una respuesta UDP se trunca, se habilita DNSSEC o se necesita una entrega más fiable, el cliente o el resolutor puede cambiar al TCP 53.
Los servicios DNS deben entenderse como autoritativos o recursivos. Los servidores DNS autoritativos pueden responder consultas públicas de las zonas de las que son responsables. Los resolutores recursivos, en cambio, no deberían estar abiertos a todos los orígenes públicos, porque de los resolutores abiertos se puede abusar para ataques de amplificación, reenvío de consultas no deseadas o sondeo del comportamiento del DNS.
Al diagnosticar problemas de DNS, no compruebes solo si el puerto 53 está abierto. Confirma que tanto UDP como TCP son utilizables, identifica qué resolutor está usando realmente el cliente, revisa el estado de la caché, ten en cuenta si DNSSEC está aumentando el tamaño de las respuestas y verifica si los firewalls o los dispositivos de seguridad bloquean parte del tráfico DNS.
DHCP Server
Puerto de servidor DHCP usado en las redes locales para asignar direcciones IP y la configuración de red a los clientes.
Detalles
El puerto UDP 67 lo usan los servidores DHCP. Cuando un cliente se une por primera vez a una red y aún no tiene una dirección IP utilizable, solicita la configuración de red mediante DHCP; el servidor recibe la solicitud en el puerto 67 y devuelve datos como una dirección IP, la máscara de subred, la puerta de enlace predeterminada, los servidores DNS y la duración de la concesión.
DHCP actúa durante la fase temprana de inicialización de la red. El flujo habitual incluye Discover, Offer, Request y Ack. Los clientes suelen usar el UDP 68, mientras que los servidores usan el UDP 67. Como es posible que el cliente aún no tenga la configuración de red completa, este proceso suele depender del tráfico de difusión (broadcast) o del reenvío mediante retransmisión DHCP (DHCP relay).
El puerto 67 normalmente solo debería aparecer en routers, switches de capa 3, puertas de enlace, servidores DHCP empresariales, entornos de arranque PXE, redes de nube privada o redes de oficina controladas. No es un puerto de servicio público y no debería exponerse directamente a Internet.
Si en una red aparece un servidor DHCP no autorizado (rogue DHCP), los clientes pueden recibir una puerta de enlace incorrecta, un servidor DNS incorrecto, una subred equivocada o incluso ser dirigidos por una ruta controlada por un atacante. Al investigar fallos de asignación de IP, puertas de enlace inesperadas, anomalías de DNS o muchos clientes que pierden de golpe la conectividad, comprueba si hay varios servidores DHCP respondiendo al mismo tiempo.
DHCP Client
Puerto de cliente DHCP que los dispositivos usan para recibir la dirección IP, la puerta de enlace, el DNS y la configuración de la concesión.
Detalles
El puerto UDP 68 lo usan los clientes DHCP. Cuando un dispositivo se une por primera vez a una red, a menudo aún no tiene una dirección IP utilizable y no puede acceder a una puerta de enlace ni a un servidor DNS como haría una aplicación normal. El cliente usa DHCP para solicitar la configuración de red y recibe la información de la concesión desde el servidor DHCP en el puerto 68.
Los puertos de cliente y de servidor DHCP funcionan en pareja: los servidores usan el UDP 67 y los clientes el UDP 68. Un intercambio típico empieza con el cliente difundiendo Discover, el servidor respondiendo con Offer, el cliente enviando Request y el servidor devolviendo Ack. Este proceso proporciona al cliente su dirección IP, la máscara de subred, la puerta de enlace predeterminada, los servidores DNS y la duración de la concesión.
El puerto 68 no es un puerto de servicio de aplicación público. Es un puerto básico de inicialización de red que se usa cuando un host se une a una red. Es habitual verlo en portátiles, teléfonos, máquinas virtuales, hosts de contenedores, entornos de arranque PXE, redes de oficina, la inicialización de instancias en la nube y dispositivos que obtienen direcciones de forma automática.
Si un cliente no puede obtener una dirección IP, o recibe una puerta de enlace incorrecta, un servidor DNS incorrecto o una subred inesperada, el problema no suele ser si una aplicación está escuchando en el puerto 68. Las causas más probables incluyen que las difusiones DHCP no lleguen al servidor, una configuración incorrecta de la retransmisión DHCP, una discrepancia de VLAN, un servidor DHCP no autorizado en la red o una política de seguridad que bloquea el UDP 67/68.
TFTP
Puerto de transferencia de archivos TFTP, usado habitualmente para el arranque PXE, la copia de seguridad de la configuración de dispositivos de red y la distribución de firmware.
Detalles
El puerto UDP 69 es el puerto predeterminado de TFTP (Trivial File Transfer Protocol). TFTP es un protocolo de transferencia de archivos muy ligero que se usa habitualmente para el arranque de red PXE, la copia de seguridad de la configuración de switches y routers, la distribución de firmware de dispositivos embebidos, el arranque sin disco, el aprovisionamiento automatizado y los flujos de despliegue interno controlados.
TFTP es distinto de FTP y SFTP. No ofrece operaciones complejas con directorios, inicio de sesión de usuario ni modelos de permisos detallados, y el propio protocolo no incluye cifrado. Un cliente normalmente solo solicita leer o escribir un archivo concreto, mientras que el servidor decide si devuelve o acepta ese archivo según su directorio raíz, los permisos de los archivos y las reglas de acceso.
TFTP resulta útil durante el arranque de dispositivos por su sencillez. Por ejemplo, después de que un cliente obtiene una dirección IP mediante DHCP, puede usar TFTP para descargar un gestor de arranque, un kernel, un archivo de configuración o una imagen de instalación. Por eso el UDP 69 suele aparecer junto con el UDP 67 y el UDP 68 en los entornos de PXE y aprovisionamiento de dispositivos.
En los entornos de producción, TFTP debería limitarse a redes internas, de despliegue o de administración controladas. No debería exponerse directamente a Internet, y no deberían colocarse configuraciones sensibles, archivos de cuentas, claves, copias de seguridad o directorios con permiso de escritura bajo un servicio TFTP ampliamente accesible; de lo contrario, puede provocar fugas de configuración, manipulación del firmware o descargas de archivos no autorizadas.
HTTP
Puerto HTTP predeterminado, usado habitualmente como punto de entrada web, para redirecciones a HTTPS, comprobaciones de estado y validación de certificados.
Detalles
El puerto TCP 80 es el puerto predeterminado de HTTP. Cuando un usuario visita http://example.com sin especificar un puerto, el navegador se conecta al puerto 80 de forma predeterminada.
En los entornos de producción modernos, el puerto 80 no suele usarse para transportar datos sensibles como inicios de sesión, pagos, cookies, tokens o información personal durante mucho tiempo. Un patrón habitual es aceptar las solicitudes HTTP sin cifrar en el puerto 80 y redirigirlas a HTTPS en el puerto 443 mediante una redirección 301 o 308.
El puerto 80 sigue siendo muy usado porque a menudo cumple funciones de compatibilidad y de punto de entrada, como las redirecciones de HTTP a HTTPS, las comprobaciones de estado del balanceador de carga, el tráfico de origen del proxy inverso, la validación de certificados ACME HTTP-01, los servicios web temporales y las páginas de estado internas.
Exponer el puerto 80 a Internet no es necesariamente de alto riesgo por sí solo, pero conviene verificar el servicio real que hay detrás. Entre las comprobaciones importantes están si expone paneles de administración, páginas de depuración, listados de directorios, formularios de inicio de sesión sin cifrar, API internas, hosts virtuales predeterminados o páginas de error del framework.
Al diagnosticar problemas de acceso al puerto 80, comprueba si el servicio web está a la escucha, si las reglas de Nginx, Apache, Caddy o Ingress están activas, si los firewalls o los grupos de seguridad en la nube permiten el tráfico, si el balanceador de carga reenvía al backend correcto y si el sitio solo configuró el puerto 443 sin mantener un punto de entrada HTTP.
Kerberos
Puerto de autenticación Kerberos por TCP, usado habitualmente para tickets grandes, autenticación entre redes, tráfico de controladores de dominio y entornos de Active Directory.
Detalles
El puerto TCP 88 es uno de los puertos estándar de autenticación de Kerberos. Es habitual verlo en Active Directory, el inicio de sesión único empresarial, el inicio de sesión de dominio y los flujos de tickets de servicio.
Kerberos puede usar UDP o TCP. Los clientes pueden usar UDP en los casos normales, pero el tráfico de autenticación puede recurrir al TCP 88 cuando los tickets son grandes, las respuestas UDP se truncan, la política de red exige un transporte fiable o la autenticación entre redes es inestable.
En un entorno de dominio de Windows, Kerberos no funciona de forma aislada. Un flujo completo de inicio de sesión de dominio o de acceso a servicios suele depender también de DNS, NTP, LDAP, SMB, el catálogo global y otros componentes, por lo que permitir solo el TCP 88 no suele ser suficiente para que la autenticación de dominio funcione correctamente.
Este puerto forma parte de la infraestructura de identidad y no debería exponerse directamente a Internet. La exposición pública puede facilitar la enumeración de cuentas, el descubrimiento del dominio, la pulverización de contraseñas, el sondeo del servicio de autenticación y el reconocimiento útil para un movimiento lateral posterior.
Al diagnosticar Kerberos sobre TCP, comprueba si el controlador de dominio es accesible, si el DNS resuelve los controladores de dominio correctos, si los relojes del cliente y del controlador de dominio están sincronizados, si los SPN son correctos, si los tickets son demasiado grandes, si se está bloqueando el UDP y si el firewall permite los puertos relacionados de Active Directory.
Kerberos
Puerto de autenticación Kerberos por UDP, usado habitualmente para el inicio de sesión de dominio, la obtención de TGT, las solicitudes de tickets de servicio y la autenticación de Active Directory.
Detalles
El puerto UDP 88 es uno de los puertos estándar de autenticación de Kerberos. Es habitual usarlo en Active Directory de Windows, el inicio de sesión único empresarial, el inicio de sesión de dominio y los flujos de obtención de tickets de servicio.
La idea central de Kerberos es que la contraseña del usuario no se envía directamente a cada servicio. En su lugar, el KDC emite tickets: el cliente primero obtiene un TGT y luego usa tickets de servicio para acceder a recursos compartidos de archivos, bases de datos, servicios HTTP u otros sistemas compatibles con Kerberos.
Kerberos es muy sensible al tiempo. Si los relojes del cliente, del controlador de dominio y del servidor de aplicaciones se desvían demasiado entre sí, la autenticación puede fallar, lo que convierte a NTP o a la sincronización horaria del dominio en una dependencia crítica en los entornos Kerberos.
El UDP 88 es adecuado para intercambios de autenticación pequeños, pero los clientes pueden cambiar al TCP 88 cuando los tickets son grandes, las pertenencias a grupos son numerosas, las respuestas se truncan o los dispositivos de red gestionan mal el UDP. Ante fallos de autenticación, conviene revisar tanto TCP como UDP.
El UDP 88 no debería exponerse libremente a Internet. Es un punto de entrada de la infraestructura de identidad, y una exposición incorrecta puede aumentar la superficie de ataque para la enumeración de cuentas, el descubrimiento del dominio, la pulverización de contraseñas y el escaneo del servicio de autenticación.
POP3
Puerto tradicional de recepción de correo POP3, usado por los clientes para descargar, leer y archivar los mensajes del buzón.
Detalles
El puerto TCP 110 es el puerto tradicional de recepción de correo POP3. Tras conectarse a este puerto, un cliente de correo puede leer y descargar los mensajes de un servidor de buzones.
POP3 está pensado más para descargar el correo al dispositivo local. Los clientes pueden conservar una copia en el servidor tras la descarga o eliminar los mensajes del servidor, lo que lo hace habitual en configuraciones de correo de un solo dispositivo, la lectura sin conexión, el archivado sencillo y los clientes de correo antiguos.
Si los usuarios necesitan que el estado de lectura, las carpetas, los borradores, los mensajes movidos y las eliminaciones se mantengan sincronizados entre teléfonos, ordenadores y webmail, IMAP suele encajar mejor que POP3. El IMAP tradicional usa el puerto 143, mientras que el IMAP cifrado suele usar el puerto 993.
El puerto 110 suele indicar POP3 sin cifrar. Los nombres de usuario, las contraseñas y el contenido de los mensajes pueden viajar en texto plano por la red; los sistemas de producción que aún ofrecen POP3 deberían preferir POP3S en el puerto 995 o mejorar la sesión del puerto 110 con STARTTLS.
Al diagnosticar fallos de recepción de correo, distingue primero la recepción del envío. POP3 se encarga de recibir correo, mientras que los puertos SMTP 25, 465 y 587 se encargan de enviarlo; si el envío funciona pero la recepción falla, revisa el servicio POP3/POP3S, los permisos de la cuenta, la configuración de TLS, las reglas del firewall y los registros del servidor de correo.
rpcbind / portmapper
Servicio de mapeo de puertos RPC de Unix, usado para averiguar los puertos reales que registran NFS, mountd y otros servicios RPC.
Detalles
El puerto TCP 111 lo usa habitualmente rpcbind, también conocido como portmapper. No es en sí un servicio de transferencia de archivos; funciona como un directorio de servicios RPC en el que los clientes preguntan qué puerto usa actualmente un programa RPC concreto antes de conectarse al servicio real.
Los servicios de red tradicionales de Unix/Linux, como NFS, mountd, lockd y statd, suelen depender de rpcbind para registrar y descubrir puertos. Sobre todo en los entornos NFSv3, el puerto 111, el puerto 2049 y varios puertos dinámicos suelen tener que revisarse en conjunto.
Este puerto es habitual en el uso compartido de archivos de Linux/Unix, los dispositivos NAS, los sistemas de copia de seguridad, las plataformas de virtualización, los clústeres heredados y los montajes de almacenamiento internos. Normalmente es un puerto de infraestructura interna, no un punto de entrada de negocio público.
Si el TCP 111 se expone a Internet, los escáneres externos pueden enumerar los servicios RPC registrados en el host e inferir si hay presentes NFS, mountd u otros servicios internos. Aunque los puertos de datos reales no estén expuestos, rpcbind puede seguir filtrando información útil de los servicios.
Al diagnosticar fallos de acceso a NFS o RPC, comprueba si rpcbind está en ejecución, si el servicio se ha registrado correctamente, si el puerto 2049 es accesible, si un firewall bloquea los puertos de mountd/lockd/statd y si las reglas de exportación del servidor permiten al cliente actual.
rpcbind / portmapper
Punto de entrada UDP para el mapeo de puertos RPC de Unix, usado habitualmente para descubrir servicios RPC heredados como NFSv3, mountd, lockd y statd.
Detalles
El puerto UDP 111 lo usa rpcbind o portmapper para ayudar a los clientes a descubrir en qué puerto está registrado actualmente un servicio RPC concreto. Actúa más como un directorio de servicios del ecosistema RPC que como un transporte directo de archivos o datos de aplicación.
En los entornos heredados de NFS y ONC RPC, un cliente puede consultar primero el UDP 111 para obtener el número de programa, la versión y el puerto, y luego conectarse al servicio de datos real. En comparación con NFSv4, que se centra más en el puerto 2049, NFSv3 suele implicar servicios adicionales como mountd, lockd y statd.
El UDP 111 normalmente solo debería aparecer en redes internas de confianza, redes de almacenamiento, redes de copia de seguridad o redes de administración. No es adecuado para la exposición pública y no debería ser accesible desde las rutas de tráfico habituales de los usuarios.
Si el UDP 111 se expone a Internet, los atacantes pueden usarlo para enumerar servicios RPC, identificar componentes de NFS o de almacenamiento, inferir la función del host y mapear la estructura de servicios internos. Como se basa en UDP, también puede atraer escaneos no deseados, reflexión o tráfico de sondeo anómalo.
Al diagnosticar fallos de montaje de NFS heredado, no revises solo el puerto 2049. Confirma si rpcbind responde, si la versión de NFS es la v3, si los puertos dinámicos como el de mountd están fijados y permitidos, si el origen del cliente está autorizado por las reglas de exportación y si el firewall permite el tráfico TCP y UDP relacionado.
NTP
Puerto de sincronización horaria NTP, usado para mantener servidores, dispositivos de red y equipos alineados con una hora del sistema fiable.
Detalles
El puerto UDP 123 es el puerto predeterminado de NTP (Network Time Protocol). Lo usan servidores, dispositivos de red, máquinas virtuales, hosts de contenedores y equipos para sincronizar sus relojes con fuentes de tiempo de confianza.
Una hora precisa es la base de muchos comportamientos del sistema. La validación de certificados TLS, las cronologías de los registros, la replicación de bases de datos, los bloqueos distribuidos, las tareas programadas, los registros de auditoría, las alertas de monitorización y la investigación de incidentes dependen todos de una hora del sistema estable.
En los entornos empresariales, las máquinas internas suelen sincronizarse con fuentes de tiempo internas controladas, controladores de dominio, servicios horarios del proveedor de nube o servidores NTP dedicados, en lugar de que cada host acuda directamente a servidores de tiempo públicos.
El UDP 123 puede exponerse a clientes de confianza, pero no conviene desplegar a la ligera un servicio NTP público sin protección. Los servidores NTP mal configurados se han utilizado históricamente para ataques de amplificación por reflexión, por lo que los servicios de tiempo públicos deberían restringir el acceso, desactivar las consultas heredadas peligrosas y vigilar el tráfico anómalo.
Al diagnosticar problemas de sincronización horaria, no compruebes solo si el puerto 123 está abierto. Confirma si el host usa chrony, ntpd, systemd-timesyncd, Windows Time o un servicio horario del proveedor de nube, y revisa también la fuente de origen, el desfase del reloj, la accesibilidad de la red y la política del firewall.
MS RPC Endpoint Mapper
Puerto de asignación de endpoints RPC de Windows, usado para descubrir los puertos dinámicos reales de DCOM, WMI y servicios de administración remota.
Detalles
El puerto TCP 135 es el puerto predeterminado de Microsoft RPC Endpoint Mapper. Funciona como un directorio de servicios dentro del ecosistema RPC de Windows: el cliente se conecta primero al 135 para preguntar dónde está disponible una interfaz RPC concreta y después se conecta al puerto dinámico real del servicio.
Muchas funciones de administración de Windows pueden depender de él de forma indirecta, como DCOM, WMI, gestión remota de servicios, acceso al registro de eventos, algunas herramientas de administración de dominio, software de copia de seguridad y plataformas de operación empresarial. El puerto 135 no suele ser el servicio final, sino el punto de descubrimiento para el acceso RPC posterior.
Este puerto es habitual en dominios Windows, redes internas empresariales, redes de administración de servidores e integraciones heredadas de aplicaciones Windows. Normalmente solo debería estar abierto dentro de redes internas de confianza o perímetros de administración, no expuesto directamente a Internet.
La exposición pública del puerto 135 es de alto riesgo. Los escáneres externos pueden usarlo para identificar capacidades RPC de Windows, roles del sistema y servicios RPC dinámicos posteriores, ampliando la superficie de administración remota y aportando pistas para movimiento lateral.
Si WMI, DCOM o la administración remota deben funcionar entre segmentos de red, el acceso debería pasar por VPN, hosts bastión, enlaces privados, redes de administración o listas estrictas de permitidos en el firewall. Conviene revisar en conjunto puertos relacionados como 139, 445, 3389 y el rango dinámico de RPC de Windows.
NetBIOS Name Service
Puerto del servicio de nombres NetBIOS, usado en LAN Windows heredadas para descubrir nombres de host, grupos de trabajo y recursos.
Detalles
El puerto UDP 137 lo usa NetBIOS Name Service. Aparece sobre todo en redes locales Windows heredadas para resolver nombres de host NetBIOS a direcciones IP.
En entornos antiguos sin DNS moderno, Active Directory o resolución de nombres centralizada, el servicio de nombres NetBIOS se usaba para descubrir grupos de trabajo, nombres de host, servidores de archivos compartidos y recursos de la LAN. Suele aparecer junto con UDP 138, TCP 139 y SMB en TCP 445.
UDP 137 puede filtrar nombres de host, nombres de grupos de trabajo, pistas del entorno de dominio, rastros de usuarios conectados y convenciones internas de nombres. Aunque no sirve directamente contenido de archivos, esa información ayuda a inferir tipos de activos Windows y estructura de red.
Este puerto debería existir normalmente solo en redes internas controladas, redes de oficina que deban admitir sistemas heredados, NAS antiguos, impresoras o equipos legados. En redes Windows modernas que ya dependen de DNS, Active Directory y SMB sobre TCP 445, NetBIOS sobre TCP/IP a menudo puede desactivarse o restringirse con fuerza.
Si un escaneo público informa UDP 137 abierto, comprueba primero si un host Windows, NAS, impresora, router o dispositivo heredado expuso el servicio local de nombres a Internet, y después restringe los puertos 137, 138 y 139 a redes internas de confianza en el firewall.
NetBIOS Datagram
Puerto del servicio de datagramas NetBIOS, usado en LAN Windows heredadas para mensajes de difusión, listas de exploración y anuncios de recursos.
Detalles
El puerto UDP 138 lo usa NetBIOS Datagram Service. Pertenece al modelo heredado de comunicación LAN de Windows y se emplea principalmente para mensajes de datagrama sin conexión, exploración de grupos de trabajo, descubrimiento de recursos y notificaciones locales por difusión.
Este puerto no suele aparecer aislado. Normalmente va junto con UDP 137 para el servicio de nombres NetBIOS, TCP 139 para el servicio de sesión NetBIOS y TCP 445 para SMB moderno en entornos heredados de archivos compartidos de Windows.
UDP 138 es útil sobre todo dentro de redes locales controladas. No es un punto de entrada público de una aplicación y no debería exponerse a Internet. La exposición pública puede filtrar nombres de host, grupos de trabajo, listas de exploración, pistas de recursos compartidos y estructura de red Windows.
El uso moderno de archivos compartidos en Windows suele apoyarse más en SMB sobre TCP 445 que en NetBIOS sobre TCP/IP. Si el entorno ya no necesita compatibilidad con sistemas heredados, NAS antiguos, impresoras o equipos industriales, NetBIOS sobre TCP/IP puede desactivarse a menudo.
Si un escaneo informa que UDP 138 está expuesto a Internet, comprueba si un host Windows, NAS, impresora, router o dispositivo heredado expuso accidentalmente servicios NetBIOS, y restringe los puertos 137, 138 y 139 a redes internas de confianza en el firewall.
NetBIOS Session
Puerto del servicio de sesión NetBIOS, usado habitualmente para archivos e impresoras compartidos heredados de Windows y SMB sobre NetBIOS.
Detalles
El puerto TCP 139 lo usa NetBIOS Session Service. Proporciona el canal de sesión para comunicaciones Windows heredadas y se asocia sobre todo con archivos compartidos SMB sobre NetBIOS.
En las LAN Windows antiguas, UDP 137 resolvía nombres, UDP 138 manejaba datagramas y anuncios de exploración, y TCP 139 establecía sesiones para la comunicación de archivos compartidos. En ese modelo, el puerto 139 suele ser donde comienza la sesión interactiva real del uso compartido heredado.
El uso moderno de archivos compartidos en Windows suele emplear SMB directamente sobre TCP 445 y ya no necesita depender de NetBIOS sobre TCP/IP. Aun así, el puerto 139 puede aparecer en entornos que deben admitir sistemas antiguos, NAS viejos, impresoras, equipos industriales, hosts Windows heredados o redes de oficina mixtas.
La exposición pública de TCP 139 es de alto riesgo. Puede exponer servicios de archivos compartidos, información del host, superficies de autenticación heredadas, enumeración de recursos compartidos y problemas de compatibilidad de protocolo. Los escáneres de seguridad suelen tratar 139 y 445 juntos como superficie central de ataque de archivos compartidos en Windows.
Si no hay un requisito claro de compatibilidad heredada, desactiva NetBIOS sobre TCP/IP o al menos restringe los puertos 137, 138 y 139 a redes internas de confianza. Si aún se necesita compartir archivos, revisa acceso anónimo, cuentas invitadas, permisos de recursos compartidos, permisos NTFS, versiones de SMB y estado de parches.
IMAP
Puerto de acceso a correo IMAP, usado por clientes para sincronizar, buscar, mover y administrar mensajes en el servidor.
Detalles
El puerto TCP 143 es el puerto tradicional de IMAP, Internet Message Access Protocol. Cuando un cliente de correo se conecta a un servicio IMAP, puede ver, buscar, mover, eliminar y organizar mensajes directamente en el servidor de correo.
IMAP tiene un modelo de uso distinto de POP3. POP3 se centra más en descargar correo al dispositivo local, mientras que IMAP está diseñado para administrar el buzón en el servidor, por lo que encaja mejor con teléfonos, escritorios y webmail usados al mismo tiempo.
Con IMAP, el estado de lectura, carpetas, borradores, correo enviado, eliminaciones y movimientos de mensajes suelen mantenerse sincronizados entre dispositivos. Por eso los sistemas de correo empresariales y los clientes modernos suelen preferir IMAP antes que depender solo de POP3.
TCP 143 suele representar el punto de entrada IMAP tradicional. Puede usarse en texto claro o actualizarse a una conexión cifrada con STARTTLS. Los entornos de producción no deberían transmitir usuarios, contraseñas ni contenido de correo en texto claro para uso permanente; cuando está disponible, normalmente se prefiere IMAPS en TCP 993.
Al diagnosticar problemas IMAP, distingue primero entre recepción y envío de correo. IMAP se usa para leer y administrar buzones, mientras que los puertos SMTP como 25, 465 y 587 se usan para enviar correo. Si la recepción funciona pero el envío falla, o al revés, revisa por separado servicios IMAP y SMTP, permisos de cuenta, configuración TLS, reglas de firewall y registros del servidor de correo.
SNMP
Puerto de consulta de monitorización SNMP, usado para leer el estado operativo de dispositivos de red, servidores y componentes de infraestructura.
Detalles
El puerto UDP 161 es el puerto estándar de consulta para SNMP, Simple Network Management Protocol. Los sistemas de monitorización lo usan habitualmente para leer información de estado de switches, routers, firewalls, servidores, unidades UPS, impresoras, almacenamiento y equipos de centro de datos.
SNMP puede exponer mucha información: tráfico de interfaces, estado de puertos, CPU, memoria, uso de disco, temperatura, fuentes de alimentación, ventiladores, contadores de errores, modelos de dispositivos, nombres de sistema y tiempo en línea. Es valioso para operaciones, pero también puede convertirse en superficie de enumeración de activos y reconocimiento.
SNMP v1 y v2c suelen depender de una cadena de comunidad como credencial de acceso. Valores predeterminados como public o private son especialmente peligrosos. Si la cadena es débil, tiene demasiados privilegios o es accesible desde Internet, terceros pueden leer amplia información interna del dispositivo y, en algunas configuraciones, incluso modificar su estado.
Los entornos de producción deberían preferir SNMPv3 con autenticación y cifrado activados. Si deben usarse v1 o v2c, emplea una cadena de comunidad fuerte, permisos de solo lectura, listas de IP permitidas y restringe el acceso a la red de monitorización, la red de administración o una red interna de confianza.
Si un escaneo informa UDP 161 expuesto a Internet, comprueba primero dispositivos de red, impresoras, UPS, NAS o agentes de monitorización de servidores expuestos por accidente; después revisa la cadena de comunidad, ACL, versión de firmware del dispositivo y reglas de firewall.
Al diagnosticar métricas SNMP ausentes, no compruebes solo si el puerto 161 es alcanzable. Verifica también que SNMP esté activado en el dispositivo, que la versión coincida, que la cadena de comunidad o el usuario SNMPv3 sean correctos, que los OID y MIB necesarios estén soportados y que la ACL permita al servidor de monitorización.
SNMP Trap
Puerto receptor de SNMP Trap, usado por dispositivos para informar proactivamente de fallos, cambios de estado y eventos de seguridad.
Detalles
El puerto UDP 162 se usa para mensajes SNMP Trap. A diferencia de UDP 161, donde el sistema de monitorización consulta activamente a los dispositivos, los Trap son enviados proactivamente por los dispositivos para informar alertas, cambios de estado o eventos anómalos a una plataforma de monitorización.
SNMP Trap se usa habitualmente en dispositivos de red, servidores, UPS, sistemas de almacenamiento, firewalls y equipos de centro de datos para reportar eventos como cambios de interfaz arriba o abajo, fallos de energía, alta temperatura, inestabilidad de enlace, fallos de disco, errores de autenticación o reinicios.
El puerto 162 suele escuchar en una plataforma de monitorización, receptor de Trap, sistema NMS o pasarela de alertas, no en un servicio de negocio normal. Solo debería aceptar Trap de dispositivos de confianza o rangos controlados para evitar que fuentes ajenas falsifiquen alertas o inunden el sistema de eventos.
La entrega de Trap suele usar UDP, por lo que el emisor puede no saber si el receptor procesó realmente el mensaje. Al diagnosticar alertas ausentes, no compruebes solo si el dispositivo envió el Trap; verifica también la ruta de red, reglas de firewall, estado del listener receptor y reglas de análisis.
Si UDP 162 está expuesto a Internet, fuentes externas pueden enviar Trap falsificados, interferir con el análisis de alertas, generar ruido o revelar el punto de entrada de monitorización. En producción conviene restringir IP de origen y configurar comunidad, usuario SNMPv3, nivel de seguridad y auditoría según la versión SNMP usada.
Al diagnosticar mensajes Trap ausentes, verifica la dirección de destino configurada en el dispositivo, versión SNMP, cadena de comunidad o usuario SNMPv3, nivel de seguridad, enrutamiento, reglas de firewall, ruta NAT y plantillas de análisis de Trap en la plataforma de monitorización.
SNMP Unix Multiplexer
Puerto de SNMP Unix Multiplexer, usado en algunos entornos Unix y dispositivos de red para proxy, multiplexación o rutas de monitorización SNMP.
Detalles
El puerto TCP 199 suele conocerse como SNMP Unix Multiplexer. Históricamente se ha usado en sistemas Unix o en algunos dispositivos de red para multiplexar, reenviar o actuar como proxy de comunicación relacionada con SNMP.
No es tan común como UDP 161 para consultas SNMP y no equivale a UDP 162 para entrega de Trap. Cuando TCP 199 está abierto, trátalo como parte de una implementación concreta, una capa de proxy del dispositivo o una arquitectura de monitorización antigua.
Este puerto puede aparecer en dispositivos de red, sistemas Unix antiguos, agentes de monitorización de proveedor o rutas especializadas de proxy SNMP. Normalmente no es un punto de entrada de aplicación general y no debería tratarse como un puerto de servicio público.
Los puertos relacionados con monitorización pueden exponer modelos de dispositivos, detalles de interfaces, nombres de sistema, tiempo en línea, estructura de red y estado de infraestructura. Aunque TCP 199 no transporte datos de negocio directamente, una exposición accidental puede ayudar a identificar activos e inferir topología interna.
Si un escaneo informa TCP 199 abierto, confirma el proceso real que escucha, el modelo del dispositivo, la documentación del proveedor, si el entorno depende de una ruta de proxy SNMP y si el acceso está limitado al sistema de monitorización o a la red de administración.
En producción, TCP 199 debe gobernarse junto con UDP 161 y UDP 162: restringir orígenes, evitar credenciales predeterminadas, minimizar la información legible, activar registros y desactivar el servicio relacionado cuando ya no sea necesario.
LDAP
Puerto de servicio de directorio LDAP, usado para consultar cuentas empresariales, grupos, estructura organizativa e información de identidad.
Detalles
El puerto TCP 389 es el puerto predeterminado de LDAP, Lightweight Directory Access Protocol. LDAP se usa habitualmente para acceder a servicios de directorio y consultar cuentas de usuario, grupos, unidades organizativas, direcciones de correo, objetos de dispositivos, atributos de permisos y datos de identidad que necesitan las aplicaciones.
LDAP suele formar parte de sistemas de identidad empresariales como Microsoft Active Directory, OpenLDAP, FreeIPA, 389 Directory Server, plataformas centralizadas de autenticación y sistemas internos de cuentas de aplicaciones. Las aplicaciones pueden usar LDAP para buscar usuarios, verificar cuentas, sincronizar estructura organizativa o tomar decisiones de acceso según pertenencia a grupos.
El puerto 389 suele ser LDAP sin cifrado por defecto, aunque muchos entornos usan StartTLS en este puerto para actualizar una conexión existente a TLS. Otra opción cifrada habitual es LDAPS en el puerto 636, donde TLS se usa desde el inicio de la conexión.
LDAP no es un puerto normal de aplicación pública. Expone información de directorio de identidad y organización, y una exposición incorrecta puede permitir enumeración de cuentas, filtración de estructura organizativa, divulgación de pertenencia a grupos y preparación para password spraying, phishing o movimiento lateral.
En producción, el puerto 389 debería limitarse a redes internas, VPN, segmentos de servicios de identidad o servidores de aplicaciones de confianza. El bind anónimo debería desactivarse, las cuentas de bind deberían seguir mínimo privilegio, y conviene activar StartTLS, restricciones de origen, registros de auditoría y monitorización de inicios fallidos cuando corresponda.
Cuando falla la autenticación LDAP, las causas comunes incluyen un bind DN incorrecto, base DN de búsqueda errónea, filtro que no coincide, permisos insuficientes de la cuenta, bind anónimo desactivado, configuración incorrecta de StartTLS o certificados, o una aplicación conectándose al controlador de dominio o servidor de directorio equivocado.
HTTPS
Puerto web cifrado predeterminado para HTTPS, el punto de entrada seguro más común para sitios modernos, APIs, apps móviles y servicios SaaS.
Detalles
El puerto TCP 443 es el puerto predeterminado de HTTPS. Cuando una persona visita https://example.com sin especificar puerto, el navegador se conecta al 443 de forma predeterminada.
HTTPS es HTTP protegido con TLS. Se usa para proteger páginas web, sesiones de inicio de sesión, cookies, tokens, información de pago, solicitudes API, tráfico de apps móviles, webhooks, consolas de administración y recursos cargados por el navegador.
El puerto 443 puede ser un punto de entrada público, pero la seguridad no depende solo de usar HTTPS. La validez del certificado, versión TLS, HSTS, atributos Secure de cookies y el reenvío correcto de Host y X-Forwarded-Proto por proxies inversos influyen en la postura real de seguridad.
En arquitecturas modernas, TLS en el puerto 443 suele terminar en Nginx, Apache, Caddy, Envoy, Traefik, un Ingress Controller, una CDN, un balanceador de carga en la nube o una API Gateway antes de reenviar las solicitudes a aplicaciones backend.
El puerto 443 también transporta tráfico más allá de páginas web tradicionales: HTTP/2, WebSocket sobre TLS, gRPC, APIs REST, GraphQL, callbacks OAuth, consolas SaaS, enlaces de descarga de almacenamiento de objetos y APIs de aplicaciones móviles. Un 443 abierto no debería interpretarse automáticamente como solo un sitio web.
Cuando el puerto 443 no es alcanzable, las causas habituales incluyen certificado caducado, DNS apuntando a una dirección equivocada, reglas de firewall o grupo de seguridad, listener de balanceador mal configurado, desajuste SNI, errores de enrutamiento del proxy inverso o fallos de health check del backend.
SMB
Puerto SMB principal para archivos compartidos y acceso de red Windows, usado en carpetas compartidas, impresión, dominios y recursos internos empresariales.
Detalles
El puerto TCP 445 es el puerto central de SMB, Server Message Block, directamente sobre TCP. Lo usan los archivos compartidos modernos de Windows, impresoras compartidas, unidades de red, acceso de dominio, acceso relacionado con Group Policy y muchos servicios internos de archivos empresariales.
Los puertos 445 y 139 se confunden a menudo. El 139 es el puerto antiguo de sesión SMB sobre NetBIOS, mientras que el 445 es el puerto moderno de alojamiento directo SMB y ya no requiere resolución de nombres NetBIOS.
SMB puede usarse para acceder a carpetas compartidas, leer y escribir archivos, enumerar recursos compartidos, conectar impresoras y participar en flujos de autenticación y administración de dominio. Si se expone mal, el riesgo no es solo un punto de descarga de archivos, sino una superficie importante de archivos compartidos Windows y movimiento lateral.
El puerto 445 lleva mucho tiempo siendo objetivo prioritario para escáneres, gusanos, ransomware y ataques de red interna. La exposición pública de SMB suele ser de riesgo muy alto, con problemas comunes como contraseñas débiles, permisos de recursos compartidos incorrectos, versiones SMB antiguas, sistemas sin parches y acceso anónimo mal configurado.
Los entornos de producción no deberían exponer el puerto 445 directamente a Internet. Si se necesita acceso a archivos entre sedes, las alternativas más seguras suelen ser VPN, circuitos privados, acceso de confianza cero, SFTP, servicios de archivos sobre HTTPS, almacenamiento de objetos o servicios gestionados privados de proveedores cloud.
Al diagnosticar acceso SMB, comprueba si el uso compartido de archivos está activado en el host destino, reglas de Windows Firewall, permisos de recurso compartido y NTFS, compatibilidad de versión SMB, pertenencia a dominio o cuenta, y si el puerto 445 está bloqueado por un ISP, plataforma cloud o dispositivo de seguridad.
SMTPS
Envío SMTP sobre TLS implícito, usado habitualmente por clientes de correo y sistemas empresariales para enviar correo cifrado.
Detalles
El puerto TCP 465 se usa habitualmente para SMTP sobre TLS implícito. El cliente realiza el handshake TLS justo después de conectarse y luego inicia la sesión SMTP dentro del canal cifrado.
Los puertos 465 y 587 son comunes para el envío de correo de usuarios o aplicaciones, pero usan modelos TLS distintos. El 465 suele empezar con TLS de inmediato, mientras que el 587 normalmente comienza como SMTP y actualiza la conexión con STARTTLS.
El puerto 465 no debe confundirse con el 25. El 25 se usa principalmente para entrega entre servidores de correo, mientras que el 465 se usa más a menudo por clientes autenticados o aplicaciones que envían correo a un servidor.
Al diagnosticar fallos de envío por 465, comprueba que el cliente esté configurado para SSL/TLS y no para STARTTLS. Verifica también la contraseña de la cuenta o contraseña específica de aplicación, certificado del servidor, reglas de firewall de salida, política de inicio de sesión del proveedor y límites de envío.
Una conexión 465 funcional no garantiza la entrega en bandeja de entrada. La entrega de correo empresarial también depende de SPF, DKIM, DMARC, gestión de rebotes, reputación del remitente, calidad del mensaje y política antispam del destinatario.
IKE
Puerto de negociación IKE para IPsec, usado para establecer asociaciones de seguridad entre pasarelas VPN o entre clientes y pasarelas.
Detalles
El puerto UDP 500 lo usa IKE, Internet Key Exchange, y es un puerto clave de negociación para conexiones VPN IPsec. Los pares usan IKE para negociar autenticación, algoritmos de cifrado, material de claves y asociaciones de seguridad antes de que empiece el tráfico IPsec protegido.
IKE es común en VPN sitio a sitio, VPN de acceso remoto, VPN de firewall, pasarelas VPN cloud y túneles cifrados entre routers. No es un endpoint web o de aplicación normal; forma parte del plano de control de la VPN.
El puerto UDP 500 suele aparecer junto con UDP 4500. El 500 gestiona la negociación IKE inicial; si se detecta NAT en alguno de los lados, IPsec normalmente cambia a NAT Traversal en UDP 4500. Despliegues L2TP/IPsec también pueden implicar UDP 1701.
Al diagnosticar fallos de VPN IPsec, no compruebes solo si el puerto 500 está abierto. Verifica también clave precompartida o certificado, compatibilidad IKEv1/IKEv2, suites de cifrado, grupo DH, dirección del par, comportamiento NAT y si el puerto 4500 también es alcanzable.
El puerto UDP 500 puede ser alcanzable públicamente en una pasarela VPN, pero representa un punto de entrada de seguridad hacia redes privadas. Los despliegues de producción deberían usar claves precompartidas fuertes o autenticación con certificados, restringir pares permitidos, registrar fallos de negociación y monitorizar orígenes desconocidos o intentos repetidos.
LPD / LPR
Puerto heredado de impresión en red usado por LPD/LPR para enviar trabajos de impresión y gestionar colas.
Detalles
El puerto TCP 515 lo usa el protocolo de impresión LPD/LPR. Suele encontrarse en sistemas de impresión Unix tradicionales, impresoras de red antiguas, servidores de impresión y algunos dispositivos de oficina para enviar trabajos y manejar colas.
LPD/LPR es anterior a protocolos de impresión más modernos como IPP. Su conjunto de funciones es relativamente simple y se centra en envío de trabajos, gestión de colas y comunicación con servidores de impresión. En oficinas modernas suelen ser más comunes IPP en el puerto 631 y protocolos específicos de proveedor.
Los puertos de impresión deberían limitarse normalmente a redes de oficina, redes de impresión o endpoints de confianza. Una exposición incorrecta puede revelar modelos de impresora, nombres de cola, nombres internos de host, o permitir que terceros envíen trabajos no deseados y consuman recursos de impresión.
Si el puerto 515 aparece en un escaneo público, confirma si se trata de un servidor de impresión, una impresora de red o un servicio de compatibilidad heredada. En la mayoría de los casos, las reglas de firewall deberían restringir el acceso en lugar de exponer servicios de impresión directamente a redes no confiables.
Al diagnosticar impresión por el puerto 515, comprueba si el servicio está ejecutándose, si el nombre de cola es correcto, si el cliente puede enviar trabajos, si la impresora está en línea, si el firewall permite el tráfico y si IPP, un controlador de proveedor o un servidor de impresión controlado serían más adecuados.
SMTP Submission
Puerto de envío de mensajes SMTP, usado por clientes de correo, backends web y sistemas empresariales para enviar correo con cuentas autenticadas.
Detalles
El puerto TCP 587 es el puerto estándar de envío de mensajes. Lo usan principalmente clientes de correo, backends web, servidores de aplicaciones o tareas de automatización para entregar correo a su propio servidor.
El puerto 587 tiene un papel distinto del 25. El 25 se usa sobre todo para entrega entre servidores de correo basada en registros MX, mientras que el 587 se usa para envío de usuarios o aplicaciones y normalmente requiere autenticación.
El puerto 587 suele usar STARTTLS. El cliente inicia primero una sesión SMTP y luego actualiza la conexión a TLS con el comando STARTTLS. Esto difiere del 465, donde TLS normalmente empieza justo después de establecer la conexión.
Al diagnosticar envíos por 587, comprueba que el cliente esté configurado para STARTTLS, que la contraseña o contraseña específica de aplicación sea correcta, que el servidor permita iniciar sesión desde el origen actual, que las reglas de firewall de salida permitan 587 y que el proveedor no haya aplicado límites de tasa o restricciones de login.
Para sistemas empresariales, el puerto 587 es solo el punto de envío. La entrega final en bandeja de entrada también depende de SPF, DKIM, DMARC, gestión de rebotes, reputación del remitente, calidad del mensaje y política antispam del destinatario.
LDAPS
Puerto LDAP sobre TLS, usado para cifrar el acceso a cuentas empresariales, grupos, estructura organizativa y datos de directorio de identidad.
Detalles
El puerto TCP 636 es el puerto predeterminado de LDAPS, LDAP sobre TLS. El cliente suele establecer primero un canal protegido por TLS y luego realiza autenticación bind, consultas de directorio y búsquedas de identidad dentro de esa conexión cifrada.
LDAPS es común en Active Directory, OpenLDAP, FreeIPA, 389 Directory Server, plataformas centralizadas de identidad y sistemas internos de cuentas de aplicaciones. Protege en tránsito información de directorio como cuentas de usuario, grupos, direcciones de correo, estructura organizativa y atributos de permisos.
Los puertos 636 y 389 se confunden con facilidad. El 389 es el puerto estándar LDAP y también puede actualizarse con STARTTLS, mientras que el 636 usa TLS desde el inicio de la conexión, de forma más parecida al modelo HTTPS.
Aunque el puerto 636 usa TLS, no debería tratarse como un endpoint público normal. Los servicios de directorio forman parte de la infraestructura de identidad; una exposición incorrecta puede permitir enumeración de cuentas, fuga de datos organizativos, descubrimiento de grupos y ataques posteriores como password spraying, phishing o movimiento lateral.
Al diagnosticar fallos LDAPS, comprueba si el controlador de dominio o servidor de directorio tiene instalado el certificado de servidor correcto, si la cadena de certificados es de confianza para el cliente, si el nombre del certificado coincide con la dirección usada, si la aplicación está configurada para LDAPS y si las reglas de firewall permiten el puerto 636.
DNS over TLS
Puerto predeterminado de DNS over TLS, usado para cifrar consultas DNS con TLS y reducir observación o manipulación en texto claro en la ruta de red.
Detalles
El puerto TCP 853 se usa para DNS over TLS, normalmente abreviado como DoT. Transporta consultas DNS dentro de un canal cifrado con TLS, reduciendo la posibilidad de que redes locales, ISP o dispositivos intermedios observen o modifiquen el tráfico DNS en texto claro.
DoT es distinto del DNS tradicional en el puerto 53. DNS en 53 suele ir en texto claro sobre UDP o TCP, mientras que el puerto 853 establece primero una conexión TLS y luego envía consultas y respuestas DNS dentro de esa sesión cifrada.
El puerto 853 es común en resolutores recursivos públicos, servicios DNS cifrados empresariales, clientes DNS orientados a privacidad, reenviadores DNS de routers y ajustes de DNS seguro en móviles. Se usa principalmente para resolución recursiva, no como API web normal ni como puerto de transferencia de zonas DNS autoritativas.
Las redes empresariales deben equilibrar privacidad y gobierno al usar DoT. DNS cifrado protege el contenido de las consultas, pero también puede saltarse políticas DNS corporativas, bloqueo de dominios maliciosos, resolución de nombres internos y registros de cumplimiento. Por eso muchas organizaciones exigen usar resolutores DoT aprobados.
DoT se confunde a menudo con DNS over HTTPS. DoH suele usar el puerto 443 y parece tráfico HTTPS normal, mientras que DoT usa el puerto dedicado 853, lo que facilita identificarlo y gestionarlo en la capa de red.
Al diagnosticar fallos en el puerto 853, confirma que el cliente realmente tenga activado DNS over TLS, que el certificado del resolutor sea de confianza, que el nombre del servidor coincida con el certificado, que TCP 853 saliente esté permitido y que el firewall no solo permita DNS tradicional en el puerto 53.
rsync
Puerto predeterminado del demonio rsync, usado para sincronización incremental eficiente, distribución de réplicas, copias de seguridad y replicación de configuración.
Detalles
El puerto TCP 873 es el puerto predeterminado del modo demonio de rsync. rsync está diseñado para transferir solo los datos cambiados, por lo que se usa ampliamente para sincronización de servidores Linux/Unix, sitios espejo, archivado de logs, distribución de configuración, copias de seguridad y grandes transferencias incrementales.
rsync tiene dos modos habituales de operación que se confunden con facilidad. Uno ejecuta rsync sobre SSH, normalmente en el puerto 22. El otro es el modo demonio, donde el servidor escucha directamente en el puerto 873 y expone directorios mediante módulos con nombre.
Un demonio rsync organiza los directorios exportados en uno o varios módulos. Cada módulo puede tener su propia ruta, política de solo lectura o escritura, autenticación, control de acceso y reglas include/exclude. Los clientes suelen acceder con direcciones como rsync://host/module/path.
El puerto 873 es útil para sincronización controlada, pero no debería exponerse casualmente a Internet. Una mala configuración puede permitir que terceros enumeren módulos, descarguen directorios de backup, lean código fuente, sincronicen archivos de configuración o suban contenido inesperado a módulos con escritura.
Si debe exponerse acceso al demonio rsync, restringe direcciones de origen, prefiere módulos de solo lectura, exige autenticación, evita acceso anónimo a rutas sensibles y revisa con cuidado backups, claves, archivos de entorno, volcados de base de datos, directorios históricos y rutas escribibles.
Al diagnosticar fallos de rsync, confirma primero si la conexión usa modo SSH o modo demonio. El modo SSH exige revisar puerto 22, cuentas y claves; el modo demonio exige revisar puerto 873, rsyncd.conf, nombres de módulos, reglas hosts allow/deny, permisos del sistema de archivos y política de firewall.
FTPS Data
Puerto de conexión de datos FTPS con TLS implícito, usado para transferir contenido de archivos o listados de directorios cifrados.
Detalles
El puerto TCP 989 es el puerto de conexión de datos para FTPS en modo TLS implícito y normalmente se entiende junto con el 990. El 990 gestiona login, comandos y control de sesión, mientras que el 989 se asocia con contenido de archivos cifrado o listados de directorios.
FTPS hereda de FTP la separación entre conexiones de control y conexiones de datos. Aunque el canal de control esté protegido por TLS, la transferencia de archivos puede requerir conexiones de datos separadas, de modo que firewall, NAT, balanceadores y rangos pasivos influyen en si las transferencias funcionan.
El puerto 989 se confunde fácilmente con el puerto FTP 20. El 20 es el puerto tradicional de datos FTP en modo activo y texto claro, mientras que el 989 pertenece al modelo de canal de datos FTPS con TLS implícito. Ambos se relacionan con transferencia de datos, pero tienen supuestos de seguridad distintos.
En despliegues reales, muchos servidores FTPS no dependen solo del puerto 989. A menudo usan un rango pasivo configurado para transferencia de datos. Si el login funciona pero falla el listado de directorios o la transferencia, el problema suele estar en el canal de datos, no en la conexión de control del 990.
Para FTPS en producción, define claramente modo activo y pasivo, fija y restringe el rango pasivo, usa certificados de confianza, desactiva acceso anónimo, limita permisos de directorio por cuenta y evita exponer rutas sensibles a rangos amplios de origen.
FTPS
Puerto de conexión de control FTPS con TLS implícito, usado para login cifrado, control de sesión y comandos de operación de archivos FTP.
Detalles
El puerto TCP 990 es el puerto de conexión de control para FTPS en modo TLS implícito. Un cliente que se conecta al 990 suele realizar primero el handshake TLS y luego entra en la sesión de control FTP para enviar credenciales, comandos de directorio y comandos de transferencia por un canal cifrado.
FTPS y SFTP no son el mismo protocolo. FTPS añade TLS al FTP tradicional y mantiene el modelo separado de conexiones de control y datos. SFTP es un protocolo de transferencia de archivos construido sobre SSH y normalmente usa el puerto 22.
El puerto 990 representa principalmente FTPS implícito. Otro modelo común es FTPS explícito, donde el cliente se conecta primero al puerto 21 y luego actualiza la sesión con el comando AUTH TLS. Confundir TLS implícito y explícito suele causar fallos de handshake o conexiones rechazadas.
FTPS es más seguro que FTP en texto claro para usuarios, contraseñas y archivos sensibles, pero conserva la complejidad de los canales de datos FTP. El contenido real de archivos o listados de directorios requiere conexiones de datos adicionales, que pueden implicar el puerto 989 o un rango pasivo configurado en el servidor.
Si el login FTPS funciona pero falla el listado de directorios o la transferencia de archivos, revisa modo activo frente a pasivo, rango pasivo, reglas de firewall, comportamiento NAT, tratamiento del balanceador, certificados TLS y si el cliente soporta correctamente el cifrado del canal de datos FTPS.
Para producción, FTPS debería usar certificados de confianza, desactivar acceso anónimo, restringir permisos de cuentas, definir un rango pasivo claro y exponer solo los puertos necesarios. Para sistemas nuevos que solo necesitan transferencia segura, SFTP, subida y descarga por HTTPS o URL prefirmadas de almacenamiento de objetos pueden ser más sencillos de operar.
IMAPS
Puerto predeterminado de IMAP sobre TLS, usado para sincronizar, leer, buscar y administrar buzones de forma segura.
Detalles
El puerto TCP 993 es el puerto predeterminado de IMAPS, IMAP sobre TLS. Un cliente que se conecta al 993 suele establecer primero un canal cifrado con TLS y luego inicia sesión para leer correo, sincronizar carpetas, buscar mensajes y administrar el contenido del buzón.
IMAPS encaja bien con la sincronización de buzones en varios dispositivos. A diferencia de POP3, más orientado a descargar correo localmente, IMAP mantiene el correo principalmente en el servidor y sincroniza estado de lectura, carpetas, borradores, enviados y operaciones de mover o eliminar entre teléfonos, computadoras y webmail.
Los puertos 993 y 143 se confunden con facilidad. El 143 es el puerto IMAP tradicional y puede ir en texto claro o actualizarse con STARTTLS. El 993 usa TLS desde el inicio de la conexión y suele ser la opción preferida para clientes de correo modernos.
El puerto 993 sirve para recibir y administrar correo, no para enviarlo. El envío de usuarios suele usar el puerto 587 o 465, mientras que la entrega entre servidores usa principalmente el 25. Si se puede recibir pero no enviar, o al revés, separa primero IMAP de SMTP.
Causas comunes de fallo de login IMAPS incluyen formato incorrecto de buzón o usuario, contraseña errónea o contraseña específica de aplicación, certificado de servidor no confiable, configurar el 993 como STARTTLS en vez de TLS implícito, IMAP no habilitado para el buzón o un firewall bloqueando salida por 993.
Los servicios de correo en producción pueden exponer 993 a usuarios, pero deberían usar certificados confiables, autenticación fuerte, limitación de intentos de login, monitorización de accesos sospechosos y controles de seguridad de cuenta. Los buzones suelen contener códigos de verificación, enlaces de restablecimiento, avisos de negocio y adjuntos sensibles, así que este puerto no debe tratarse como bajo riesgo.
POP3S
Puerto predeterminado de POP3 sobre TLS, usado para descargar correo de un buzón de forma segura.
Detalles
El puerto TCP 995 es el puerto predeterminado de POP3S, POP3 sobre TLS. Un cliente que se conecta al 995 suele establecer primero un canal cifrado con TLS, iniciar sesión y descargar mensajes del buzón.
POP3S encaja mejor con un modelo de descargar correo en local. Muchos clientes pueden conservar una copia en el servidor después de descargar o eliminar los mensajes, por lo que es común en acceso desde un solo dispositivo, archivado sin conexión, clientes antiguos y configuraciones simples solo de recepción.
La relación entre los puertos 995 y 110 es similar a la relación entre 993 y 143. El 995 usa TLS desde el inicio de la conexión, mientras que el 110 es el puerto POP3 tradicional y puede ir en texto claro o actualizarse con STARTTLS cuando se soporta.
POP3S e IMAPS son puertos cifrados de recuperación de correo, pero ofrecen flujos distintos. El 995 está más orientado a descarga, mientras que el 993 es mejor para sincronizar estado de lectura, carpetas, borradores y administración del buzón en servidor entre varios dispositivos.
El puerto 995 sirve para recibir correo, no para enviarlo. El envío de usuarios suele usar el 587 o el 465, mientras que la entrega entre servidores usa principalmente el 25. El diagnóstico debe tratar POP3S, IMAPS y SMTP como rutas separadas.
Causas comunes de fallo de login POP3S incluyen POP3 no habilitado para el buzón, puerto o modo de cifrado incorrecto, formato de usuario no coincidente, contraseña errónea o específica de aplicación, certificado de servidor no confiable o un firewall bloqueando salida por 995.
Registrados
SOCKS Proxy
Puerto habitual de proxy SOCKS, usado para retransmitir conexiones TCP, proxificar tráfico de clientes y acceder a recursos de red controlados.
Detalles
El puerto TCP 1080 es el puerto más común para proxies SOCKS. Un proxy SOCKS puede retransmitir conexiones desde un cliente hacia servidores destino y se usa a menudo para proxy de navegador, depuración de desarrollo, acceso a redes internas, reenvío de tráfico, pools de proxies para crawlers y soporte de acceso remoto.
Un proxy SOCKS no es un servicio web normal. Normalmente no interpreta rutas HTTP ni contenido de páginas; actúa como retransmisor general de conexiones que ayuda a los clientes a alcanzar otros hosts y puertos.
El riesgo del puerto 1080 depende de la autenticación, restricciones de origen y alcance de destinos permitidos. Sin autenticación ni control de acceso, terceros pueden usarlo como proxy abierto, provocando abuso de tráfico, spam, actividad de escaneo, bloqueo de la IP, logs contaminados y problemas de cumplimiento.
El riesgo es aún mayor si el proxy SOCKS puede llegar a direcciones internas. Un atacante puede usarlo para sondear servicios internos, saltarse controles de salida, ocultar el origen real o acceder a recursos que solo debían ser alcanzables desde el servidor proxy.
Los despliegues de producción deberían restringir direcciones de origen, exigir autenticación, evitar destinos arbitrarios, conservar registros de acceso y revisar periódicamente comportamiento de proxy abierto, credenciales débiles, configuraciones predeterminadas o tráfico abusivo anómalo.
Al investigar el puerto 1080, confirma si realmente es un proxy SOCKS4/SOCKS5 u otra aplicación reutilizando el puerto. Revisa también cuentas de proxy, ACL, destinos permitidos, política CONNECT, reglas de firewall y configuración proxy del cliente.
OpenVPN
Puerto UDP predeterminado habitual de OpenVPN, usado para acceso remoto, conectividad sitio a sitio y túneles VPN cifrados.
Detalles
El puerto UDP 1194 es el puerto predeterminado habitual de OpenVPN. OpenVPN es una solución VPN basada en TLS usada para acceso de trabajo remoto, conectividad sitio a sitio, acceso a redes privadas en la nube, puntos de entrada a entornos de desarrollo y prueba, y acceso a recursos internos empresariales.
OpenVPN suele usar certificados para verificar identidad. Cliente y servidor negocian parámetros criptográficos mediante un handshake TLS y después crean un túnel de red virtual que conecta un dispositivo de usuario o una red remota con una red privada controlada.
OpenVPN usa UDP por defecto porque el propio túnel VPN puede transportar TCP, UDP y otro tráfico de aplicación. Ejecutar todo el túnel sobre TCP puede causar problemas de rendimiento TCP sobre TCP cuando hay pérdida de paquetes. OpenVPN también puede configurarse sobre TCP, y escuchar en 443 es una opción común para redes restringidas.
Exponer OpenVPN a Internet es habitual, pero sigue siendo un punto de entrada a una red privada. En producción se debe usar gestión sólida de certificados y claves, revocar rápido certificados de usuarios que salen o dispositivos perdidos, restringir orígenes permitidos, registrar conexiones y monitorizar logins sospechosos, handshakes repetidos e intentos de clientes desconocidos.
La conectividad OpenVPN depende de más que tener abierto el 1194. Revisa perfil del cliente, certificado CA, certificado de cliente, clave privada, ajustes tls-auth o tls-crypt, flujo usuario/contraseña, rutas empujadas, reglas de reenvío del servidor y rutas desde el cliente hacia las redes internas previstas.
OpenVPN se compara a menudo con IPsec/IKE en los puertos 500 y 4500, y WireGuard en 51820. OpenVPN tiene un ecosistema maduro y amplia compatibilidad; WireGuard es más simple y a menudo más rápido; IPsec es común entre firewalls, routers y pasarelas VPN cloud.
Microsoft SQL Server
Puerto predeterminado de conexión de Microsoft SQL Server, usado por aplicaciones, clientes y herramientas de administración para acceder a bases SQL Server.
Detalles
El puerto TCP 1433 es el puerto de conexión más común para una instancia predeterminada de Microsoft SQL Server. Servicios de aplicación, SQL Server Management Studio, sistemas de informes, herramientas ETL, trabajos de sincronización y backends de negocio lo usan habitualmente para conectarse a SQL Server.
SQL Server distingue entre instancias predeterminadas e instancias con nombre. Una instancia predeterminada suele usar 1433, mientras que las instancias con nombre pueden usar puertos dinámicos y depender del servicio SQL Server Browser en UDP 1434 para ayudar a los clientes a descubrir el puerto real.
El puerto 1433 es un punto de entrada de base de datos de alto valor y se escanea mucho en Internet. Cuando se expone directamente, los atacantes suelen probar versiones, contraseñas débiles, cuentas predeterminadas, fuerza bruta, vulnerabilidades sin parchear y abuso de configuraciones incorrectas.
Las bases de datos de producción normalmente no deberían exponer 1433 directamente a Internet. Un patrón más seguro es permitir conexiones desde servidores de aplicaciones por red interna, VPC, enlace privado, VPN, host bastión o red controlada de administración de bases de datos.
Causas comunes de fallos de conexión a SQL Server incluyen servicio detenido, TCP/IP no habilitado, instancia sin escuchar en 1433, reglas de firewall o grupo de seguridad cloud bloqueando acceso, cadenas de conexión incorrectas, modo de autenticación no coincidente, permisos insuficientes de cuenta o requisitos de cifrado del cliente incompatibles con el certificado del servidor.
Si SQL Server debe ser alcanzable entre redes, usa como mínimo listas de IP de origen permitidas, contraseñas fuertes o autenticación integrada, cuentas de mínimo privilegio, cifrado TLS, registros de auditoría, monitorización de inicios fallidos y procesos probados de backup y recuperación. Cambiar 1433 a otro puerto no resuelve de forma significativa el riesgo de exposición de la base de datos.
SQL Server Browser
Puerto de descubrimiento de SQL Server Browser, usado para resolver instancias con nombre de SQL Server hacia sus puertos reales de escucha.
Detalles
El puerto UDP 1434 lo usa habitualmente el servicio SQL Server Browser. No transporta consultas de base de datos; ayuda a los clientes a descubrir en qué puerto TCP está escuchando una instancia con nombre de SQL Server.
Una instancia predeterminada de SQL Server suele usar TCP 1433, mientras que las instancias con nombre pueden usar puertos dinámicos. Cuando un cliente solo conoce el nombre del servidor y de la instancia, puede consultar primero UDP 1434 para obtener el puerto de conexión real.
El puerto 1434 puede exponer información de descubrimiento de SQL Server, como instancias disponibles, nombres de instancia y pistas de conexión. Aunque no pueda ejecutar consultas SQL directamente, la exposición pública ayuda a escáneres y atacantes a identificar activos de base de datos.
Los entornos de producción normalmente deberían restringir 1434 a redes internas, VPC, redes de administración de bases de datos o subredes de aplicaciones de confianza. Si las instancias con nombre pueden usar puertos fijos y la cadena de conexión especifica el puerto explícitamente, muchos despliegues no necesitan exponer SQL Server Browser a los clientes.
Al diagnosticar fallos de conexión a una instancia con nombre, comprueba si SQL Server Browser está ejecutándose, si UDP 1434 está bloqueado por un firewall, si TCP/IP está habilitado para la instancia, si el puerto dinámico cambió, si la cadena de conexión del cliente es correcta y si el puerto real de datos es alcanzable.
Oracle Database
Puerto predeterminado común de Oracle Database Listener, usado por clientes, servidores de aplicaciones y herramientas de administración para acceder a servicios Oracle.
Detalles
El puerto TCP 1521 es el puerto predeterminado más común de Oracle Database Listener. Clientes Oracle, servidores de aplicaciones, sistemas de informes, herramientas ETL, trabajos de sincronización y herramientas DBA suelen usar el Listener para localizar y conectarse a un servicio de base de datos concreto.
Oracle Listener hace más que abrir un puerto de base de datos. Una conexión de cliente incluye un nombre de servicio, SID o descriptor de conexión, y el Listener usa su configuración para entregar la conexión a la instancia o servicio de base de datos adecuado.
El puerto 1521 es un punto de entrada de base de datos de alto valor y supone un riesgo importante si se expone a Internet. Los atacantes pueden intentar enumerar nombres de servicio, detectar versiones Oracle, hacer fuerza bruta de cuentas, explotar vulnerabilidades históricas o buscar credenciales débiles y configuraciones predeterminadas.
Las bases de datos de producción generalmente no deberían exponer 1521 directamente a Internet. Un patrón más seguro es permitir acceso solo desde servidores de aplicaciones, hosts bastión, VPN, redes privadas, enlaces dedicados o redes de administración de bases de datos, junto con cuentas de mínimo privilegio, auditoría y restricciones de origen.
Fallos comunes de conexión Oracle incluyen Listener detenido, servicios de base de datos no registrados en el Listener, cadenas de conexión incorrectas, confusión entre nombre de servicio y SID, bloqueos de firewall o grupo de seguridad, drivers cliente incompatibles, cuentas bloqueadas o una base que solo escucha en localhost o en una dirección interna.
Si Oracle debe accederse entre redes, usa listas de IP de origen permitidas, autenticación fuerte, TLS/TCPS, registros de auditoría, monitorización de inicios fallidos y procesos probados de backup y recuperación. Cambiar simplemente el puerto predeterminado no reduce de forma significativa el riesgo de exposición de la base de datos.
L2TP
Puerto de túnel L2TP, normalmente combinado con IPsec en despliegues tradicionales de VPN de acceso remoto.
Detalles
El puerto UDP 1701 lo usa L2TP, Layer 2 Tunneling Protocol. Principalmente establece un túnel de capa 2 encapsulando sesiones PPP en UDP, y es común en VPN tradicionales de acceso remoto, VPN de routers y escenarios de compatibilidad heredada.
L2TP no proporciona cifrado fuerte por sí solo. En producción se despliega habitualmente como L2TP/IPsec: IPsec gestiona autenticación, cifrado y negociación de claves, mientras que L2TP se encarga de la encapsulación del túnel. Abrir solo 1701 no hace segura la VPN; IPsec también debe estar bien configurado.
L2TP/IPsec suele implicar UDP 500, UDP 4500 y UDP 1701. El puerto 500 se usa para negociación IKE, 4500 para NAT-T de modo que IPsec pueda atravesar NAT, y 1701 transporta el propio túnel L2TP.
Causas comunes de fallos L2TP VPN incluyen claves precompartidas que no coinciden, autenticación de cuenta fallida, políticas IKE incompatibles, NAT-T sin efecto, firewalls que permiten 1701 pero bloquean 500 o 4500, o una red cliente que bloquea tráfico relacionado con IPsec.
L2TP/IPsec todavía aparece en clientes VPN integrados de Windows, macOS e iOS, routers y redes empresariales antiguas, pero los despliegues nuevos suelen reemplazarlo por OpenVPN, WireGuard, IKEv2 o soluciones de acceso de confianza cero.
La exposición pública de 1701 debe limitarse a casos deliberados de pasarela VPN, con autenticación fuerte, restricciones de origen, auditoría y monitorización de conexiones anómalas. No debe tratarse como un servicio UDP genérico de bajo riesgo.
PPTP
Puerto de control VPN PPTP, usado sobre todo por compatibilidad heredada y no recomendado para nuevos despliegues sensibles.
Detalles
El puerto TCP 1723 se usa para la conexión de control PPTP. PPTP es un protocolo VPN antiguo que se hizo común porque era fácil de configurar y tenía amplio soporte en Windows, routers y redes empresariales heredadas.
PPTP depende de más que el puerto 1723. Su canal de control usa TCP 1723, pero los datos del túnel suelen usar el protocolo GRE en lugar de un puerto TCP o UDP normal. Permitir solo 1723 puede no bastar para que PPTP funcione; firewalls, dispositivos NAT o proveedores también deben permitir GRE.
Desde una perspectiva moderna de seguridad, PPTP ya no es adecuado para cargas sensibles. Sus combinaciones habituales de autenticación y cifrado tienen debilidades históricas conocidas, y muchas organizaciones lo han reemplazado por L2TP/IPsec, OpenVPN, WireGuard, IKEv2 o acceso de confianza cero.
Si un escaneo público encuentra 1723 abierto, confirma si el negocio real todavía depende de PPTP. Si solo es un resto heredado, debería desactivarse. Si debe permanecer temporalmente, restringe direcciones de origen, aplica una política fuerte de cuentas y planifica la migración a una opción VPN más segura.
Causas comunes de fallos de conexión PPTP incluyen GRE bloqueado, dispositivos NAT sin soporte de passthrough PPTP, fallos de autenticación de cuenta, políticas del servidor que deshabilitan protocolos heredados, firewalls que solo permiten TCP 1723 o una red cliente que no permite este tráfico de túnel.
MQTT
Puerto de mensajería MQTT en texto claro, usado habitualmente por dispositivos IoT, gateways de borde y comunicación ligera de publicación/suscripción.
Detalles
El puerto TCP 1883 es el puerto predeterminado en texto claro de MQTT. MQTT es un protocolo ligero de publicación/suscripción usado a menudo por dispositivos IoT, sensores, gateways de borde, vehículos conectados, sistemas de hogar inteligente, telemetría industrial y redes de bajo ancho de banda.
MQTT funciona de forma distinta a HTTP ordinario. Los clientes no solicitan simplemente un endpoint; se conectan a un broker y publican o se suscriben a temas. Por ejemplo, un dispositivo puede publicar lecturas de temperatura en sensors/room1/temperature, mientras sistemas backend se suscriben a ese tema para procesarlo.
El puerto 1883 normalmente no está cifrado, lo que significa que usuarios, contraseñas, temas y cargas de mensajes pueden ser visibles en la ruta de red. En Internet, redes móviles, redes de operador o enlaces no confiables, MQTT sobre TLS en el puerto 8883 suele ser la opción más segura.
La seguridad de MQTT no consiste solo en si el puerto es alcanzable. Los controles clave son autenticación del broker, si se permiten conexiones anónimas, si las ACL restringen lectura y escritura de temas, si las credenciales de dispositivos pueden rotarse y si los clientes pueden suscribirse a comodines que no deberían ver.
Si un broker MQTT se expone incorrectamente, los atacantes pueden leer datos de dispositivos, falsificar comandos de control, enumerar temas, consumir recursos del broker o usar credenciales débiles para entrar en la ruta de mensajería de dispositivos.
Al diagnosticar fallos de conexión MQTT, comprueba si el broker escucha en 1883, si el firewall permite acceso, si la versión de protocolo del cliente coincide, si las credenciales son correctas, si hay conflicto de clientId, si las ACL deniegan operaciones de suscripción o publicación y si QoS, keepalive y last-will son coherentes.
NFS
Puerto NFS principal usado para montar directorios remotos en Unix/Linux, NAS, virtualización y entornos de clúster.
Detalles
El puerto TCP 2049 es el puerto central de NFS, Network File System. NFS se parece más a montar un directorio remoto como sistema de archivos local que a hacer subidas o descargas puntuales, y es común en servidores Unix/Linux, dispositivos NAS, plataformas de virtualización, almacenamiento de Kubernetes, sistemas de backup y clústeres de cómputo.
NFSv4 suele centrarse en el puerto 2049, mientras que entornos NFSv3 más antiguos también pueden depender de rpcbind en el puerto 111, además de mountd, lockd, statd y otros puertos dinámicos o adicionales. Al diagnosticar fallos de montaje, confirma primero si el entorno usa NFSv3 o NFSv4.
El puerto 2049 es un punto de entrada de alto valor para acceso a archivos y no debería exponerse directamente a Internet. Una mala configuración puede permitir que terceros enumeren exportaciones, lean archivos compartidos, escriban o modifiquen datos, o accedan a backups, configuraciones, código fuente, logs o directorios de datos de aplicaciones.
La seguridad de NFS depende de más que tener el puerto abierto. Revisa reglas de exportación, restricciones de origen de clientes, permisos de lectura/escritura, root_squash o no_root_squash, permisos del sistema de archivos, configuración Kerberos y opciones de montaje. Muchos incidentes vienen de rutas exportadas o rangos de clientes demasiado amplios.
En producción, NFS debería limitarse a redes internas de confianza, redes de almacenamiento, VPC o redes de clúster. Para compartir archivos entre redes, prefiere VPN, enlaces dedicados, conectividad privada, almacenamiento de objetos, SFTP o servicios de archivos controlados antes que exposición pública de NFS.
Cuando NFS no puede montar, comprueba si 2049 es alcanzable, si rpcbind está ejecutándose, si la ruta exportada existe, si la IP del cliente está permitida, si la versión NFS coincide, si grupos de seguridad y firewalls de host permiten el tráfico y si las reglas de exportación del servidor son correctas.
Cloudflare HTTP
Puerto HTTP no estándar admitido por el proxy de Cloudflare, usado a menudo para servicios web en texto claro proxificados o entradas alternativas.
Detalles
El puerto TCP 2052 es uno de los puertos HTTP admitidos por el proxy de Cloudflare. Se usa a menudo cuando el puerto 80 no está disponible, cuando hacen falta varias entradas web o cuando un servicio HTTP no estándar se coloca detrás de Cloudflare.
El puerto 2052 en sí es HTTP en texto claro y no equivale a HTTPS. La conexión del usuario a Cloudflare puede usar HTTPS, pero que el tráfico de Cloudflare al origen vaya cifrado depende de la configuración del origen, el modo SSL/TLS y el protocolo real del origen.
Este puerto puede transportar páginas web normales, APIs o servicios HTTP detrás de un proxy, pero no debería exponer directamente paneles de administración, consolas de depuración, sistemas internos sin autenticación ni planos de control sensibles. Que Cloudflare admita el puerto no significa que el origen deba estar abierto a cualquier fuente.
Si el origen expone 2052 públicamente, restringe el acceso a IP de origen de Cloudflare o redes controladas, y verifica manejo de Host, protocolo del origen, control de acceso, registros, límites de tasa y autenticación de la aplicación.
Al diagnosticar problemas de acceso por 2052, confirma que el registro DNS esté proxificado por Cloudflare, que el origen realmente escuche en 2052, que Cloudflare admita el puerto elegido, que el protocolo de origen coincida con la configuración y que el firewall del origen permita nodos de Cloudflare.
Cloudflare HTTPS
Puerto HTTPS no estándar admitido por el proxy de Cloudflare, usado a menudo para servicios web cifrados proxificados o entradas API alternativas.
Detalles
El puerto TCP 2053 es uno de los puertos HTTPS admitidos por el proxy de Cloudflare. Se usa comúnmente para servicios HTTPS no estándar, entradas alternativas de sitio, APIs o rutas cifradas que necesitan evitar el puerto 443.
El puerto 2053 suele significar que el origen también sirve TLS. Al usarlo, verifica que certificado de origen, SNI, modo SSL/TLS de Cloudflare, protocolo de origen y listener de la aplicación sean coherentes; de lo contrario son comunes errores 525, 526, fallos de handshake TLS o errores del origen.
Como 443, 2053 puede transportar sitios web, APIs, WebSocket sobre TLS o entradas de consola. Si detrás hay un sistema de administración, panel de gestión, servicio de depuración o aplicación interna, el proxy de Cloudflare por sí solo no basta; combínalo con Access, comprobaciones de identidad, restricciones de origen y reglas de firewall del origen.
En producción, evita que el puerto 2053 del origen acepte fuentes públicas arbitrarias. Un patrón más seguro es permitir solo IP de origen de Cloudflare, pasarelas controladas o redes de administración de confianza.
Al diagnosticar 2053, revisa el certificado del navegador a Cloudflare, el certificado de Cloudflare al origen, si el origen escucha en 2053, si el proxy DNS está activado y si el acceso al origen está correctamente restringido.
cPanel / Cloudflare HTTP
Puerto común de administración cPanel en texto claro, también admitido como puerto HTTP por el proxy de Cloudflare.
Detalles
El puerto TCP 2082 se usa comúnmente como punto de entrada web en texto claro para administrar cPanel. cPanel gestiona sitios, dominios, bases de datos, correo, archivos, certificados y configuración de hosting, así que debe tratarse como plano de administración privilegiado y no como una página de contenido normal.
El puerto 2082 también es uno de los puertos HTTP admitidos por el proxy de Cloudflare, pero eso no lo hace apropiado para acceso público sin restricciones. Si sirve cPanel, una cuenta comprometida puede afectar archivos del sitio, buzones, bases de datos, DNS, certificados y copias de seguridad.
Como 2082 es texto claro, no es adecuado para inicios de sesión reales de administración. Si se requiere acceso a cPanel en producción, es preferible HTTPS en 2083, combinado con contraseñas fuertes, MFA, restricciones de login, listas de IP permitidas y registros de auditoría.
Si un escaneo encuentra 2082 abierto, confirma primero si realmente es cPanel, un servicio HTTP normal proxificado por Cloudflare u otra aplicación reutilizando el puerto. No lo trates como un puerto web público normal solo porque Cloudflare lo admita.
Un buen valor por defecto es cerrar 2082 o forzarlo a redirigir a 2083. Si debe permanecer temporalmente, colócalo detrás de una VPN, host bastión, direcciones de administración confiables o Cloudflare Access, y revisa cuentas predeterminadas, contraseñas débiles y exposición a fuerza bruta.
cPanel SSL / Cloudflare HTTPS
Puerto HTTPS de administración cPanel, también admitido como puerto HTTPS por el proxy de Cloudflare.
Detalles
El puerto TCP 2083 se usa comúnmente como punto de entrada HTTPS de administración para cPanel. Administradores o usuarios del sitio pueden usarlo para gestionar archivos, dominios, bases de datos, buzones, certificados, copias de seguridad y configuración relacionada con hosting.
Los puertos 2083 y 2082 se confunden a menudo: 2082 suele ser la entrada cPanel en texto claro, mientras que 2083 es cPanel sobre TLS. Si cPanel debe exponerse en producción, prefiere 2083 y cierra o restringe 2082 siempre que sea posible.
El puerto 2083 también es uno de los puertos HTTPS admitidos por el proxy de Cloudflare. Que Cloudflare lo soporte no significa que pueda exponerse sin controles; si presenta un panel de administración de hosting, debe tratarse como una interfaz administrativa de alto privilegio.
Un punto de entrada cPanel comprometido puede afectar más que una cuenta web. Puede exponer o permitir controlar archivos del sitio, bases de datos, cuentas de correo, DNS, certificados SSL y backups. Activa MFA, contraseñas fuertes, límites de fallos de login, listas de IP permitidas, notificaciones de inicio de sesión y auditoría.
Al diagnosticar acceso por 2083, confirma que el servicio sea realmente cPanel, que el certificado sea correcto, que el proxy de Cloudflare esté configurado como se espera, que el origen permita tráfico de Cloudflare, que el firewall del host permita el puerto y que las políticas de seguridad de cPanel no estén bloqueando el origen del login.
WHM / Cloudflare HTTP
Puerto de administración WHM en texto claro, también admitido por Cloudflare como puerto HTTP no estándar.
Detalles
El puerto TCP 2086 se usa comúnmente como punto de entrada de administración en texto claro para WHM, WebHost Manager. WHM suele usarse para administración de hosting a nivel de servidor, incluyendo varias cuentas cPanel, paquetes de hosting, dominios, estado de servicios, políticas de seguridad y recursos del servidor.
El puerto 2086 normalmente tiene un nivel de privilegio mayor que una entrada normal de usuario cPanel. cPanel se centra en una cuenta de sitio, mientras que WHM puede controlar un servidor completo o varias cuentas de inquilinos, por lo que debe tratarse como plano de control privilegiado.
El puerto 2086 también es uno de los puertos HTTP admitidos por el proxy de Cloudflare, pero ese soporte no lo hace seguro para acceso público sin restricciones. Si sirve WHM, no debe manejarse como una página web pública ordinaria.
Como 2086 es una entrada HTTP en texto claro, los entornos de producción deberían preferir 2087, el puerto HTTPS de WHM. Si 2086 debe permanecer temporalmente, colócalo detrás de una VPN, host bastión, IP de administración confiables o Cloudflare Access.
Al revisar 2086, confirma si el servicio que escucha es realmente WHM, revisa cuentas predeterminadas, contraseñas débiles, exposición a fuerza bruta, exposición directa del origen, ausencia de restricciones de origen de Cloudflare y si la entrada en texto claro puede desactivarse o redirigirse a la cifrada.
WHM SSL / Cloudflare HTTPS
Puerto HTTPS de administración WHM para hosting de servidor con alto privilegio y gestión de múltiples cuentas.
Detalles
El puerto TCP 2087 se usa comúnmente como punto de entrada HTTPS de administración para WHM. WHM proporciona administración de hosting a nivel de servidor, incluyendo crear y gestionar cuentas cPanel, ajustar configuración de servicios, manejar DNS, revisar recursos, administrar certificados y controlar entornos de hosting multisitio.
Los puertos 2087 y 2086 se relacionan como HTTPS y HTTP: 2087 usa TLS desde el inicio, mientras que 2086 es texto claro. Como WHM tiene alto privilegio, los entornos de producción deberían preferir 2087 y cerrar o restringir fuertemente 2086.
El puerto 2087 también es uno de los puertos HTTPS admitidos por el proxy de Cloudflare. Al usar Cloudflare, verifica que certificado de origen, modo SSL/TLS, SNI, puerto de origen y controles de acceso sean coherentes para evitar fallos de handshake, errores del origen o exposición accidental del panel de administración.
Aunque 2087 usa HTTPS, sigue siendo un punto de entrada de administración de alto riesgo. Activa MFA, políticas fuertes de contraseñas, límites de fallos de login, listas de IP permitidas, auditoría, notificaciones de inicio de sesión y parches oportunos.
Al diagnosticar 2087, revisa si WHM está ejecutándose, si el firewall del host permite el puerto, si los ajustes del proxy de Cloudflare coinciden con el origen, si el certificado del origen es válido y si cPHulk u otra política de seguridad está bloqueando el origen del login.
Webmail / Cloudflare HTTP
Puerto de inicio de sesión Webmail en texto claro, también admitido por Cloudflare como puerto HTTP no estándar.
Detalles
El puerto TCP 2095 se usa comúnmente como punto de entrada en texto claro para cPanel Webmail. Los usuarios pueden iniciar sesión desde un navegador para leer correo, enviar mensajes, gestionar carpetas y ajustar configuraciones básicas del buzón.
El puerto 2095 es una entrada HTTP en texto claro y no es adecuado para inicios de sesión reales de buzones. Credenciales, cookies de sesión, cuerpos de mensajes y adjuntos son sensibles, y el acceso en texto claro aumenta el riesgo de interceptación de credenciales o contenido.
El puerto 2095 también es uno de los puertos HTTP admitidos por el proxy de Cloudflare, pero eso no lo hace apropiado como superficie pública de login. Webmail es una entrada de cuenta y debe protegerse con TLS, contraseñas fuertes, MFA, límites de login, alertas de accesos sospechosos y protección contra fuerza bruta.
Los entornos de producción deberían preferir 2096 o una entrada HTTPS estándar en 443 para Webmail, cerrando 2095, restringiéndolo o forzándolo a redirigir a la entrada cifrada.
Si un escaneo encuentra 2095 abierto, confirma si aún se permite login en texto claro, si Cloudflare o un proxy inverso lo protege, si existe riesgo de contraseñas débiles o credential stuffing y si el acceso puede moverse a 2096.
Webmail SSL / Cloudflare HTTPS
Puerto HTTPS de inicio de sesión Webmail para acceso cifrado desde navegador a buzones.
Detalles
El puerto TCP 2096 se usa comúnmente como punto de entrada HTTPS para cPanel Webmail. Los usuarios pueden acceder a buzones desde un navegador para leer mensajes, enviar correo, gestionar carpetas, descargar adjuntos y ajustar configuraciones básicas del buzón.
Los puertos 2096 y 2095 forman una pareja: 2095 suele ser Webmail en texto claro, mientras que 2096 es Webmail cifrado. En producción se debería preferir 2096 y redirigir 2095 a HTTPS o restringirlo siempre que sea posible.
El puerto 2096 también es uno de los puertos HTTPS admitidos por el proxy de Cloudflare. Al usar un proxy, verifica el modo TLS de Cloudflare al origen, certificado del origen, manejo del encabezado Host, callbacks de login de Webmail y atributos de seguridad de cookies.
Webmail es un punto directo de entrada a cuentas de buzón. Incluso con HTTPS, debe combinarse con contraseñas fuertes, MFA, límites de fallos de login, alertas de accesos sospechosos, expiración de sesiones y controles antispam o antiphishing.
Al diagnosticar fallos de login en 2096, revisa certificados, configuración de origen de Cloudflare, salud del servicio Webmail, contraseña de cuenta o política de autorización, cuota del buzón, restricciones de origen de login y si ajustes de Cookie o SameSite del navegador están rompiendo la sesión.
ZooKeeper
Puerto de conexión de clientes ZooKeeper para coordinación distribuida, descubrimiento de servicios, configuración y metadatos de clúster.
Detalles
El puerto TCP 2181 es el puerto predeterminado de conexión de clientes para Apache ZooKeeper. ZooKeeper es un servicio de coordinación distribuida usado para descubrimiento de servicios, gestión de configuración, bloqueos distribuidos, elección de líder, metadatos de clúster y coordinación de estado.
Arquitecturas antiguas de Kafka, HBase, SolrCloud, Dubbo, Storm, despliegues tempranos de Flink y algunos sistemas distribuidos personalizados pueden depender de ZooKeeper. Los clientes que se conectan al 2181 pueden leer o escribir znodes, observar cambios de configuración y participar en lógica de coordinación.
Los datos de ZooKeeper a menudo no son datos de negocio ordinarios, pero pueden definir el estado del plano de control de todo un clúster. Cambios incorrectos en znodes, eliminación de metadatos, ACL demasiado amplias o acceso de clientes no confiables pueden causar fallos de descubrimiento, deriva de configuración, caídas de clúster o decisiones incorrectas de líder y seguidor.
El puerto 2181 normalmente debería estar abierto solo dentro de redes de aplicación, redes de clúster o redes de administración. No debería exponerse a Internet ni permitir que clientes no confiables lean y escriban libremente. En producción se debe usar autenticación, ACL, restricciones de origen, auditoría y evitar permisos demasiado amplios como world:anyone.
Los clústeres ZooKeeper también suelen usar 2888 para comunicación de seguidor a líder y 3888 para elección de líder. Al diagnosticar, distingue el puerto de cliente 2181 de los puertos internos del clúster.
Si los sistemas que dependen de ZooKeeper muestran fallos de conexión, expiración de sesión, inestabilidad de elección o incoherencia de configuración, revisa salud del ensemble, ACL, latencia de disco, pausas de GC, tickTime, tiempo de sesión, particiones de red y conectividad entre puertos de pares.
SSH Alternate
Puerto alternativo común de SSH, usado para hosts bastión, SSH de contenedores, servicios Git o separación de entornos.
Detalles
El puerto TCP 2222 se usa comúnmente como puerto alternativo de SSH. Puede aparecer en hosts bastión, máquinas de desarrollo, endpoints SSH de contenedores, servicios Git autoalojados, plataformas de hosting de código o entradas de login remoto separadas por entorno.
Mover SSH de 22 a 2222 no hace que el servicio sea seguro por sí mismo. Puede reducir algo de ruido de escaneo del puerto predeterminado, pero la seguridad real sigue dependiendo de autenticación por claves, desactivar contraseñas débiles, restricciones de origen, MFA, acceso por bastión, auditoría y cuentas de mínimo privilegio.
No rebajes el riesgo solo porque 2222 sea un puerto no estándar. Si el servicio detrás es SSH, trátalo como punto de administración remota, revisando especialmente login de root, login por contraseña, contraseñas vacías, claves obsoletas y reutilización de cuentas.
Si 2222 debe exponerse en producción, restringe IP de origen o colócalo detrás de una VPN, host bastión o capa de acceso de confianza cero, y mantén auditoría de login, alertas de fallos e rotación de claves.
Al diagnosticar, revisa configuración del listener sshd, grupos de seguridad cloud, firewalls de host, mapeos de puertos de contenedores, ajustes del servicio Git, parámetros de puerto del cliente y si la red del usuario bloquea SSH saliente.
Telnet Alternate
Puerto alternativo común de Telnet, visto a menudo en dispositivos de red heredados, sistemas embebidos, IoT y entornos de prueba.
Detalles
El puerto TCP 2323 se usa comúnmente como puerto alternativo de Telnet. Suele aparecer en routers heredados, cámaras, dispositivos de control industrial, sistemas embebidos, entornos de laboratorio, interfaces de depuración de proveedor o equipos que conservan métodos antiguos de administración.
El puerto 2323 no es más seguro que el 23. Si el servicio detrás es Telnet, usuarios, contraseñas, comandos y respuestas pueden seguir transmitiéndose en texto claro y ser capturados u observados en redes no confiables.
Muchos gusanos y escáneres IoT buscan Telnet tanto en 23 como en 2323, probando cuentas predeterminadas, contraseñas débiles, puertas traseras de proveedor o vulnerabilidades de firmware antiguo.
Si 2323 aparece expuesto a Internet, confirma primero el tipo de dispositivo, versión de firmware, cuentas predeterminadas, perímetro de administración y si Telnet puede desactivarse o reemplazarse por SSH.
Los entornos de producción no deberían exponer acceso estilo Telnet a Internet. Si no puede eliminarse de inmediato, restríngelo a una red de administración, VPN u orígenes confiables, y revisa contraseñas predeterminadas, acceso anónimo y modo de depuración.
Docker API
Puerto de Docker Remote API sin cifrar; exponerlo suele equivaler a abrir una interfaz de control de host con alto privilegio.
Detalles
El puerto TCP 2375 se usa comúnmente para acceso sin cifrar a Docker Remote API. Si el demonio Docker escucha en este puerto, clientes remotos pueden usar la API HTTP para administrar imágenes, contenedores, redes, volúmenes y algunos recursos relacionados con el host.
El puerto 2375 es extremadamente riesgoso porque normalmente carece de TLS y a menudo está mal configurado sin autenticación. Cualquiera que acceda a la API Docker podría crear contenedores privilegiados, montar directorios del host, leer archivos sensibles, escribir tareas programadas o ganar control indirecto del host.
Este puerto no debería aparecer en activos públicos ni ser ampliamente alcanzable siquiera dentro de una red interna normal. Incluso en desarrollo, una API Docker sin cifrar puede ser abusada por otras máquinas de la misma red, contenedores maliciosos, trabajos CI o aplicaciones comprometidas.
Si la administración remota de Docker es realmente necesaria, opciones más seguras incluyen usar Docker context sobre SSH, activar TLS mutuo en 2376 o administrar cargas mediante sistemas de orquestación controlados como Kubernetes, Nomad o plataformas CI/CD.
Si 2375 aparece abierto, revisa de inmediato flags de inicio de dockerd, daemon.json, overrides de systemd, ajustes de la plataforma de contenedores y reglas de grupos de seguridad. Si estuvo expuesto a una red no confiable, investiga también contenedores inesperados, imágenes, volúmenes montados, cambios en archivos del host y registros de acceso.
Docker API TLS
Puerto de Docker Remote API con TLS, usado para administración remota controlada del demonio Docker.
Detalles
El puerto TCP 2376 se usa comúnmente para Docker Remote API con TLS. Como 2375, puede administrar remotamente el demonio Docker, pero normalmente exige certificados de cliente y servidor para cifrado y verificación de identidad.
El puerto 2376 es más seguro que 2375 sin cifrar, pero sigue siendo una interfaz de administración de alto privilegio. Un usuario con un certificado de cliente válido normalmente puede crear contenedores, descargar imágenes, montar volúmenes, modificar redes e influir en el límite de seguridad del host mediante capacidades de contenedores.
En producción, 2376 debería exponerse solo a redes de administración controladas, sistemas CI/CD, hosts bastión o nodos de operación explícitamente autorizados. Los certificados de cliente deben protegerse, rotarse con regularidad y revocarse cuando empleados salen, dispositivos se pierden o pipelines filtran credenciales.
Muchos entornos no necesitan exponer directamente Docker Remote API. Administrar Docker sobre SSH, usar Kubernetes o Nomad, o ejecutar builds y despliegues mediante runners CI controlados suele ser más fácil de auditar y aislar.
Al diagnosticar 2376, revisa si dockerd tiene tlsverify activado, si certificados de servidor y cliente coinciden, si los valores CN/SAN del certificado cubren la dirección de acceso, si los firewalls permiten el puerto y si DOCKER_HOST, DOCKER_TLS_VERIFY y DOCKER_CERT_PATH están configurados correctamente en el cliente.
etcd Client
Puerto de API cliente de etcd y punto crítico de entrada al estado, configuración y metadatos del plano de control de Kubernetes.
Detalles
El puerto TCP 2379 es el puerto común de API cliente de etcd. etcd es un almacén distribuido clave-valor que suele contener estado de clúster Kubernetes, metadatos de objetos, configuración, leases, datos de coordinación del plano de control y referencias a algunos datos sensibles.
El Kubernetes API Server accede a etcd por 2379. Las aplicaciones de negocio normales no deberían conectarse directamente a etcd; deberían interactuar con el estado del clúster mediante la API de Kubernetes, controladores o interfaces de plataforma.
El puerto 2379 es uno de los puertos más sensibles del plano de control de Kubernetes. Si se expone incorrectamente, atacantes pueden leer objetos del clúster, información de descubrimiento de servicios y datos de configuración, o incluso modificar el estado del clúster si autenticación y TLS están mal configurados.
etcd en producción debería usar TLS, autenticación con certificado de cliente, acceso de origen minimizado y permitir solo al API Server, trabajos de backup y unos pocos componentes de administración controlados. No expongas el puerto cliente de etcd a nodos, redes de Pods, redes de oficina ni Internet.
Al diagnosticar acceso a etcd, revisa caducidad de certificados, permisos de certificados de cliente, consistencia de endpoints, salud del quorum, latencia de disco, backups de snapshots y si los firewalls permiten 2379 solo desde componentes del plano de control.
etcd Peer
Puerto de comunicación entre pares etcd, usado para replicación Raft, elección de líder y mantenimiento de consistencia.
Detalles
El puerto TCP 2380 es el puerto común de comunicación entre pares de etcd. Se usa principalmente entre miembros del clúster etcd para replicación del log Raft, elección de líder, sincronización de estado de miembros y mantenimiento de consistencia.
El puerto 2380 tiene un papel distinto al 2379: 2379 es el puerto de API cliente, normalmente usado por Kubernetes API Server, trabajos de backup o herramientas de administración; 2380 es el puerto interno de comunicación entre nodos etcd.
Si 2380 está bloqueado, tiene alta latencia o certificados mal configurados, el clúster etcd puede sufrir miembros inalcanzables, elecciones fallidas, escrituras no disponibles, pérdida de quorum e inestabilidad más amplia del plano de control de Kubernetes.
Este puerto no debe exponerse a Internet, redes de oficina, redes de Pods ni redes ordinarias de nodos. En producción, permite comunicación solo entre miembros reales de etcd y acompáñala con certificados TLS de pares, gestión de lista de miembros, reglas de firewall y aislamiento de red.
Al diagnosticar 2380, revisa URL de pares, valores SAN de certificados, sincronización horaria de nodos, resolución DNS o de nombres, latencia de red, E/S de disco, lista de miembros, logs Raft y política de firewall. La simple alcanzabilidad del puerto no suele bastar para demostrar que el clúster etcd está sano.
Oracle TCPS
Puerto de conexión Oracle Database cifrado con TLS, usado para acceso seguro a bases de datos mediante TCPS.
Detalles
El puerto TCP 2484 se usa comúnmente para Oracle Database TCPS, es decir Oracle Net sobre TLS. Sirve para establecer conexiones cifradas de base de datos entre clientes, servidores de aplicaciones y Oracle Listener.
El puerto 2484 suele entenderse junto con 1521: 1521 es el puerto predeterminado común de Oracle Listener, mientras que 2484 es más habitual cuando está habilitado el acceso a base de datos protegido por TLS. Al diagnosticar, verifica cadena de conexión, nombre de servicio, SID, wallet, cadena de certificados y configuración del listener.
TCPS protege la ruta de transporte, pero no significa que el punto de entrada de la base de datos pueda exponerse a cualquier origen público. Los puertos de base de datos siguen siendo puntos de entrada de alto valor, y una exposición incorrecta puede derivar en ataques de contraseña, enumeración de servicios, sondeo de versiones, acceso con permisos débiles o fuga de datos.
Los entornos de producción deberían acceder a 2484 mediante redes internas, VPC, VPN, conectividad privada, hosts bastión o servidores de aplicaciones controlados, junto con restricciones de origen, cuentas de mínimo privilegio, autenticación fuerte, auditoría, monitorización de inicios fallidos y gestión del ciclo de vida de certificados.
Al diagnosticar fallos de conexión en 2484, comprueba si el cliente se conecta con TCPS, si wallet y cadena de confianza son correctos, si el nombre del certificado coincide con la dirección de acceso, si el listener tiene TCPS habilitado, si el servicio de base de datos está registrado y si firewalls o grupos de seguridad permiten la conexión.
ZooKeeper Follower
Puerto interno de comunicación ZooKeeper de seguidor a líder, usado para sincronización de datos y replicación de estado.
Detalles
El puerto TCP 2888 se usa comúnmente para comunicación interna entre seguidores de ZooKeeper y el líder. No es el puerto de acceso de clientes de ZooKeeper; los clientes suelen conectarse al 2181.
En un ensemble ZooKeeper, 2888 se usa para replicación entre nodos, sincronización de estado y comunicación normal de seguidor a líder, mientras que 3888 se usa comúnmente para elección de líder. Ambos son puertos internos del clúster y no deben confundirse con el puerto de cliente.
Si 2888 está bloqueado por un firewall, afectado por problemas de resolución DNS o expuesto a alta latencia entre nodos, los nodos ZooKeeper pueden no unirse correctamente al clúster, y sistemas dependientes como Kafka, HBase, SolrCloud, Dubbo u otros sistemas distribuidos pueden volverse inestables.
Los entornos de producción deberían permitir 2888 solo entre miembros del clúster ZooKeeper. No debería estar abierto a Internet, redes generales de aplicaciones ni hosts no relacionados. Para despliegues entre centros de datos o entre VPC, usa grupos de seguridad explícitos, reglas de firewall y redes privadas para controlar el acceso.
Al diagnosticar 2888, revisa la lista de servidores en zoo.cfg, resolución de nombres, red entre nodos, valores myid, latencia de disco, salud de la JVM, compatibilidad de versiones y si 2181, 2888 y 3888 están permitidos según sus respectivos roles.
Node.js / Grafana Dev
Puerto común para apps web, servidores de desarrollo frontend y Grafana; el propósito real depende del proceso que escucha.
Detalles
El puerto TCP 3000 es muy común en entornos de desarrollo, prueba y monitorización. Node.js, Express, Next.js, servidores de desarrollo React/Vite, NestJS, servicios mock locales, herramientas internas y Grafana pueden escuchar en este puerto.
El puerto 3000 no tiene un significado único. Puede ser un servidor temporal de desarrollo, un panel Grafana de producción, una página interna de administración, un servicio API o una entrada mapeada desde un contenedor, así que el tipo de servicio no debe inferirse solo por el número de puerto.
Si el servicio es Grafana, céntrate en autenticación, acceso anónimo, permisos de fuentes de datos, contenido de dashboards y permisos de consulta. Grafana puede exponer nombres de host, etiquetas de métricas, topología de servicios, consultas PromQL y estado interno del sistema.
Si el servicio es un frontend o servidor de desarrollo Node.js, normalmente no debería exponerse directamente a Internet. Los servicios de desarrollo pueden incluir endpoints de hot reload, rutas de código fuente, trazas detalladas de error, configuración de pruebas, reglas de proxy laxas o lógica de autenticación incompleta.
Al investigar el puerto 3000, revisa el proceso real que escucha, mapeos de puertos de contenedores, configuración de proxy inverso, systemd, pm2, Docker Compose, Kubernetes Services y registros de acceso. En producción, 3000 suele mantenerse mejor en localhost, una red de contenedores o una red interna, con acceso público enrutado por una entrada unificada 80/443.
HTTP Proxy / Squid
Puerto común de proxy HTTP y Squid, usado para proxies de salida empresariales, proxies de caché y retransmisión de red.
Detalles
El puerto TCP 3128 es un puerto de escucha muy común para Squid y proxies HTTP. Se usa a menudo para proxy de salida empresarial, caché, depuración de desarrollo, pools de proxy para crawlers, retransmisión de acceso interno y pasarelas controladas a Internet.
El riesgo de un puerto proxy no es que se comporte como una página web normal, sino que puede convertirse en una ruta hacia otras redes o a través de ellas. Si está mal configurado, usuarios externos pueden usarlo para alcanzar recursos internos, ocultar su origen real, saltarse controles de salida o lanzar solicitudes de escaneo.
Si 3128 está expuesto a Internet, verifica si se exige autenticación, si los destinos permitidos están restringidos, si CONNECT está permitido hacia puertos arbitrarios, si se conservan registros de acceso y si puede convertirse en proxy abierto.
Un proxy abierto puede causar tráfico abusivo, solicitudes no deseadas, inclusión de IP en listas de bloqueo, problemas de cumplimiento y sondeo de recursos internos. Aunque el proxy no almacene datos de negocio, puede exponer indirectamente límites de red y rutas de acceso.
En producción, 3128 debería limitarse a redes de oficina, pasarelas de salida, redes de monitorización o rangos de clientes controlados, con autenticación, ACL, listas de destinos permitidos, auditoría y monitorización de tráfico anómalo.
Global Catalog
Puerto de consulta de Global Catalog de Active Directory, usado para buscar usuarios, grupos y objetos de directorio entre dominios.
Detalles
El puerto TCP 3268 es el puerto común de Global Catalog de Active Directory. El Global Catalog almacena un conjunto parcial de atributos de objetos en un bosque AD, permitiendo buscar usuarios, grupos, contactos y otros objetos de directorio entre dominios.
Comparado con LDAP normal en 389, el puerto 3268 está más enfocado en consultas de directorio entre dominios. Aplicaciones empresariales, sistemas de correo, plataformas de identidad y herramientas de búsqueda de directorio pueden usarlo para localizar objetos rápidamente en un bosque AD.
El puerto 3268 no debería exponerse como punto de entrada público normal. Puede revelar cuentas, estructura organizativa, relaciones de grupos, direcciones de correo, atributos de objetos y pistas del entorno de dominio, información valiosa para enumeración de cuentas, ingeniería social y ataques posteriores de autenticación.
Los entornos de producción deberían restringir 3268 a controladores de dominio, servicios de identidad, servidores de aplicaciones confiables y redes de administración. Si el contenido de consulta necesita protección de transporte, considera el puerto Global Catalog protegido con TLS 3269.
Al diagnosticar 3268, revisa DNS, alcanzabilidad del controlador de dominio, base de búsqueda LDAP, filtros, permisos de cuenta, relaciones de confianza entre dominios, reglas de firewall y si la aplicación debería conectarse al Global Catalog en lugar de LDAP normal.
Global Catalog SSL
Puerto de Global Catalog de Active Directory protegido con TLS para consultas cifradas de directorio entre dominios.
Detalles
El puerto TCP 3269 se usa comúnmente para Global Catalog sobre SSL/TLS, permitiendo acceso cifrado al Global Catalog de Active Directory.
La relación entre 3269 y 3268 es similar a LDAPS y LDAP: 3268 es el puerto de consulta Global Catalog en claro, mientras que 3269 empieza con TLS y es más adecuado para proteger contenido sensible de consulta como cuentas, estructura organizativa, relaciones de grupos y atributos de objetos de directorio.
Incluso con TLS activado, 3269 sigue siendo un puerto de infraestructura de identidad y no debería exponerse directamente a Internet. Una exposición incorrecta puede permitir enumeración de cuentas, filtración de estructura de directorio, divulgación de relaciones de grupos y ampliación de la superficie de ataque de identidad.
En producción, permite 3269 solo desde servidores de aplicaciones de confianza, plataformas de identidad, sistemas de correo, herramientas de administración y redes relacionadas con controladores de dominio, junto con gestión de certificados, restricciones de origen, cuentas de mínimo privilegio y auditoría.
Al diagnosticar fallos de conexión en 3269, comprueba si el certificado del controlador de dominio es válido, si el cliente confía en la cadena, si la dirección de acceso coincide con el nombre del certificado, si la cadena de conexión de la aplicación usa el puerto correcto y si los firewalls permiten la conexión.
MySQL
Puerto predeterminado de MySQL y MariaDB, usado por aplicaciones, clientes y herramientas de administración para conectarse a instancias de base de datos.
Detalles
El puerto TCP 3306 es el puerto de conexión predeterminado más común para MySQL y MariaDB. Aplicaciones backend, clientes de base de datos, scripts de migración, herramientas BI, plataformas de administración, trabajos de backup y scripts de operación lo usan habitualmente para acceder a instancias de base de datos.
El puerto 3306 es un puerto de base de datos muy escaneado en Internet. Los atacantes suelen intentar sondeo de versiones, cuentas predeterminadas, contraseñas débiles, fuerza bruta, acceso no autorizado, cuentas administrativas expuestas y explotación de vulnerabilidades conocidas.
Las bases de datos de producción normalmente no deberían exponer 3306 directamente a Internet. Un patrón más seguro es que los servidores de aplicaciones se conecten mediante redes internas, VPC, conectividad privada, VPN, hosts bastión, pools de conexión o endpoints privados de base de datos cloud.
Causas comunes de fallos de conexión MySQL incluyen mysqld sin escuchar en una dirección de red, bind-address limitado a 127.0.0.1, cuenta sin permitir login remoto, desajuste entre usuario y host de origen, bloqueos de firewall o grupo de seguridad, requisitos TLS incompatibles o cadena de conexión apuntando a la instancia equivocada.
Si MySQL debe accederse entre redes, usa listas de IP de origen permitidas, autenticación fuerte, cuentas de mínimo privilegio, cifrado TLS, auditoría, monitorización de consultas lentas, monitorización de inicios fallidos y validación regular de backup y restauración. Cambiar solo el puerto predeterminado no resuelve de forma significativa el riesgo de exposición de la base de datos.
RDP
Puerto predeterminado de Escritorio Remoto de Windows, usado para login gráfico, administración de servidores y sesiones remotas.
Detalles
El puerto TCP 3389 es el puerto predeterminado de RDP, Remote Desktop Protocol. Se usa comúnmente para Windows Server, escritorios Windows, instancias cloud, entornos de salto y administración remota gráfica.
RDP ofrece una sesión de escritorio completa y no solo una shell de línea de comandos. Tras iniciar sesión, los usuarios pueden ejecutar aplicaciones gráficas, administrar archivos, usar redirección de portapapeles, mapear unidades locales u operar una consola de servidor, por lo que debe tratarse como punto de administración remota altamente sensible.
Exponer 3389 a Internet es de alto riesgo. Los atacantes escanean RDP continuamente e intentan contraseñas débiles, password spraying, fuerza bruta, reutilización de credenciales, vulnerabilidades históricas y configuraciones débiles de escritorio remoto.
Los entornos de producción deberían preferir VPN, hosts bastión, acceso de confianza cero, Remote Desktop Gateway o redes de administración controladas en lugar de exponer 3389 directamente a todos los orígenes públicos.
Si RDP debe ser alcanzable, activa Network Level Authentication, restringe IP de origen, usa MFA o Remote Desktop Gateway, configura políticas de bloqueo de cuenta, desactiva logins administrativos innecesarios y monitoriza inicios fallidos, horarios inusuales y ubicaciones de origen inesperadas.
Al diagnosticar fallos RDP, comprueba si Escritorio Remoto está activado, si Windows Firewall y grupos de seguridad cloud permiten la conexión, si la cuenta tiene derechos de login remoto, si NLA es compatible, si el servidor alcanzó su límite de sesiones y si una política de seguridad o EDR bloquea el acceso.
STUN / TURN
Puerto TCP de respaldo para STUN/TURN, usado para mejorar la conectividad de WebRTC y comunicación en tiempo real en redes restringidas.
Detalles
El puerto TCP 3478 se usa comúnmente como ruta de transporte TCP para STUN/TURN. Comparado con UDP, suele ser una opción de respaldo en redes restringidas, entornos con firewall o configuraciones de proxy empresarial para mejorar la alcanzabilidad de WebRTC, voz, vídeo y servicios de comunicación en tiempo real.
STUN ayuda a los clientes a descubrir su dirección pública asignada por NAT. TURN retransmite medios o datos cuando falla la conectividad directa peer-to-peer. TCP 3478 normalmente no es la ruta multimedia preferida, pero se vuelve importante cuando UDP está bloqueado.
Usar TCP 3478 puede mejorar el éxito de conexión, pero la calidad de audio y vídeo en tiempo real suele ser menos estable que con UDP. Latencia, jitter y control de congestión pueden afectar la calidad de la llamada.
Los servicios TURN consumen ancho de banda del servidor porque retransmiten tráfico. Sin autenticación, cuotas, restricciones de origen y monitorización de abuso, pueden usarse indebidamente como relays abiertos.
Los despliegues de producción deberían usar credenciales de corta duración, restringir el alcance del relay, monitorizar tráfico anómalo y diagnosticar conectividad junto con UDP 3478, TLS 5349 y rutas de respaldo por 443.
STUN / TURN
Puerto UDP común para STUN/TURN, usado por WebRTC, llamadas de voz y vídeo, y comunicación en tiempo real para atravesar NAT.
Detalles
El puerto UDP 3478 es uno de los puertos STUN/TURN más comunes. Se usa ampliamente en WebRTC, videoconferencias, llamadas de voz, aulas en línea, colaboración remota y aplicaciones interactivas en tiempo real.
STUN ayuda a los clientes a descubrir la dirección y el puerto públicos asignados por NAT para intentar conectividad peer-to-peer. TURN actúa como servidor de retransmisión para flujos multimedia o datos cuando falla la conectividad directa.
Muchos casos en los que los usuarios pueden entrar a una reunión pero no tienen audio o vídeo no se deben a la aplicación, sino a fallos en UDP 3478, acceso al relay TURN, rangos de puertos multimedia, comportamiento NAT o política de firewall.
UDP suele ser más adecuado para audio y vídeo en tiempo real porque tiene menor latencia y menos sobrecarga, pero también es más probable que esté restringido por redes empresariales, firewalls, operadores o políticas de seguridad estrictas.
Si TURN carece de autenticación, credenciales de corta duración, cuotas y protección contra abuso, puede usarse como relay abierto, causando consumo de ancho de banda, más coste y riesgo de tráfico anómalo.
Los entornos de producción deberían restringir la política de relay, habilitar credenciales temporales y registros, y ofrecer rutas de respaldo como TCP 3478, TLS 5349 o 443 para mejorar la conectividad en redes complejas.
ZooKeeper Election
Puerto de elección de líder de ZooKeeper, usado para votación y coordinación entre miembros del clúster.
Detalles
El puerto TCP 3888 se usa comúnmente para tráfico de elección de líder de ZooKeeper. Los nodos ZooKeeper lo usan para votación, elección de líder y coordinación de estado de miembros.
El puerto 3888 no es un puerto de cliente de negocio y no debería ser accedido por aplicaciones normales. Los clientes ZooKeeper suelen conectarse al 2181; la sincronización de seguidor a líder usa comúnmente 2888; la elección de líder usa comúnmente 3888.
Si 3888 está bloqueado, tiene alta latencia o sufre problemas de resolución de nombres entre nodos, ZooKeeper puede fallar al elegir líder, marcar nodos como fuera de línea repetidamente, sufrir inestabilidad de sesiones o hacer que servicios dependientes queden no disponibles.
Este puerto solo debería estar abierto entre miembros del clúster ZooKeeper. No debería exponerse a Internet, redes de oficina, segmentos normales de aplicación ni hosts no relacionados. Una exposición incorrecta aumenta el riesgo de sondeo de topología del clúster y fuga del plano de control interno.
Al diagnosticar 3888, revisa valores myid, lista de servidores, resolución de nombres, red entre nodos, reglas de firewall, sincronización horaria, latencia de disco, logs de ZooKeeper y salud del ensemble.
EPMD
Puerto de Erlang Port Mapper Daemon, usado habitualmente para descubrimiento de nodos RabbitMQ y Erlang.
Detalles
El puerto TCP 4369 lo usa EPMD, Erlang Port Mapper Daemon. Funciona como un registro de puertos para sistemas distribuidos Erlang: los nodos se registran con EPMD al arrancar y otros nodos lo usan para encontrar el puerto real de comunicación de un nodo destino.
RabbitMQ, CouchDB, Ejabberd, Riak y otros sistemas construidos sobre Erlang/OTP pueden depender de EPMD para descubrimiento de nodos y establecimiento de conexiones distribuidas.
El puerto 4369 normalmente no es el puerto de cliente de negocio para enviar o recibir mensajes. En RabbitMQ, por ejemplo, 5672/5671 atienden clientes AMQP, 15672 es la interfaz de administración, 25672 se usa comúnmente para comunicación entre nodos y 4369 ayuda a que los nodos Erlang se descubran entre sí.
EPMD debería limitarse al clúster o a redes de administración controladas. La exposición pública de 4369 puede revelar nombres de nodos Erlang, estructura de clúster y puertos de comunicación posteriores, dando a atacantes pistas útiles sobre la topología de RabbitMQ o Erlang.
Al diagnosticar fallos de unión a clúster RabbitMQ, revisa 4369, 25672, la cookie Erlang, nombres de nodos, resolución DNS o de host, compatibilidad de versiones, reglas de firewall y logs del clúster.
IPsec NAT-T
Puerto IPsec NAT Traversal usado para establecer túneles VPN cuando clientes o pasarelas están detrás de NAT.
Detalles
El puerto UDP 4500 se usa para IPsec NAT Traversal, normalmente llamado NAT-T. Encapsula tráfico IPsec ESP dentro de UDP para que clientes o pasarelas VPN puedan establecer túneles IPsec incluso si están detrás de NAT, routers domésticos, redes de operador o redes cloud.
El puerto 4500 suele aparecer junto con UDP 500. UDP 500 gestiona la negociación IKE inicial; cuando ambos lados detectan NAT, el tráfico IPsec posterior suele moverse a UDP 4500. Los despliegues L2TP/IPsec también pueden implicar UDP 1701.
Al diagnosticar fallos de VPN IPsec, revisar solo UDP 500 no basta. Muchos casos donde la negociación empieza pero el túnel no levanta se deben a que UDP 4500 está bloqueado por firewall, grupo de seguridad, dispositivo NAT o política del operador.
UDP 4500 puede estar expuesto en una pasarela VPN, pero representa un límite de seguridad hacia una red privada. Los despliegues de producción deberían usar claves precompartidas fuertes o autenticación por certificados, restringir pares permitidos, registrar logs de negociación y monitorizar orígenes inusuales, fallos repetidos e intentos sospechosos.
Development / Flask
Puerto web común de desarrollo y pruebas, usado por Flask, APIs locales, servicios simulados y herramientas internas.
Detalles
El puerto TCP 5000 es común en entornos de desarrollo. Servidores de desarrollo Flask, APIs Python, servicios mock locales, paneles de depuración, herramientas internas y servicios mapeados desde contenedores pueden escuchar en este puerto.
El puerto 5000 no tiene un significado fijo único. Puede ser un servicio local de desarrollo, una API backend expuesta desde un contenedor, un servicio de modelo, un sitio de prueba, una consola interna o una herramienta temporal de diagnóstico.
Los servidores de desarrollo normalmente no deberían exponerse directamente a Internet. Pueden incluir modo debug, trazas detalladas de error, cuentas de prueba, ajustes CORS débiles, secretos predeterminados, hot reload o endpoints internos que omiten la autenticación de producción.
Si el tráfico de producción realmente usa el puerto 5000, suele ser mejor mantenerlo ligado a localhost, una red de contenedores o una red interna, y exponerlo externamente mediante Nginx, Ingress, una API gateway, un balanceador o una entrada unificada por 443.
Al investigar el puerto 5000, identifica primero el proceso real que escucha, mapeo de puerto del contenedor, configuración systemd/pm2/Docker Compose/Kubernetes y reglas de proxy inverso. No asumas que es Flask solo por el número de puerto.
Development HTTPS
Puerto HTTPS común de desarrollo, usado para pruebas TLS locales, ASP.NET Core y APIs internas.
Detalles
El puerto TCP 5001 se usa comúnmente por servicios locales de desarrollo HTTPS. Los entornos de desarrollo ASP.NET Core suelen usar 5000 para HTTP y 5001 para HTTPS; APIs de prueba personalizadas, herramientas internas y servicios de desarrollo también pueden reutilizarlo.
El puerto 5001 suele indicar que el servicio tiene TLS activado, pero eso no lo hace listo para exposición pública en producción. Certificados de desarrollo, certificados autofirmados, middleware de depuración, páginas de error detalladas y configuración de prueba todavía pueden introducir riesgo.
Si el puerto 5001 aparece en un activo público, confirma primero si es una entrada intencional de producción o un servicio de desarrollo, API de prueba, mapeo de contenedor o consola interna expuestos por accidente.
Los despliegues de producción suelen colocar 5001 detrás de un proxy inverso, balanceador o Ingress, con 443 gestionando TLS público, autenticación, logs y límites de tasa. El puerto 5001 normalmente debería mirar solo a localhost, una red de contenedores o una red interna controlada.
Al diagnosticar 5001, comprueba si el servicio realmente escucha con HTTPS, si el certificado es confiable, si SNI o encabezados Host coinciden, si el firewall permite la conexión y si está emparejado con un servicio HTTP en 5000.
SIP
Puerto de señalización SIP VoIP usado para registro telefónico, establecimiento de llamadas, negociación de sesiones y comunicación con gateways de voz.
Detalles
El puerto UDP 5060 es el puerto clásico de señalización SIP. SIP se usa para registro de teléfonos VoIP, establecimiento y cierre de llamadas, negociación de sesiones, comunicación de extensiones, sistemas PBX y señalización entre gateways de voz.
SIP gestiona señalización, no la carga real de voz. El audio o vídeo real suele usar RTP/RTCP sobre un rango UDP de puertos multimedia, a menudo empezando alrededor de puertos como 10000 según la configuración de PBX o SBC.
Muchos casos en los que una llamada conecta pero no tiene audio no se deben al puerto 5060 en sí. La causa raíz suele estar en puertos multimedia RTP, política de firewall, comportamiento NAT, configuración SBC, trunking del operador o negociación de direcciones SDP.
Exponer SIP públicamente es de alto riesgo. Los atacantes pueden intentar enumeración de extensiones, fuerza bruta de registros, contraseñas débiles, fraude de llamadas internacionales, escaneo SIP, fraude de llamadas o secuestro de registros.
Los entornos de producción suelen proteger 5060 con un SBC, política de firewall, autenticación fuerte, restricciones de origen, límites de llamadas, alertas de llamadas anómalas y auditoría. Una superficie de registro PBX o de extensiones no debería exponerse a todo Internet sin controles.
SIPS
Puerto de señalización SIP sobre TLS, usado para cifrar registro VoIP, autenticación y establecimiento de llamadas.
Detalles
El puerto TCP 5061 se usa comúnmente para SIP sobre TLS, también llamado SIPS. Transporta señalización SIP dentro de un canal cifrado con TLS para proteger registro, autenticación, establecimiento de llamadas y negociación de sesiones.
El puerto 5061 protege la capa de señalización, pero no necesariamente cifra el audio o vídeo. La confidencialidad multimedia depende de si se usa SRTP y de si el rango de puertos RTP está bien configurado.
5061 aparece comúnmente en sistemas telefónicos empresariales, SBC, despliegues PBX, trunks SIP de operadores, clientes softphone y entornos VoIP que requieren señalización cifrada.
Incluso con TLS, SIPS sigue necesitando autenticación fuerte, restricciones de origen, gestión de certificados, política de llamadas, protección de registros y monitorización de llamadas anómalas. TLS protege el transporte; no evita automáticamente abuso de cuentas ni fraude telefónico.
Al diagnosticar 5061, revisa si el cliente tiene TLS habilitado, si la cadena de certificados es confiable, si SNI o dominio SIP coinciden, si la PBX o SBC tiene listener TLS activado y si los puertos multimedia y ajustes SRTP también funcionan.
TURN over TLS
Puerto TURN sobre TLS, usado para retransmitir audio y vídeo WebRTC por un canal cifrado en redes restringidas.
Detalles
El puerto TCP 5349 se usa comúnmente para TURN sobre TLS. Transporta tráfico de relay TURN mediante una conexión cifrada con TLS y aparece a menudo en WebRTC, videoconferencias, llamadas de voz, aulas en línea, colaboración remota y sistemas de comunicación en tiempo real.
TURN se usa cuando los clientes no pueden comunicarse directamente peer-to-peer, por lo que un servidor retransmite el flujo multimedia o de datos. Comparado con UDP 3478, TCP/TLS 5349 suele ser una ruta de respaldo para redes empresariales, firewalls estrictos o entornos que solo permiten conexiones salientes cifradas.
El puerto 5349 puede mejorar el éxito de conexión, pero también consume ancho de banda y capacidad de relay del servidor. Si TURN carece de autenticación, credenciales de corta duración, cuotas o monitorización de abuso, usuarios externos pueden abusarlo como relay abierto.
Los despliegues de producción deberían limitar el alcance del relay, usar credenciales temporales y control de acceso, monitorizar tráfico inusual y diagnosticarlo junto con 3478, 443 y los rangos de puertos multimedia configurados.
mDNS
Puerto de Multicast DNS usado para descubrimiento local de dispositivos y resolución de nombres .local en LAN.
Detalles
El puerto UDP 5353 es el puerto estándar de mDNS, Multicast DNS. Permite que dispositivos en la misma red local se descubran entre sí y resuelvan nombres .local sin depender de un servidor DNS tradicional.
mDNS es común con Bonjour, AirPrint, Chromecast, dispositivos NAS, impresoras, dispositivos de hogar inteligente, placas de desarrollo, IoT y entornos locales de depuración. Está diseñado para descubrimiento en enlace local, no para servicios públicos de Internet.
Si el puerto 5353 aparece en resultados de escaneo público, revisa si un router, firewall, dispositivo IoT, impresora, NAS o configuración de host está exponiendo accidentalmente tráfico local de descubrimiento a Internet.
mDNS puede revelar nombres de dispositivos, modelos, tipos de servicio, nombres de host y pistas de activos locales. Los entornos de producción deberían mantenerlo limitado al enlace local o redes internas controladas y no enrutarlo a Internet.
LLMNR
Puerto de resolución de nombres LLMNR en enlace local, usado habitualmente por Windows como respaldo para búsqueda de hosts.
Detalles
El puerto UDP 5355 se usa para LLMNR, Link-Local Multicast Name Resolution. Cuando DNS no puede resolver un nombre, los clientes Windows pueden usar LLMNR para preguntar a otros hosts en el enlace local.
LLMNR está pensado solo para redes locales o uso en enlace local. No es un servicio público de Internet y puede exponer nombres de host, pistas de dominio, patrones internos de nombres y estructura de activos de red.
En seguridad empresarial, LLMNR suele asociarse con rutas de ataque de suplantación de resolución de nombres y relay de credenciales. Un atacante puede hacerse pasar por el host solicitado y provocar que los clientes envíen intentos de autenticación al destino incorrecto.
Si el entorno ya tiene DNS confiable y resolución de nombres de Active Directory, LLMNR suele deshabilitarse o restringirse en líneas base de endurecimiento. UDP 5355 no debería estar abierto en límites públicos o no confiables.
PostgreSQL
Puerto predeterminado de PostgreSQL, usado por aplicaciones, clientes, pools de conexión y herramientas de administración.
Detalles
El puerto TCP 5432 es el puerto de conexión predeterminado de PostgreSQL. Aplicaciones backend, psql, herramientas de administración de bases de datos, sistemas BI, scripts de migración, pools de conexión y trabajos de sincronización lo usan habitualmente para acceder a instancias PostgreSQL.
El control de acceso de PostgreSQL depende de más que tener el puerto abierto. listen_addresses, pg_hba.conf, método de autenticación, permisos de roles de base de datos y ajustes SSL/TLS influyen en si un cliente puede conectarse. Muchos fallos de conexión se deben a pg_hba.conf o desajustes de autenticación, no a conectividad básica.
El puerto 5432 es un punto de entrada de base de datos de alto valor y no debería exponerse a todos los orígenes públicos. Las bases de datos de producción suelen accederse mediante redes internas, VPC, enlaces privados, VPN, hosts bastión, pools de conexión controlados o servidores de aplicaciones.
Si PostgreSQL debe ser alcanzable entre redes, usa listas de IP de origen permitidas, autenticación fuerte, roles de mínimo privilegio, cifrado TLS, auditoría, límites de conexión, controles de backup y recuperación, y monitorización de comportamiento anómalo de login.
Al diagnosticar 5432, revisa si postgres escucha en la dirección esperada, si firewalls y grupos de seguridad permiten tráfico, si pg_hba.conf coincide con el origen del cliente, si usuario y base de datos son correctos, si el modo SSL coincide y si el pool de conexiones está agotado.
Kibana
Puerto web predeterminado de Kibana, usado para consultar datos de Elasticsearch y ver logs, dashboards y analítica de seguridad.
Detalles
El puerto TCP 5601 es el puerto web predeterminado de Kibana. Kibana normalmente se conecta a Elasticsearch y se usa para ver logs, métricas, resultados de búsqueda, dashboards, alertas, eventos de seguridad y analítica visual.
El puerto 5601 no es solo un puerto de sitio estático. Detrás de él, los usuarios pueden acceder a logs, nombres de índices, mapeos de campos, información de hosts, nombres internos de servicios, consultas, trazas de error y datos de investigación de seguridad.
Exponer Kibana directamente a Internet es riesgoso. Incluso dashboards y páginas de consulta de solo lectura pueden revelar topología interna, métricas de negocio, comportamiento de usuarios, logs de errores y pistas de superficie de ataque.
En producción, Kibana debería estar detrás de autenticación centralizada, VPN, acceso bastión, acceso de confianza cero o un proxy inverso controlado, con aislamiento de espacios, permisos basados en roles, auditoría y restricciones de origen configuradas.
Al diagnosticar 5601, verifica que Kibana esté ejecutándose, que pueda conectarse a Elasticsearch, que proxy inverso y basePath sean correctos, que la autenticación esté aplicada y que puertos de Elasticsearch como 9200 y 9300 no estén expuestos accidentalmente.
AMQP over TLS / RabbitMQ TLS
Puerto AMQP sobre TLS, usado habitualmente para conexiones cifradas de clientes a RabbitMQ y otros brokers de mensajería.
Detalles
El puerto TCP 5671 se usa comúnmente para AMQP sobre TLS. RabbitMQ y otros brokers AMQP lo usan para ofrecer conexiones cifradas a productores, consumidores, trabajos en segundo plano y servicios internos.
La relación entre 5671 y 5672 es similar a entradas cifradas y en texto claro. El puerto 5672 suele ser AMQP sin cifrar, mientras que 5671 realiza el handshake TLS desde el inicio de la conexión. Es más adecuado para rutas de mensajería entre redes, entre nubes, híbridas o sensibles.
TLS solo protege los datos en tránsito. No sustituye los permisos de RabbitMQ. Cuentas de usuario, contraseñas, vhosts, exchanges, colas, bindings, ACL, límites de conexión y políticas de auditoría siguen necesitando configuración correcta.
Este puerto normalmente debería ser alcanzable solo por servidores de aplicaciones, workers, mallas de servicios controladas o clientes internos de mensajería. No debería exponerse directamente a Internet; si se requiere acceso entre redes, restringe orígenes, exige autenticación fuerte, usa certificados confiables y monitoriza conexiones anómalas.
Al diagnosticar 5671, confirma que el cliente realmente use TLS, que la cadena de certificados sea confiable, que SNI o validación de hostname coincidan, que el broker tenga listener TLS habilitado y que el cliente tenga permisos para acceder al vhost y colas destino.
AMQP / RabbitMQ
Puerto de conexión de clientes AMQP usado por RabbitMQ para publicación, consumo y tráfico de colas de tareas.
Detalles
El puerto TCP 5672 es el puerto común de AMQP 0-9-1 y el puerto predeterminado de conexión de clientes RabbitMQ. Productores, consumidores, workers, colas de tareas y servicios internos lo usan para publicar, consumir y confirmar mensajes.
El puerto 5672 transporta tráfico de mensajes de negocio, no la consola de administración RabbitMQ. Las aplicaciones usan exchanges, colas, routing keys, bindings, acknowledgements, ajustes de prefetch y flujos dead-letter para soportar procesamiento asíncrono, distribución de tareas, entrega de eventos y suavizado de tráfico.
Si 5672 se expone incorrectamente, clientes externos pueden intentar conectarse al broker, enumerar vhosts, leer o escribir mensajes, consumir colas, falsificar eventos o sobrecargar el broker con conexiones excesivas.
En producción, 5672 normalmente debería limitarse a redes internas de aplicación, clústeres de workers, mallas de servicios o rangos controlados de clientes. En redes no confiables, prefiere TLS, SASL o autenticación fuerte, ACL, cuotas, auditoría y restricciones de origen.
Al diagnosticar 5672, comprueba si RabbitMQ escucha, si el vhost existe, si las credenciales son correctas, si permisos de exchange y cola permiten la operación, si se alcanzaron límites de conexión y si heartbeat, prefetch y acknowledgements son razonables.
VNC
Puerto base de escritorio remoto VNC, normalmente mapeado a la pantalla :0 para acceso gráfico a un host remoto.
Detalles
El puerto TCP 5900 es el puerto base más común de VNC y suele corresponder a la pantalla :0. VNC se usa para ver y controlar escritorios gráficos, y aparece a menudo en escritorios Linux, consolas de máquinas virtuales, consolas KVM/IPMI, sistemas de laboratorio, dispositivos embebidos y herramientas de operación.
VNC proporciona acceso gráfico a escritorio remoto, por lo que su perfil de riesgo se acerca al de otros puntos de administración remota como RDP. Las implementaciones VNC varían mucho en autenticación, cifrado, portapapeles, transferencia de archivos y aislamiento de sesiones, así que una contraseña por sí sola no basta para asumir que es seguro.
Exponer 5900 a Internet es de alto riesgo. Los escáneres suelen probar contraseñas débiles, contraseñas vacías, problemas de protocolos antiguos y sesiones sin cifrar. Si accede, un atacante puede ver directamente el escritorio, controlar la sesión u operar consolas administrativas.
Para acceso gráfico remoto en producción, usa VPN, hosts bastión, túneles SSH, pasarelas dedicadas de acceso remoto o consolas del proveedor cloud en lugar de exponer 5900 directamente a Internet.
Al diagnosticar 5900, verifica que el servicio VNC esté ejecutándose, que el número de pantalla sea correcto, que escuche solo en localhost o direcciones internas cuando corresponda, que autenticación y cifrado estén habilitados, que el firewall restrinja orígenes y que sesiones adicionales como 5901 o 5902 no estén expuestas sin intención.
VNC Display 1
Puerto común de pantalla VNC :1, normalmente usado para una segunda sesión de escritorio remoto.
Detalles
El puerto TCP 5901 suele corresponder a la pantalla VNC :1. Los puertos VNC se calculan comúnmente como 5900 más el número de pantalla, de modo que :0 mapea a 5900, :1 a 5901 y :2 a 5902.
El puerto 5901 aparece a menudo en escritorios Linux multiusuario, escritorios virtuales, sistemas de laboratorio, máquinas de enseñanza remota, sesiones vncserver iniciadas manualmente y despliegues VNC multiinstancia.
Su riesgo es esencialmente el mismo que 5900. Pasar de 5900 a 5901 no reduce el impacto de seguridad; si el servicio detrás es VNC, debe seguir tratándose como punto de administración de escritorio remoto.
Si este puerto está expuesto públicamente, revisa contraseñas débiles, contraseñas vacías, sesiones sin cifrar, exposición de escritorio compartido, fuga de portapapeles o acceso directo a un escritorio administrativo.
Al diagnosticar 5901, confirma que la sesión :1 existe, que vncserver arrancó correctamente, que el entorno de escritorio cargó, que la autenticación está bien configurada, que el firewall restringe orígenes y si el acceso debería pasar por VPN, host bastión o túnel SSH.
VNC Display 2
Puerto común de pantalla VNC :2, normalmente usado para una tercera sesión de escritorio remoto o una instancia VNC adicional.
Detalles
El puerto TCP 5902 suele corresponder a la pantalla VNC :2. Los puertos VNC se calculan comúnmente como 5900 más el número de pantalla, por lo que 5902 suele representar la tercera sesión gráfica de escritorio.
El puerto 5902 es común en escritorios Linux multiusuario, entornos de laboratorio, escritorios virtuales, máquinas de enseñanza remota, hosts de prueba y servicios VNC multiinstancia. Su propósito exacto depende de los parámetros de arranque del servidor VNC y de la configuración de sesión.
Sus propiedades de seguridad son las mismas que 5900 y 5901. Un puerto más alto o vecino no lo hace más seguro, y no debe tratarse como puerto de aplicación ordinario si detrás hay VNC.
La exposición pública de 5902 puede llevar a divulgación del escritorio, control remoto, observación de credenciales mientras se escriben o manejo directo de herramientas de administración. Debe limitarse a orígenes confiables y preferiblemente alcanzarse por VPN, host bastión o túnel SSH.
Al diagnosticar, verifica número de pantalla, estado de sesión VNC, ajustes de autenticación y cifrado, entorno de escritorio, dirección de escucha, mapeo de puerto y reglas de firewall para evitar que sesiones temporales de prueba queden expuestas a largo plazo.
WinRM HTTP
Puerto de administración remota WinRM sobre HTTP, usado para PowerShell Remoting, despliegue de configuración y automatización Windows.
Detalles
El puerto TCP 5985 es el puerto predeterminado de WinRM sobre HTTP. Se usa comúnmente para PowerShell Remoting, administración por scripts, ejecución remota de comandos, gestión de configuración y operaciones de servidores Windows a gran escala.
WinRM es un punto de administración remota de Windows, no un puerto de aplicación ordinario. Incluso cuando usa HTTP, la autenticación puede apoyarse en Kerberos, NTLM, certificados o política de dominio, pero el transporte en sí no equivale a cifrado HTTPS.
Este puerto normalmente debería estar abierto solo dentro de un dominio, red de administración, ruta de bastión, plataforma de automatización o grupo controlado de servidores. La exposición pública de 5985 es extremadamente riesgosa porque puede ampliar la superficie para ejecución remota de comandos, credential spraying, movimiento lateral y compromiso automatizado.
Si WinRM debe usarse entre límites de red, prefiere HTTPS en el puerto 5986 y combínalo con listas de IP de origen permitidas, política de dominio, cuentas de mínimo privilegio, auditoría, JEA, MFA o un host bastión.
Al diagnosticar 5985, revisa si el servicio WinRM está habilitado, si los listeners están bien configurados, si Windows Firewall permite el tráfico, si la autenticación de dominio funciona, si TrustedHosts se está abusando, si las cuentas tienen privilegios excesivos y si existe mapeo público de puerto innecesario.
WinRM HTTPS
Puerto de administración remota WinRM sobre HTTPS, usado para PowerShell Remoting cifrado y automatización Windows.
Detalles
El puerto TCP 5986 es el puerto predeterminado de WinRM sobre HTTPS. Cifra con TLS el tráfico de administración remota de Windows y se usa comúnmente para PowerShell Remoting, configuración automatizada, ejecución remota de comandos y operación de flotas de servidores.
Comparado con 5985, el puerto 5986 proporciona cifrado de transporte y encaja mejor con rutas de administración entre redes o de mayor seguridad. Sigue siendo un punto de administración remota, así que el riesgo permanece alto si autenticación, autorización o controles de origen están mal configurados.
Este puerto no debe tratarse como un puerto web HTTPS normal. WinRM puede ejecutar comandos administrativos, leer información del sistema, cambiar configuración y desplegar servicios, por lo que límites de privilegio, cuentas de mínimo privilegio y controles de auditoría son esenciales.
En producción, permite 5986 solo desde hosts bastión, plataformas de automatización, redes de administración o nodos de operación confiables. Usa certificados confiables, autenticación fuerte, reglas explícitas de firewall y auditoría completa de comandos.
Al diagnosticar 5986, verifica que exista el listener HTTPS, que el certificado sea válido, que el hostname coincida, que el cliente confíe en la cadena de certificados, que el mecanismo de autenticación sea correcto y que la política de red permita acceso al puerto destino.
Redis
Puerto predeterminado de Redis, usado para caché, sesiones, colas, limitación de tasa y servicios de estructuras de datos en memoria.
Detalles
El puerto TCP 6379 es el puerto predeterminado de Redis. Redis se usa comúnmente para caché, almacenamiento de sesiones, tablas de clasificación, bloqueos distribuidos, limitación de tasa, colas, contadores en tiempo real y servicios de estructuras de datos en memoria.
Los datos detrás de 6379 suelen ser estado de ejecución muy valioso, como sesiones de login, códigos de verificación, estado de trabajos, cachés de negocio, tokens, contenido de colas o configuración temporal. No es un puerto inocuo de solo lectura; un acceso indebido puede afectar directamente lógica de negocio y consistencia de datos.
Muchos despliegues antiguos de Redis asumían que solo sería alcanzable desde redes privadas y por eso usaban autenticación débil o ninguna. Si una instancia así se mapea accidentalmente a Internet o queda permitida por un grupo de seguridad, el resultado puede ser acceso no autorizado, divulgación de datos, borrado, manipulación de configuración o inyección maliciosa de trabajos.
Redis en producción no debería exponerse públicamente. Vincúlalo a direcciones privadas, habilita autenticación y ACL, restringe IP de origen, desactiva o renombra comandos peligrosos cuando corresponda, usa TLS o red privada, y monitoriza consultas lentas, comandos sospechosos y picos de conexión.
Al diagnosticar 6379, revisa si Redis escucha accidentalmente en 0.0.0.0, si requirepass o ACL están habilitados, si protected mode está activo, si los grupos de seguridad cloud están restringidos, si los pools de conexión de clientes son anómalos y si hay sondeos no autenticados o registros de comandos sospechosos.
Redis TLS / Alternative
Puerto Redis TLS o conexión alternativa usado habitualmente en Redis administrado, acceso cifrado e implementaciones personalizadas.
Detalles
El puerto TCP 6380 se usa habitualmente como puerto TLS de Redis o como puerto alternativo de conexión, especialmente en servicios Redis en la nube, plataformas de caché administradas, despliegues cifrados personalizados y entornos con varias instancias.
El puerto 6380 no define por sí mismo un protocolo Redis nuevo. Normalmente indica que un equipo o proveedor cloud separó el acceso cifrado, una instancia alternativa o un entorno específico del puerto 6379 predeterminado. Siempre conviene verificar el listener real y la configuración del cliente.
Incluso con TLS, Redis sigue necesitando autenticación, ACL, restricciones de origen y controles de permisos por comando. TLS protege el transporte; no impide que un usuario autenticado lea, escriba o elimine datos críticos más allá de sus permisos previstos.
Si este puerto es accesible desde internet pública, confirma de inmediato si el acceso entre redes es realmente necesario. En la mayoría de los casos, Redis debe vivir en una red privada, una subred de aplicación o una malla de servicios controlada, no como punto público de entrada a una base de datos.
Al diagnosticar 6380, revisa si el cliente tiene TLS habilitado, si certificados y nombres de host coinciden, si las ACL son correctas, si los grupos de seguridad o firewalls limitan los orígenes y si el cliente se conecta por error a otra instancia o entorno de Redis.
Kubernetes API Server
Puerto seguro predeterminado del Kubernetes API Server y punto central de entrada al plano de control del clúster.
Detalles
El puerto TCP 6443 es el puerto seguro habitual del Kubernetes API Server y el punto central de entrada al plano de control del clúster. kubectl, controladores, planificadores, plataformas de operación, sistemas CI/CD y herramientas de administración cloud pueden interactuar con el clúster a través de él.
El API Server no es una API web ordinaria. Puede leer y modificar Pods, Secrets, ConfigMaps, Services, Ingresses, políticas RBAC, Nodes, Deployments y otros recursos críticos. Con permisos excesivos, acceder a él puede equivaler en la práctica a controlar todo el clúster.
Un 6443 accesible públicamente no siempre es incorrecto por definición, porque Kubernetes administrado y modelos de operación remota pueden requerir acceso al API Server. Aun así, debe protegerse con autenticación fuerte, RBAC, listas de orígenes permitidos, auditoría, certificados, OIDC o MFA y políticas de mínimo privilegio.
Si 6443 está expuesto de forma incorrecta, los atacantes pueden intentar enumerar la API, forzar credenciales, abusar de kubeconfig débiles, robar o reutilizar tokens de ServiceAccount o desplegar cargas maliciosas mediante permisos RBAC demasiado amplios.
Al diagnosticar 6443, verifica certificados del API Server, métodos de autenticación, reglas RBAC, política de auditoría, controles de admisión, que el acceso anónimo esté deshabilitado, que los orígenes permitidos estén muy acotados y que otros puertos del plano de control, como etcd, kubelet, controller-manager y scheduler, también estén protegidos.
Syslog over TLS
Puerto de transporte Syslog cifrado para entregar registros de auditoría y operación entre servidores, dispositivos y plataformas de logs.
Detalles
El puerto TCP 6514 se usa habitualmente para Syslog sobre TLS, que añade cifrado TLS al transporte tradicional de logs Syslog. Suele aparecer en auditoría de seguridad, logging centralizado, canales SIEM, dispositivos de red, servidores y agentes cloud de reenvío de logs.
Frente al UDP 514 tradicional o Syslog en texto claro, 6514 encaja mejor en rutas de logs entre redes, centros de datos o entornos con mayores requisitos de seguridad. Ayuda a reducir el riesgo de que el contenido de los logs sea interceptado, falsificado o alterado durante el tránsito.
Los datos de logs suelen incluir nombres de host, cuentas, direcciones privadas, rutas de acceso, pilas de error, eventos de seguridad y detalles de excepciones de negocio. Aunque no sea un puerto de aplicación de negocio, no debe exponerse a orígenes no confiables.
En producción, 6514 solo debería aceptar tráfico de clientes de logs, agentes o dispositivos de red confiables. Usa validación de certificados, control de versiones TLS, listas de orígenes permitidos, comprobaciones de integridad de logs y monitoreo de tráfico anómalo.
Al diagnosticar 6514, revisa si los certificados de cliente y servidor coinciden, si el handshake TLS se completa, si la plataforma receptora puede analizar el formato de log, si la política de red permite la conexión y si la plataforma de logs está encolando o descartando eventos.
IRC
Puerto clásico de IRC en texto claro usado para canales de chat, conexiones de bots y comunicación comunitaria heredada.
Detalles
El puerto TCP 6667 es el puerto clásico de conexión IRC en texto claro. IRC se usa habitualmente para chat por canales, comunidades técnicas, bots de automatización, notificaciones de alerta, comunidades de videojuegos y algunos sistemas heredados de comunicación en tiempo real.
El puerto 6667 normalmente no proporciona cifrado de transporte. Mensajes de canal, apodos, comandos y algunos datos de autenticación pueden viajar en texto claro. Para uso público, suele ser preferible IRC sobre TLS en puertos como 6697.
Un servicio IRC no es peligroso automáticamente, pero al exponerse públicamente puede atraer spam, abuso de bots, acoso en canales, intentos con contraseñas débiles o agrupación de conexiones anónimas. El acceso anónimo, la política de registro y los permisos de operadores son especialmente importantes.
Si 6667 aparece en un escaneo de activos o servidores de la empresa, verifica si se trata de un servicio IRC real, un servicio interno de bots o alguna otra aplicación que reutiliza el puerto. No clasifiques el servicio solo por el número de puerto.
En producción, restringe los orígenes, habilita registro de cuentas y permisos por rol, registra conexiones y operaciones de canales, y migra a un puerto con TLS cuando sea posible. Los servicios IRC internos o de bots suelen estar mejor detrás de una VPN, una red privada o un límite de acceso controlado.
IRCS
Puerto común de IRC sobre TLS para conexiones cifradas a servidores de chat IRC y servicios de bots.
Detalles
El puerto TCP 6697 se usa habitualmente para IRC sobre TLS, cifrando la comunicación entre clientes y servidores IRC. Suele utilizarse en redes IRC modernas, sistemas de chat comunitario, notificaciones de bots y servicios de comunicación en tiempo real que necesitan proteger datos de inicio de sesión.
Comparado con IRC en texto claro sobre 6667, el puerto 6697 ayuda a proteger la autenticación de apodos, los mensajes de canal y el tráfico de comandos frente a interceptación o manipulación sencilla. No resuelve automáticamente permisos de cuentas, gobierno de canales ni abuso de bots.
Si este puerto está expuesto públicamente, confirma si el servicio IRC realmente necesita acceso público, si usa un certificado válido, si restringe conexiones anónimas y si existen límites de tasa, controles de abuso, listas de bloqueo y auditoría de operadores.
El puerto 6697 también puede reutilizarse para servicios TLS personalizados. Durante la investigación, confirma la aplicación real mediante certificados TLS, banners, procesos en escucha, logs de aplicación y configuración del proxy inverso.
En producción, usa certificados confiables, autenticación fuerte, cuentas de bot con mínimo privilegio, límites de conexión y logs completos. Los servicios IRC internos o de notificaciones automatizadas suelen estar mejor restringidos a una red privada o VPN.
IRC Alternate / App Server
Puerto alternativo común para IRC, servicios de aplicación o sistemas personalizados; su significado real depende del listener y la respuesta del protocolo.
Detalles
El puerto TCP 7000 no tiene un único significado fijo. Algunas redes IRC lo usan como puerto alternativo, pero también pueden usarlo aplicaciones Java, middleware, servicios de depuración, plataformas internas y sistemas de negocio personalizados.
Cuando 7000 está abierto, no lo clasifiques automáticamente como IRC ni como servicio web. Confirma el servicio real con el nombre del proceso, banner, certificado TLS, respuesta HTTP, logs de aplicación, mapeos de puertos de contenedores y reglas del proxy inverso.
Si aloja IRC, las principales preocupaciones son acceso anónimo, comunicación en texto claro, abuso de bots y permisos de canales. Si aloja un servicio de aplicación, los riesgos pueden incluir API sin autenticación, modo de depuración, páginas administrativas expuestas o filtración de API internas.
El puerto 7000 suele ser reutilizado temporalmente por equipos. Los problemas habituales incluyen servicios de prueba olvidados, mapeos de contenedores incorrectos, reglas de firewall demasiado amplias, interfaces de administración expuestas y confusión entre varias instancias de servicio.
En producción, asigna una propiedad clara a este puerto, restringe los orígenes de acceso y añade autenticación, logging y monitoreo. Si solo es un servicio temporal de prueba, un endpoint de desarrollo o una entrada heredada, retíralo o muévelo detrás de una capa de acceso unificada.
WebLogic
Puerto común de Oracle WebLogic que puede exponer aplicaciones de negocio, una consola administrativa o partes internas del middleware.
Detalles
El puerto TCP 7001 es uno de los puertos predeterminados comunes de Oracle WebLogic. Puede servir aplicaciones web Java, la WebLogic Administration Console, AdminServer, instancias Managed Server u otros servicios relacionados con middleware.
El riesgo de 7001 depende de lo que esté realmente expuesto. Si apunta a una consola administrativa o a una entrada de middleware con privilegios altos, la exposición pública aumenta mucho el riesgo de contraseñas débiles, acceso no autorizado, fallos de deserialización, vulnerabilidades históricas de componentes y fuga de configuración.
WebLogic suele situarse entre aplicaciones de negocio, bases de datos, colas de mensajes y servicios internos. Si se compromete, puede dar a un atacante acceso a capacidades de despliegue de aplicaciones, archivos de configuración, credenciales de orígenes de datos, recursos JNDI o rutas de red internas.
Los entornos de producción deberían evitar exponer 7001 directamente a internet pública. Un patrón mejor es colocar el tráfico de negocio detrás de un proxy inverso o balanceador en 80/443, mientras la consola administrativa queda restringida a una VPN, bastión o red de administración.
Al diagnosticar 7001, verifica si sirve una aplicación de negocio o un endpoint administrativo, revisa la versión y el nivel de parches de WebLogic, la autenticación de la consola, cuentas predeterminadas, exposición JMX o T3, reglas del proxy inverso, logs de acceso y cualquier mapeo público innecesario.
WebLogic SSL
Puerto HTTPS común de Oracle WebLogic que puede exponer aplicaciones cifradas, una consola administrativa o servicios internos de middleware.
Detalles
El puerto TCP 7002 se usa habitualmente como punto de acceso SSL/TLS para Oracle WebLogic. Puede servir aplicaciones web Java cifradas, la WebLogic Administration Console, AdminServer, instancias Managed Server u otros servicios relacionados con middleware.
Los puertos 7001 y 7002 suelen aparecer juntos: 7001 se usa comúnmente para HTTP sin cifrar o para un endpoint de administración predeterminado, mientras 7002 se usa para HTTPS. TLS no vuelve seguro exponer el puerto públicamente, sobre todo si delante hay una superficie administrativa con privilegios.
Si 7002 apunta a la WebLogic Administration Console, el riesgo es mucho mayor que en una página web normal. Los atacantes pueden probar contraseñas débiles, cuentas predeterminadas, vulnerabilidades históricas, fallos de deserialización, exposición T3/JMX o fuga de configuración.
En producción, el tráfico de negocio suele estar mejor detrás de un proxy inverso, balanceador o gateway. Los endpoints administrativos de WebLogic deberían restringirse a una VPN, bastión, red de administración o lista explícita de orígenes permitidos.
Al investigar 7002, confirma el proceso en escucha, la configuración de certificados, la versión y el nivel de parches de WebLogic, si la consola está expuesta, si la autenticación es suficientemente fuerte, si los logs de acceso están completos y si existe algún mapeo público innecesario.
Development Web
Puerto web común de desarrollo y pruebas usado por apps locales, Django, servidores HTTP de Python, API de prueba y herramientas internas.
Detalles
El puerto TCP 8000 es un puerto web muy común para desarrollo y pruebas. Suele usarse con servidores HTTP simples de Python, servidores de desarrollo de Django, vistas previas de archivos estáticos, API de prueba, herramientas internas y páginas temporales de depuración.
El puerto 8000 no tiene un significado de protocolo fijo. Puede ser una página local de desarrollo inofensiva, pero también puede exponer una página administrativa sin protección, un endpoint de depuración, documentación Swagger, listado de directorios, una API de prueba o un servicio interno mapeado desde un contenedor.
El riesgo principal no es el puerto en sí, sino que servicios de desarrollo queden expuestos accidentalmente a internet pública. Los servidores de desarrollo suelen carecer de autenticación de nivel productivo, límites de tasa, auditoría, ocultación de errores, TLS, aislamiento de permisos y cabeceras de seguridad.
Si 8000 aparece en un activo público, verifica si realmente necesita acceso público. Los servicios temporales de prueba, páginas de vista previa y API internas normalmente deberían restringirse a una red privada, VPN o gateway unificado.
Durante la revisión, comprueba el proceso en escucha, framework, cabeceras HTTP, navegación de directorios, modo de depuración, fuga de variables de entorno, mapeos de puertos de contenedores y reglas del proxy inverso para evitar dejar una entrada de desarrollo en línea como si fuera producción.
DNS Alternate
Puerto DNS alternativo usado a menudo por resolvers de prueba, servicios DNS internos, backends de gateway DNS o rutas de reenvío cifrado.
Detalles
El puerto TCP 8053 suele usarse como puerto DNS alternativo. Aparece con frecuencia en resolvers de prueba, servicios DNS internos, backends de gateways DNS sobre HTTPS o DNS sobre TLS, componentes DNS en contenedores y servicios experimentales de resolución.
No es un puerto estándar predeterminado para consultas de clientes, así que cuando 8053 esté abierto primero confirma el protocolo real. Puede atender consultas DNS, o puede ser simplemente otra aplicación reutilizando el puerto.
Si 8053 ofrece resolución DNS recursiva, presta especial atención a si se convirtió en un resolver abierto. La recursión DNS sin restricciones puede provocar consultas abusivas, fuga de dominios internos, riesgos de privacidad o uso dentro de una cadena de ataque más amplia.
Si 8053 es el puerto backend de un gateway DNS cifrado, en general no debería exponerse directamente a internet pública. Solo debería aceptar tráfico de un proxy frontal, gateway o servicio controlado.
Al diagnosticar, revisa puertos relacionados como 53, 853 y 443, y verifica el comportamiento UDP/TCP, la política de recursión, restricciones de transferencia de zona, resolvers ascendentes, logs de acceso y reglas de firewall.
HTTP Alternate
Uno de los puertos HTTP alternativos más comunes, usado por servidores de aplicación, proxies inversos, interfaces administrativas, servicios de desarrollo y apps web en contenedores.
Detalles
El puerto TCP 8080 es uno de los puertos HTTP alternativos más comunes. Se usa con frecuencia en Tomcat, Jetty, Spring Boot, servicios proxy, aplicaciones web internas, servidores de desarrollo, páginas administrativas y mapeos de contenedores.
El significado real de 8080 depende del proceso en escucha. Puede ser una página normal de negocio, pero también una consola administrativa, una API sin autenticación, un endpoint proxy, un servicio de depuración, la página predeterminada de un servidor de aplicaciones o un entorno temporal de prueba.
Muchos equipos usan 8080 como punto de entrada HTTP junto al puerto 80, pero eso puede crear brechas de seguridad: el sitio principal en 443 puede tener autenticación y protecciones, mientras 8080 evita por accidente el gateway, WAF, SSO o controles de acceso.
Si 8080 está expuesto públicamente, confirma si se requiere acceso público, si existen autenticación, TLS, proxy inverso, límites de tasa, logs de acceso y cabeceras de seguridad, y si se exponen páginas predeterminadas, aplicaciones de ejemplo o consolas administrativas.
En producción, normalmente es mejor consolidar el tráfico público detrás de 80/443 o de un gateway unificado. Si 8080 solo se usa para servicios internos, health checks o depuración, restringe sus orígenes de acceso y evita dejarlo expuesto directamente.
HTTP Alternate
Puerto HTTP secundario común para instancias web alternativas, API internas, páginas administrativas, servicios de depuración o mapeos de contenedores.
Detalles
El puerto TCP 8081 se usa habitualmente como puerto HTTP secundario. Suele aparecer en aplicaciones web con varias instancias, páginas administrativas alternativas, API internas, servicios de depuración, entornos de desarrollo y despliegues en contenedores.
El puerto 8081 no tiene un significado de negocio fijo. Aparece con frecuencia junto a 8080, 8000, 3000 y 5000 en entornos de desarrollo o microservicios para separar aplicaciones, contenedores o versiones de servicio.
El riesgo suele venir de puertos temporales que quedan activos. El puerto 8081 puede exponer una interfaz administrativa fuera de la autenticación unificada, una API de prueba, modo de depuración, pilas de error, documentación de API o detalles de servicios internos.
Si este puerto aparece en un activo público, verifica si evita el gateway, WAF, SSO, política TLS o controles de acceso usados por la entrada oficial. Presta especial atención a cuentas predeterminadas, endpoints sin autenticación y navegación de directorios.
En producción, deja explícitos el propietario y propósito de este puerto. El tráfico público de negocio debería consolidarse detrás de un punto de entrada unificado, mientras las API internas, health checks y servicios de depuración deberían limitarse a redes privadas, sistemas de monitoreo, VPN o listas fijas de orígenes permitidos.
HTTPS Alternate
Puerto HTTPS alternativo común usado por servidores de aplicación, consolas administrativas, gateways internos y backends de proxy inverso.
Detalles
El puerto TCP 8443 es un puerto HTTPS alternativo común. Suele usarse en Tomcat, Jetty, Spring Boot, Kubernetes Dashboard, servicios gateway, consolas administrativas, API internas y backends de proxy inverso.
El puerto 8443 normalmente indica acceso protegido por TLS, pero tener HTTPS habilitado no significa que sea seguro exponerlo públicamente. Detrás puede haber una página normal de negocio, una consola administrativa privilegiada, un panel de clúster, una plataforma de operaciones o un backend que solo debería alcanzarse desde un gateway.
Muchos entornos usan 443 como punto oficial de entrada pública y reservan 8443 para servidores de aplicación, superficies de administración o reenvío interno. Si 8443 evita el gateway principal, WAF, SSO, controles de acceso o auditoría, puede convertirse en una superficie de ataque oculta.
Si este puerto aparece en un activo público, confirma si el acceso público es realmente necesario. Revisa configuración de certificados, política de autenticación, páginas predeterminadas, consolas administrativas, endpoints de depuración, reglas de proxy inverso y restricciones de origen.
En producción, 8443 suele estar mejor en una red privada, red de administración, VPN, ruta de bastión o backend de balanceador. Si debe ser público, usa autenticación fuerte, TLS endurecido, límites de tasa, logs de auditoría y acceso de mínimo privilegio.
MQTT over TLS
Puerto predeterminado de MQTT sobre TLS para conexiones cifradas entre dispositivos IoT, clientes y brokers de mensajes.
Detalles
El puerto TCP 8883 es el puerto predeterminado de MQTT sobre TLS. Lo usan habitualmente dispositivos IoT, sensores, gateways edge, clientes móviles y servicios backend para conectarse de forma segura a un broker MQTT.
Su relación con 1883 se parece a un par cifrado y no cifrado: 1883 se usa comúnmente para MQTT sin cifrar, mientras 8883 usa TLS para proteger credenciales, suscripciones a Topics y cargas de mensajes durante el tránsito.
TLS por sí solo no basta. Un broker MQTT sigue necesitando comprobaciones fuertes de identidad, autorización por Topic, certificados de cliente o contraseñas fuertes, límites de conexión, límites de tasa de mensajes y logs de auditoría.
Si 8883 está expuesto a internet pública, revisa con cuidado acceso anónimo, cuentas débiles, permisos de Topic demasiado amplios, credenciales de dispositivos reutilizadas y la posibilidad de suscripción no autorizada, publicación falsificada o inundación de mensajes.
En producción, 8883 puede ser un endpoint legítimo y controlado de ingesta de dispositivos, pero debe acompañarse de gestión del ciclo de vida de certificados, ACL, aislamiento de dispositivos, monitoreo de conexiones anómalas y mantenimiento de la versión del broker.
HTTP Alternate / Proxy
Puerto HTTP alternativo común usado por servicios de desarrollo, endpoints proxy, notebooks, páginas de depuración e interfaces administrativas internas.
Detalles
El puerto TCP 8888 es un puerto HTTP alternativo común. Suele usarse con servidores de desarrollo, Jupyter Notebook, herramientas proxy, servicios de depuración, páginas administrativas internas, aplicaciones web personalizadas y entornos temporales de prueba.
El puerto 8888 no tiene un significado de negocio fijo. Puede ser una página web normal, pero también puede exponer un notebook privilegiado, un proxy abierto, un endpoint de depuración, listado de directorios, documentación de API o una interfaz administrativa no integrada con la autenticación central.
El riesgo suele surgir cuando servicios temporales se convierten en exposiciones de larga duración. Los servicios de desarrollo y depuración suelen carecer de autenticación fuerte, TLS, límites de tasa, logs de auditoría y restricciones de origen.
Si 8888 está expuesto públicamente, confirma el proceso en escucha y su propósito real. Presta especial atención a acceso sin autenticación, tokens filtrados, abuso de proxy, modo de depuración, acceso a archivos, rutas de ejecución de comandos o API internas expuestas.
En producción, 8888 normalmente debería permanecer detrás de una red privada, VPN, bastión o gateway unificado. Si solo es un puerto temporal de pruebas, ciérralo tras su uso y elimina las reglas relacionadas de firewall o grupo de seguridad.
MinIO / App Server
Puerto común de la API de almacenamiento de objetos MinIO, también reutilizado a menudo por servidores de aplicación, servicios de depuración y backends personalizados.
Detalles
El puerto TCP 9000 se usa habitualmente para la API de almacenamiento de objetos de MinIO. Clientes, SDK, tareas de backup, gateways y sistemas de negocio pueden usarlo para acceder a buckets y datos de objetos.
El puerto 9000 también se reutiliza a menudo por otras aplicaciones como puerto de servicio personalizado, así que no lo identifiques como MinIO solo por el puerto. Confirma el servicio real mediante respuesta HTTP, certificado, proceso, imagen de contenedor, parámetros de arranque y rutas de petición.
Si es la API de MinIO, el riesgo principal es el acceso a datos de objetos. Una mala configuración puede derivar en buckets públicos, credenciales filtradas, políticas demasiado amplias, subida o descarga no autorizada, o exposición de archivos sensibles.
Si 9000 aloja un servicio de aplicación normal, revisa también si evita el punto oficial de entrada para autenticación, TLS, WAF, enrutamiento de gateway, auditoría o límites de tasa.
En producción, el acceso a la API de MinIO suele estar mejor limitado a redes privadas, gateways dedicados, proxies inversos o rangos de origen controlados. Si se requiere exposición pública, usa autenticación fuerte, políticas de mínimo privilegio, TLS, logs de acceso, revisión de políticas de bucket y monitoreo de descargas anómalas.
MinIO Console
Puerto común de la consola web de MinIO para gestionar buckets, usuarios, políticas de acceso, monitoreo y configuración del almacenamiento de objetos.
Detalles
El puerto TCP 9001 se usa habitualmente para MinIO Console, la interfaz web de administración de MinIO. Los administradores pueden usarla para ver buckets, objetos, usuarios, claves de acceso, políticas, configuración, monitoreo y estado del clúster.
Los puertos 9000 y 9001 suelen aparecer juntos: 9000 se usa normalmente para la API de almacenamiento de objetos, mientras 9001 se usa para administración desde navegador. Ambos se relacionan directamente con la seguridad de datos, pero 9001 concentra el riesgo de gestión.
Si MinIO Console está expuesta a internet pública, los atacantes pueden probar contraseñas débiles, claves de acceso filtradas, configuraciones predeterminadas, vulnerabilidades históricas o secuestro de sesiones. El acceso a la consola puede afectar permisos de buckets, datos de objetos y políticas de acceso.
En producción, 9001 normalmente debería restringirse a una red privada, VPN, bastión, red de administración o capa de identidad unificada. No debería quedar expuesto directamente como punto público normal de entrada.
Al revisar este puerto, comprueba si la consola es necesaria, si TLS está habilitado, si las cuentas administrativas están minimizadas, si el acceso por origen está restringido, si los logs de auditoría están completos, si existen credenciales predeterminadas y si tanto la API 9000 como la Console 9001 están expuestas por error.
Prometheus
Puerto predeterminado de la UI web y API HTTP de Prometheus para consultar métricas, reglas de alerta, objetivos de scraping y estado de monitoreo.
Detalles
El puerto TCP 9090 es el puerto predeterminado de la UI web y la API HTTP de Prometheus. Los operadores lo usan normalmente para ejecutar consultas PromQL, inspeccionar objetivos de scraping, revisar el estado de reglas, analizar métricas y diagnosticar el canal de monitoreo.
El puerto 9090 no suele controlar sistemas de negocio directamente, pero puede exponer mucha información interna, incluidos nombres de servicios, direcciones de instancias, etiquetas, nombres de métricas, objetivos de scraping, reglas de alerta, topología de clúster y estado de ejecución.
Prometheus es valioso para la observabilidad, pero esas mismas métricas también pueden ayudar a atacantes a entender la estructura interna de servicios, nombres de bases de datos, componentes de middleware, escala de hosts, rutas de endpoints y patrones de fallo.
Si 9090 aparece en un activo público, confirma si el acceso público es realmente necesario y revisa si está protegido por autenticación centralizada, VPN, acceso por bastión, proxy inverso o listas de orígenes permitidos.
En producción, 9090 normalmente debería limitarse a usuarios de monitoreo, redes de operaciones o gateways controlados, con autenticación, TLS, logs de auditoría, acceso de mínimo privilegio y manejo seguro de la configuración de Prometheus.
Kafka
Puerto común de cliente para brokers Kafka, usado por productores, consumidores y aplicaciones cliente para leer y escribir mensajes.
Detalles
El puerto TCP 9092 es el puerto de cliente más común para brokers Kafka. Productores, consumidores, trabajos de procesamiento de streams y algunas herramientas de administración lo usan para comunicarse con un clúster Kafka.
Kafka no es un servicio web normal. El tráfico detrás de 9092 suele transportar mensajes de negocio, flujos de eventos, canales de logs, estados de pedidos, comportamiento de usuarios, datos de auditoría o comunicación asíncrona entre sistemas.
El riesgo no se limita a si alguien puede conectarse al broker. También incluye si usuarios no autorizados pueden leer o escribir Topics, descubrir nombres de Topics, inspeccionar grupos de consumidores, acceder al contenido de mensajes o inferir la topología interna del sistema.
La conectividad de Kafka también depende mucho de advertised.listeners. Muchos problemas de Kafka no son simples problemas de alcance del puerto: el cliente puede conectarse al primer broker y luego recibir direcciones de brokers que en realidad no puede alcanzar.
En producción, 9092 normalmente debería limitarse a redes de aplicaciones, redes de plataforma de datos o rutas de red privadas, con SASL, TLS, ACL, autorización por Topic, logs de auditoría y restricciones de origen habilitadas.
Alertmanager / Kafka Alt
Puerto predeterminado de Prometheus Alertmanager, también reutilizado a veces por Kafka u otros servicios como listener alternativo.
Detalles
El puerto TCP 9093 se refiere con mayor frecuencia al puerto predeterminado de Prometheus Alertmanager. Alertmanager recibe, agrupa, silencia, enruta y muestra alertas.
Alertmanager puede contener nombres de servicios, etiquetas de alerta, direcciones de instancias, descripciones de fallos, rutas de notificación, detalles de receptores y pistas sobre la estructura interna de guardias, por lo que no debería exponerse a internet pública sin protección.
El puerto 9093 también puede usarse por Kafka u otros sistemas como puerto alternativo, así que no identifiques el servicio solo por el número de puerto. Confirma el propósito real con el contenido de respuesta, nombre de proceso, imagen de contenedor, configuración y topología de red.
Si el servicio es Alertmanager, revisa si la autenticación está habilitada, si cualquiera puede crear silencios, si se exponen reglas de alerta u objetivos de notificación y si son visibles los nombres internos de servicios.
En producción, 9093 debería estar detrás de una red de monitoreo, red privada, VPN, bastión o proxy de autenticación centralizada, y solo debería ser alcanzable por Prometheus, operadores y componentes de alerta controlados.
Kafka Alternate / TLS
Puerto alternativo o listener TLS común de Kafka, usado a menudo para separar rutas internas, externas, cifradas o autenticadas.
Detalles
El puerto TCP 9094 se usa habitualmente como listener alternativo de Kafka, listener TLS o endpoint con varios listeners. Los equipos suelen usarlo para separar rutas de acceso en texto claro, cifradas, internas, externas, de red de contenedores o entre clústeres.
El puerto 9094 no es un puerto de protocolo Kafka único y fijo. Su significado real depende de los listeners del broker y de la configuración advertised.listeners.
En entornos con contenedores, Kubernetes o varias redes, 9094 suele usarse para clientes externos, clientes TLS o un segmento de red específico. Si está mal configurado, un cliente puede conectarse correctamente al principio y fallar después de recibir metadatos del broker que apuntan a direcciones inalcanzables.
Si este puerto transporta tráfico Kafka, revisa si están habilitados TLS, SASL, ACL, certificados de cliente, permisos de Topic y restricciones de origen.
En producción, 9094 debe tratarse como punto de entrada de infraestructura de datos y no exponerse casualmente a internet pública. Incluso como puerto alternativo, necesita control de acceso a nivel de broker Kafka y cobertura de auditoría.
Node Exporter
Puerto predeterminado de métricas de Prometheus Node Exporter para CPU, memoria, disco, red y estado del sistema del host.
Detalles
El puerto TCP 9100 es el puerto predeterminado de Prometheus Node Exporter. Expone métricas de hosts Linux/Unix como CPU, memoria, disco, sistema de archivos, red, carga, estadísticas de procesos y estado general del sistema.
Node Exporter normalmente no ofrece inicio de sesión ni ejecución de comandos, pero puede exponer información muy detallada del runtime del host. Los atacantes pueden usar esas métricas para inferir escala de hosts, disposición de discos, interfaces de red, patrones de carga, pistas de versión del sistema y comportamiento de servicios.
El puerto 9100 debe tratarse como endpoint de datos de monitoreo, no como una página pública inocua. Incluso métricas en texto claro pueden revelar activos internos, detalles de planificación de capacidad, condiciones de fallo y convenciones de nombres de infraestructura.
Si 9100 está expuesto a internet pública, primero verifica si solo Prometheus puede alcanzarlo y si el acceso está restringido por reglas de firewall, controles de proxy inverso, VPN o grupos de seguridad.
En producción, 9100 normalmente debería ser alcanzable solo desde la red del sistema de monitoreo, aplicando TLS, proxy de autenticación, segmentación de red, minimización de métricas y principios de mínima exposición.
MySQL Exporter
Puerto común de métricas de Prometheus MySQL Exporter para exponer estado de instancias MySQL, conexiones, replicación y rendimiento.
Detalles
El puerto TCP 9104 se usa habitualmente con mysqld_exporter, también conocido como Prometheus MySQL Exporter. Convierte métricas de ejecución de MySQL o MariaDB en métricas HTTP que Prometheus puede recopilar.
Este puerto normalmente no ofrece acceso directo a consultas de base de datos, pero puede exponer conteos de conexiones, datos de consultas lentas, estado de replicación, métricas de InnoDB, estadísticas de tablas, detalles de versión, nombres de instancias y características de rendimiento.
El riesgo principal de 9104 es la divulgación de información. Incluso sin acceso directo al puerto 3306, un atacante puede usar métricas expuestas para inferir escala de la base de datos, topología de replicación, patrones de carga máxima, estados anómalos y convenciones internas de nombres.
En producción, 9104 solo debería ser alcanzable por Prometheus o redes de monitoreo controladas, y no debería exponerse a internet pública. Al diagnosticar métricas faltantes, revisa el proceso exporter, permisos de la cuenta de monitoreo de MySQL, conectividad hacia 3306 y la configuración de scraping de Prometheus.
Blackbox Exporter
Puerto común de Prometheus Blackbox Exporter para sondear disponibilidad de objetivos HTTP, TCP, DNS, ICMP y otros.
Detalles
El puerto TCP 9115 se usa habitualmente con Prometheus Blackbox Exporter. No es la aplicación monitoreada en sí; Prometheus lo llama para sondear activamente objetivos como endpoints HTTP, TCP, DNS e ICMP.
El riesgo principal de Blackbox Exporter es que puede hacer que el nodo de monitoreo envíe sondeos en nombre de otra persona. Sin controles de acceso adecuados, usuarios externos pueden abusar de él para solicitar direcciones internas, endpoints de metadatos cloud o servicios restringidos, creando un riesgo similar a SSRF.
Este puerto también puede exponer el comportamiento de módulos de sondeo, resultados de objetivos, detalles de error y pistas sobre la alcanzabilidad de servicios internos. Aunque no devuelva datos de negocio, puede ayudar a atacantes a mapear límites de red y activos internos.
En producción, 9115 solo debería ser alcanzable por Prometheus o componentes de programación controlados, y el rango de objetivos sondeables debería estar restringido. Al diagnosticar sondeos fallidos, revisa configuración del módulo, URL objetivo, DNS, ruta de red saliente, reglas de firewall y parámetros de scraping de Prometheus.
PostgreSQL Exporter
Puerto común de métricas de Prometheus PostgreSQL Exporter para exponer conexiones, transacciones, bloqueos, replicación y rendimiento de PostgreSQL.
Detalles
El puerto TCP 9187 se usa habitualmente con postgres_exporter, también conocido como Prometheus PostgreSQL Exporter. Expone datos de ejecución y rendimiento de PostgreSQL como métricas que Prometheus puede recopilar.
El puerto 9187 no sirve directamente tráfico de consultas SQL, pero puede exponer conteos de conexiones, estadísticas de transacciones, esperas por bloqueos, estado de replicación, nombres de bases de datos, estadísticas de tablas, información de índices, pistas de versión y salud de instancias.
Si este puerto es alcanzable desde una red no confiable, los atacantes pueden inferir escala de base de datos, patrones de carga, estructura de replicación, estados de fallo y nombres internos de objetos. En exporters de base de datos, las métricas mismas deben tratarse como datos operativos sensibles.
En producción, 9187 solo debería ser alcanzable por Prometheus o redes de monitoreo, y debería usar una cuenta de base de datos con mínimo privilegio. Al diagnosticar problemas de monitoreo de PostgreSQL, revisa el exporter, conectividad hacia 5432, permisos de la cuenta de monitoreo, configuración de consultas personalizadas y estado de scraping de Prometheus.
Elasticsearch HTTP
Puerto predeterminado de la API HTTP de Elasticsearch para consultas de búsqueda, gestión de índices, estado del clúster e ingesta de datos.
Detalles
El puerto TCP 9200 es el puerto predeterminado de la API HTTP de Elasticsearch. Clientes, aplicaciones, Kibana, herramientas de operación y scripts de automatización lo usan habitualmente para ejecutar consultas, indexar documentos, gestionar índices e inspeccionar el estado del clúster.
El puerto 9200 es un punto de entrada de datos de alto riesgo, no solo un puerto web normal. Puede dar acceso a logs, índices de búsqueda, documentos de negocio, datos de comportamiento de usuarios, trazas de error, eventos de seguridad y registros internos del sistema.
Sin autenticación, autorización o restricciones de red, usuarios externos podrían leer contenido de índices, borrar índices, modificar datos, inspeccionar configuración del clúster o usar un clúster expuesto como punto de apoyo para un impacto mayor.
Si 9200 aparece en un activo público, primero verifica si están habilitadas las funciones de seguridad, permisos por rol, TLS, restricciones de origen y auditoría. Depender de nombres de índices oscuros o rutas no publicadas no es una protección efectiva.
En producción, 9200 normalmente debería estar detrás de una red privada, red de aplicación, VPN, gateway o proxy inverso controlado, y no exponerse directamente a todas las fuentes de internet pública.
Elasticsearch Transport
Puerto de transporte nodo a nodo de Elasticsearch para comunicación interna del clúster, descubrimiento de nodos, replicación de shards y sincronización de estado.
Detalles
El puerto TCP 9300 se usa habitualmente para la comunicación de transporte de Elasticsearch. Está pensado principalmente para comunicación interna entre nodos, no para consultas normales de usuarios.
Los nodos del clúster usan este puerto para descubrimiento de nodos, sincronización de estado del clúster, asignación de shards, replicación de datos y reenvío interno de peticiones. Es crítico para la estabilidad y consistencia del clúster Elasticsearch.
Exponer 9300 a redes no confiables es muy arriesgado. Los atacantes pueden sondear nodos del clúster, interferir con la comunicación entre nodos o, en entornos mal configurados, intentar unirse al clúster, inspeccionar estado interno o afectar la colocación de shards y la salud del clúster.
Este puerto normalmente debería estar abierto solo entre nodos Elasticsearch, no para clientes ordinarios, redes de oficina o fuentes de internet pública. En despliegues con varios hosts, grupos de seguridad, firewalls o redes privadas deben limitar estrictamente el acceso nodo a nodo.
Al diagnosticar problemas relacionados con 9300, revisa configuración de descubrimiento de nodos, nombre del clúster, certificados, TLS, red entre nodos, compatibilidad de versiones y reglas de firewall en lugar de tratarlo como un puerto de API HTTP.
Git Protocol
Puerto predeterminado del protocolo nativo de Git, usado habitualmente para descargas anónimas de repositorios públicos; rápido, pero normalmente sin cifrado ni autenticación.
Detalles
El puerto TCP 9418 se usa habitualmente por el protocolo nativo de Git, normalmente con URL como git://host/repo.git. Fue diseñado para transferir objetos Git de forma eficiente y con poca sobrecarga, a menudo para clone y fetch anónimos de repositorios públicos.
El protocolo Git normalmente no proporciona cifrado de transporte y no encaja bien con accesos a código que requieren autenticación, control de permisos o auditabilidad. Los entornos modernos de producción suelen usar más Git sobre SSH, Git sobre HTTPS o acceso controlado mediante una plataforma de alojamiento de código.
Si 9418 está expuesto a internet pública, verifica que solo sirva repositorios de lectura explícitamente públicos y comprueba si podría revelar nombres de proyectos internos, ramas, historial de commits, archivos de configuración, rastros de secretos o código histórico sensible.
No juzgues el servicio solo por el número de puerto. Confirma el proceso en escucha, raíz de repositorios, reglas de exportación, logs de acceso, política de firewall y si algún flujo activo aún depende de él. Si es solo una entrada heredada, migra a HTTPS o SSH y ciérrala.
HTTPS Admin
Puerto HTTPS común de administración usado por consolas, gateways, backends de dispositivos, consolas de almacenamiento de objetos e interfaces de gestión de servidores de aplicación.
Detalles
El puerto TCP 9443 se usa habitualmente como endpoint de administración HTTPS o puerto HTTPS alternativo. Puede alojar consolas de gateway, backends de dispositivos, interfaces administrativas de servidores de aplicación, componentes relacionados con Kubernetes, MinIO Console o plataformas de operaciones personalizadas.
El significado real de 9443 depende mucho del proceso en escucha. Puede parecer HTTPS ordinario, pero detrás puede haber un plano de gestión con privilegios altos, centro de configuración, sistema de gestión de certificados, consola de permisos de usuario, ajustes de auditoría o panel de control de infraestructura.
Si este puerto está expuesto a internet pública, revisa cuidadosamente el método de autenticación, MFA, cuentas predeterminadas, contraseñas débiles, rutas de administración, certificados TLS, reglas de proxy inverso, restricciones de IP origen y logs de auditoría.
En producción, 9443 está mejor detrás de una VPN, bastión, red interna de administración o gateway de identidad centralizado. Si el acceso público es inevitable, usa autenticación fuerte, roles de mínimo privilegio, límites de tasa, alertas y control explícito de acceso por origen.
RTP / VoIP Media
Punto inicial común para rangos de puertos RTP de VoIP, usado a menudo para transportar voz, video o medios en tiempo real de llamadas SIP.
Detalles
El puerto UDP 10000 se usa habitualmente como punto inicial de rangos de puertos de medios RTP/RTCP, especialmente en Asterisk, FreeSWITCH, gateways SIP, sistemas PBX y plataformas de telefonía empresarial.
Los puertos SIP como 5060 y 5061 gestionan principalmente registro, establecimiento de llamada y negociación de sesión. La carga real de voz o video suele fluir por puertos RTP. Muchos casos donde la llamada conecta pero no hay audio se deben realmente a puertos RTP bloqueados por NAT, firewalls o grupos de seguridad.
El puerto 10000 es solo un punto inicial común, no una garantía de que un sistema VoIP use un único puerto fijo. El rango real de medios suele ser un rango de puertos UDP y debe verificarse contra la configuración de PBX, SBC, troncal de operador o WebRTC/TURN.
Los puertos de medios RTP solo deberían permitir pares necesarios y usarse junto con SBC, SRTP, QoS, política NAT y monitoreo de tráfico. Cuando estén expuestos públicamente, evita reglas de permiso demasiado amplias para reducir sondeos, abuso, escucha no autorizada y consumo inesperado de ancho de banda.
Kubelet API
Puerto seguro de la API de Kubelet con capacidades de gestión a nivel de nodo; una de las interfaces privilegiadas más sensibles en un nodo Kubernetes.
Detalles
El puerto TCP 10250 es el puerto seguro de API para Kubelet y se ejecuta en cada nodo Kubernetes. Lo usan el plano de control, componentes de monitoreo o clientes autorizados para consultar estado del nodo, información de Pods, logs de contenedores, métricas de runtime y, en casos controlados, realizar operaciones a nivel de nodo.
Este puerto es muy sensible porque Kubelet está cerca del límite de ejecución del nodo y los contenedores. Si está mal configurado, un atacante podría leer información de contenedores, acceder a logs, inspeccionar cargas de trabajo o, en casos más graves, afectar contenedores que se ejecutan en el nodo.
En producción, 10250 solo debería ser alcanzable desde el Kubernetes API Server, sistemas de monitoreo confiables y componentes necesarios del clúster. Deben estar habilitadas autenticación, autorización y verificación TLS. No lo expongas directamente a internet pública ni a redes internas amplias por comodidad.
Al investigar 10250, revisa flags de kubelet, configuración de certificados, autenticación y autorización webhook, Node authorizer, RBAC, políticas de red, reglas de firewall y grupos de seguridad cloud. Si es alcanzable desde internet, restringe el acceso de inmediato y revisa si hubo exposición no autorizada.
Kubelet Read-only
Puerto heredado de solo lectura de Kubelet usado antes para exponer estado de nodos, Pods y contenedores; los clústeres modernos deberían deshabilitarlo o aislarlo estrictamente.
Detalles
El puerto TCP 10255 es el puerto HTTP heredado de solo lectura de Kubelet. Históricamente se usaba para leer estado del nodo, listas de Pods, información de contenedores y algunas métricas de runtime, a menudo por sistemas de monitoreo o scripts de diagnóstico.
La principal preocupación con este puerto es que tradicionalmente carecía de autenticación y autorización fuertes. Aunque sea de solo lectura, puede exponer nombres de nodos, namespaces, nombres de Pods, imágenes, etiquetas, pistas de entorno, estructura interna de servicios y detalles de cargas de trabajo.
Los entornos Kubernetes modernos en general deberían evitar depender de 10255. Es preferible usar acceso protegido mediante 10250, metrics-server, kube-state-metrics, configuraciones de scraping de Prometheus o el Kubernetes API Server.
Si 10255 aparece abierto, especialmente desde internet pública, primero comprueba si kubelet read-only-port sigue habilitado. En producción, debería estar deshabilitado o al menos restringido a una red de monitoreo confiable, migrando la recolección a endpoints autenticados y autorizados.
kube-proxy healthz
Puerto de health check de kube-proxy usado para verificar que el proxy de red del nodo esté activo; normalmente solo se sondea dentro del clúster.
Detalles
El puerto TCP 10256 se usa habitualmente para el endpoint healthz de kube-proxy. Permite a sondeos locales, balanceadores, nodos o componentes del clúster determinar si kube-proxy funciona correctamente.
kube-proxy mantiene reglas de reenvío desde Services hacia Pods backend usando implementaciones como iptables, IPVS u otro plano de datos. El puerto 10256 normalmente no es una entrada de aplicación, pero refleja la salud del proxy de red del nodo.
Este puerto generalmente no necesita exponerse a internet pública ni ser accedido por usuarios normales. La exposición pública no suele significar control directo del clúster, pero puede filtrar estado de componentes y aumentar la superficie descubrible de nodos Kubernetes.
Al diagnosticar problemas de enrutamiento de Services, revisa el estado health de 10256 junto con logs de kube-proxy, reglas de reenvío del nodo, salud de CNI, rangos NodePort, firewalls y grupos de seguridad. En producción, permite acceso solo desde dentro del clúster o sistemas de monitoreo confiables.
kube-controller-manager
Puerto seguro de kube-controller-manager para acceso interno del plano de control de Kubernetes, con health checks, métricas y estado de controladores.
Detalles
El puerto TCP 10257 es el puerto seguro de kube-controller-manager, normalmente ejecutado en nodos del plano de control de Kubernetes. Expone health checks, métricas y estado relacionado con controladores para componentes del plano de control o sistemas de monitoreo.
kube-controller-manager ejecuta muchos bucles de control, incluidos los de Nodes, Deployments, ReplicaSets, Endpoints, Namespaces, ServiceAccounts y más. Es un componente central del plano de control y no debería exponerse como un servicio de aplicación normal.
Aunque 10257 normalmente no es un endpoint de aplicación orientado directamente al usuario, sigue siendo una interfaz interna del plano de control. Una exposición indebida puede revelar salud del plano de control, métricas, pistas de versión o topología de componentes, y aumenta la probabilidad de escaneos e intentos de ataque.
En producción, restringe 10257 a nodos del plano de control, sondeos locales y sistemas de monitoreo confiables, con TLS, autenticación, autorización, aislamiento de red y auditoría. Si es alcanzable desde internet pública, reduce de inmediato la exposición y revisa la superficie de ataque del plano de control.
kube-scheduler
Puerto seguro de kube-scheduler para componentes de planificación del plano de control de Kubernetes, con health checks, métricas y estado del scheduler.
Detalles
El puerto TCP 10259 es el puerto seguro de kube-scheduler, normalmente ejecutado en nodos del plano de control de Kubernetes. Se usa principalmente para health checks, exposición de métricas y consultas de estado del scheduler.
kube-scheduler selecciona nodos adecuados para Pods recién creados o pendientes. Sus decisiones consideran solicitudes de recursos, afinidad, taints y tolerations, restricciones de topología y políticas de planificación, por lo que es un componente crítico del plano de control.
El puerto 10259 no debe tratarse como un puerto web normal ni como punto de entrada de negocio. Aunque la interfaz sea principalmente para salud y métricas, puede exponer estado del scheduler, pistas de versión, topología del plano de control o características de ejecución del clúster.
En producción, restringe este puerto al plano de control, sondeos locales y sistemas de monitoreo confiables. Al diagnosticar problemas de scheduling, revisa el estado health de 10259 junto con logs del scheduler, eventos, razones de Pods pendientes, recursos de nodos y conectividad con el API Server.
Memcached
Puerto TCP predeterminado de Memcached para caché clave-valor de alta velocidad; la exposición pública puede causar fuga de datos de caché o acceso no autorizado.
Detalles
El puerto TCP 11211 es el puerto de servicio predeterminado de Memcached. Lo usan habitualmente servidores de aplicación para cachear sesiones, resultados de consultas, fragmentos de configuración, objetos temporales y datos clave-valor de acceso frecuente, reduciendo carga de base de datos y mejorando la velocidad de respuesta.
Memcached funciona mejor dentro de una red privada confiable y a menudo asume que los clientes ya están en un entorno controlado. Muchos despliegues no están diseñados como servicios públicos en internet con autenticación.
Si 11211 está expuesto a redes no confiables, los atacantes pueden enumerar o leer valores cacheados, escribir entradas de caché maliciosas, vaciar la caché o inferir estructura de negocio, pistas de sesión y patrones internos de datos a partir del contenido cacheado.
En producción, Memcached debería enlazarse a una dirección privada o loopback y permitir acceso solo desde servidores de aplicación. Usa grupos de seguridad, firewalls, reglas VPC, políticas de red de contenedores y rangos estrechos de origen. Si es alcanzable públicamente, cierra el acceso externo de inmediato y revisa si se cachearon datos sensibles.
Memcached UDP
Puerto UDP de Memcached, históricamente abusado en ataques de amplificación por reflexión; los despliegues modernos deberían deshabilitarlo o restringirlo estrictamente.
Detalles
El puerto UDP 11211 es la ruta de acceso UDP para Memcached. Pertenece a la misma familia de servicio de caché que TCP 11211, pero su comportamiento de red y riesgo de exposición son más sensibles.
Este puerto es especialmente peligroso porque Memcached sobre UDP se ha abusado ampliamente en ataques de amplificación por reflexión. Los atacantes pueden falsificar la dirección de una víctima y hacer que servidores Memcached expuestos envíen gran volumen de tráfico de respuesta hacia esa víctima.
Incluso sin comprometer directamente la aplicación, exponer UDP 11211 públicamente puede convertir el servidor en un amplificador de ataques, causando agotamiento de ancho de banda, medidas del proveedor cloud, daño reputacional y problemas de cumplimiento.
Los entornos de producción deberían normalmente deshabilitar Memcached UDP o, como mínimo, permitirlo solo desde redes privadas confiables. Revisa direcciones de escucha, flags de arranque, firewalls, grupos de seguridad, mapeos de puertos de contenedores y reglas de balanceadores cloud para asegurarte de que no esté expuesto accidentalmente.
RabbitMQ Management
Puerto de la consola de administración de RabbitMQ para colas, exchanges, conexiones, usuarios y estado del clúster; no debería exponerse como interfaz administrativa pública abierta.
Detalles
El puerto TCP 15672 es el puerto web común de administración del plugin RabbitMQ Management. Los administradores lo usan para inspeccionar colas, exchanges, bindings, conexiones, canales, consumidores, usuarios, permisos, vhosts y salud del clúster.
No es un puerto normal de mensajería de negocio; es una interfaz administrativa. Si se expone incorrectamente, puede revelar estructura de colas, backlog de mensajes, orígenes de conexión, configuración de cuentas y topología del clúster.
Con contraseñas débiles, cuentas predeterminadas, permisos excesivos o acceso de origen sin restricciones, 15672 puede permitir purgar colas, cambiar permisos, inspeccionar mensajes o dañar la configuración del clúster.
En producción, coloca 15672 detrás de una VPN, bastión, red privada de administración o proxy inverso controlado. Usa contraseñas fuertes, cuentas de mínimo privilegio, TLS, logs de acceso y restricciones de origen. Si es público, revisa cuentas, permisos y logs de acceso de inmediato.
Minecraft Bedrock
Puerto UDP predeterminado de servidores Minecraft Bedrock Edition, usado por clientes Bedrock para conectarse a servidores multijugador.
Detalles
El puerto UDP 19132 es el puerto predeterminado más común de los servidores Minecraft Bedrock Edition. Lo usan clientes móviles, consolas, Windows Bedrock y otros clientes Bedrock para conectarse a servidores multijugador.
Este puerto normalmente transporta tráfico de conexión del juego y descubrimiento de servidores, no una interfaz administrativa tradicional. Que la exposición pública sea adecuada depende de si el servidor está pensado para jugadores públicos, una comunidad con lista blanca o juego privado entre amigos y familia.
Para servidores expuestos a internet, revisa controles de acceso, listas blancas de jugadores, versión del servidor, seguridad de plugins o add-ons, protección DDoS, límites de recursos y logs. Un puerto de juego no es tan sensible como uno de base de datos, pero aun así puede ser escaneado, inundado o afectado por vulnerabilidades del servidor.
Al diagnosticar conectividad, confirma que se permite UDP, no TCP. Revisa también reenvío de puertos del router, grupos de seguridad cloud, reglas del firewall del host, dirección de bind del servidor, configuración del servidor Bedrock y compatibilidad de versión del cliente.
Minecraft
Puerto predeterminado de servidores Minecraft Java Edition, usado por jugadores para conectarse a servidores multijugador.
Detalles
El puerto TCP 25565 es el puerto predeterminado más común de los servidores Minecraft Java Edition. Los jugadores lo usan para conectarse a servidores multijugador, servidores privados, servidores con mods o servidores comunitarios públicos.
Este puerto normalmente no es una interfaz de administración del sistema operativo, pero expone directamente el servicio del juego. Si debe ser público depende de si el servidor está pensado para jugadores abiertos, acceso por lista blanca o un grupo privado.
Al exponer 25565 a internet, revisa versión del servidor, origen de plugins y mods, configuración RCON, permisos de jugadores, límites de recursos, protección DDoS y logs. Muchos riesgos no vienen del número de puerto en sí, sino de builds desactualizadas, plugins inseguros o permisos incorrectos.
Ante fallos de conexión, comprueba si TCP 25565 está permitido, si el servidor escucha en la dirección correcta, si el reenvío del router o grupo de seguridad cloud apunta al host correcto y si versión del cliente, MOTD del servidor, autenticación online-mode y compatibilidad de plugins están en buen estado.
RabbitMQ Inter-node
Puerto de comunicación entre nodos de RabbitMQ usado para comunicación Erlang distribuida, sincronización de metadatos de mensajes y mantenimiento del estado del clúster.
Detalles
El puerto TCP 25672 se usa habitualmente para comunicación interna entre nodos de un clúster RabbitMQ. Soporta tráfico Erlang distribuido para pertenencia al clúster, sincronización de metadatos de colas, propagación de estado y coordinación entre nodos.
No es un puerto normal de cliente de aplicación ni la consola de administración. Las aplicaciones suelen publicar y consumir mensajes por 5672 o 5671, mientras la UI web de administración normalmente usa 15672. El puerto 25672 forma parte principalmente de la infraestructura del clúster RabbitMQ.
Si 25672 está expuesto a redes no confiables, los atacantes pueden sondear topología del clúster RabbitMQ, superficies de comunicación de nodos Erlang y estructura interna del despliegue. Incluso sin acceso directo de administración, exponer un puerto entre nodos aumenta la superficie de ataque.
En producción, solo miembros del clúster RabbitMQ, redes de contenedores controladas o subredes privadas de servicio deberían alcanzar 25672. Restringe con firewalls, grupos de seguridad, Kubernetes NetworkPolicy, nombres estrictos de nodos y una gestión cuidadosa de la cookie Erlang.
Al diagnosticar nodos RabbitMQ que no se unen al clúster, desconexiones frecuentes o estado inestable del clúster, revisa conectividad para 4369, 25672, 5672, 5671 y 15672. Verifica también resolución de nombres, cookies Erlang coincidentes, reglas de firewall y mapeos de red de contenedores.
Source Client Port
Puerto UDP común del lado cliente para juegos Source y GoldSrc, normalmente implicado en comunicación local del cliente de juego e interacción con servidores.
Detalles
El puerto UDP 27005 aparece con frecuencia en Source, GoldSrc y algunos escenarios de red de clientes de juegos Steam. Normalmente no es un endpoint público independiente de servidor, sino un puerto auxiliar del lado cliente o local usado para intercambiar datos con servidores de juego, componentes de red de Steam o procesos locales del juego.
Este puerto suele aparecer junto a puertos del motor Source como 27015, 27016 y 27020. El puerto 27015 se asocia más con conexiones y consultas de servidores de juego; 27020 puede usarse para SourceTV, consultas o tráfico auxiliar, mientras 27005 se asocia más con red local o del lado cliente del juego.
Desde una perspectiva de seguridad, 27005 suele ser de bajo riesgo por sí mismo, pero el proceso real en escucha sigue importando. Si aparece en un servidor expuesto a internet, verifica si realmente es un componente de cliente de juego, un servicio de juego, un mapeo de contenedor o simplemente otro servicio reutilizando el puerto.
Al diagnosticar problemas de conexión del motor Source, listados de servidores ausentes o problemas de multijugador local, revisa parámetros de arranque, mapeos NAT, reglas de firewall, política UDP entrante y saliente, puertos de consulta Steam y puertos relacionados como 27005, 27015, 27016 y 27020.
Source Game Server
Puerto UDP común para servidores de juego del motor Source, usado típicamente para conexiones de jugadores, consultas de servidor y tráfico multijugador.
Detalles
El puerto UDP 27015 es uno de los puertos más comunes para servidores de juego Source, GoldSrc y muchos servidores Steam. Se usa con frecuencia para conexiones de jugadores, descubrimiento de servidores, respuestas a consultas y tráfico multijugador.
Para un único servidor de juego, 27015 suele ser el punto de entrada predeterminado. En despliegues con varias instancias, servidores adicionales pueden usar puertos adyacentes como 27016 y 27017. El rol exacto siempre debe contrastarse con parámetros de arranque del servidor, tipo de juego y configuración del proveedor de hosting.
Este puerto puede exponerse intencionalmente a jugadores, pero aun así necesita protección básica. Los servidores públicos de juego deberían evitar exponer interfaces de administración innecesarias, usar credenciales RCON fuertes y monitorear actividad DDoS, abuso de consultas, vulnerabilidades de plugins, clientes maliciosos y patrones anómalos de tráfico.
Si los jugadores no pueden entrar al servidor o este no aparece en listados, verifica que UDP 27015 esté en escucha, que grupos de seguridad cloud y firewalls del host permitan el tráfico, que NAT o reenvío de puertos apunte al host correcto, que los puertos de consulta Steam coincidan con la configuración y que la dirección de bind y parámetros de arranque sean correctos.
Source Game Server Alt
Puerto UDP alternativo común para servidores de juego del motor Source, usado a menudo en despliegues multiinstancia, servidores adyacentes o una segunda ranura de servidor.
Detalles
El puerto UDP 27016 se usa habitualmente por una segunda instancia de servidor Source o GoldSrc, una instancia alternativa o un puerto adyacente de servidor de juego. Muchos despliegues con varios servidores empiezan en 27015 y asignan instancias adicionales a 27016, 27017 y puertos cercanos.
Su propósito exacto depende de los parámetros de arranque del servidor de juego y la configuración de la plataforma de hosting. Puede usarse para conexiones de jugadores, consultas de servidor, una sala alternativa, un servidor de pruebas o un punto de entrada de instancia específica, en lugar de representar un protocolo fijo separado.
Abrir 27016 al público normalmente se hace para que jugadores alcancen una instancia concreta del juego, pero solo deberían exponerse los puertos UDP requeridos. Evita exponer RCON, paneles de administración, gestores de archivos o servicios de administración del host junto a él.
Al diagnosticar servidores de juego multiinstancia, los problemas comunes de 27016 incluyen conflictos de puertos, varias instancias enlazando al mismo puerto, reenvío NAT al contenedor equivocado, grupos de seguridad cloud que solo permiten 27015, puertos de consulta y juego no coincidentes, o parámetros de IP y puerto del servidor no actualizados de forma consistente.
MongoDB
Puerto predeterminado de conexión de clientes MongoDB, usado habitualmente por aplicaciones, clientes de línea de comandos y herramientas administrativas para acceder a instancias de base de datos.
Detalles
El puerto TCP 27017 es el puerto de conexión predeterminado más común de MongoDB. Servicios de aplicación, mongosh, drivers de base de datos y herramientas de administración lo usan a menudo para conectarse a instancias MongoDB y realizar consultas, escrituras, gestión de índices, agregaciones y operaciones rutinarias.
El puerto 27017 normalmente representa un punto real de entrada a base de datos, no un simple endpoint web o health check. El servicio detrás puede almacenar registros de usuarios, pedidos, logs, configuración, sesiones, eventos analíticos o estado interno del sistema, por lo que su exposición debe tratarse con más cuidado que los puertos ordinarios de aplicación.
Exponer MongoDB directamente a internet es de alto riesgo, especialmente cuando la autenticación está deshabilitada, las contraseñas son débiles, bindIp es demasiado amplio, bases de prueba se promocionan accidentalmente a producción, instancias de backup son alcanzables desde internet, se mantienen valores predeterminados antiguos o los grupos de seguridad son demasiado permisivos.
En producción, 27017 normalmente debería limitarse a servidores de aplicación, bastiones, VPN, redes privadas o rangos controlados de acceso a base de datos. Deben habilitarse autenticación, TLS, usuarios de mínimo privilegio, listas de IP permitidas, logs de auditoría, políticas de backup y monitoreo de conexiones anómalas.
Al diagnosticar fallos de conexión, no revises solo si el puerto está abierto. Verifica también la dirección bind de mongod, base de datos de autenticación, permisos del usuario, configuración TLS y certificados, nombre del replica set, si el cliente recibe direcciones alcanzables de miembros del replica set y si firewalls del host o grupos de seguridad cloud permiten el origen actual.
MongoDB Shard
Puerto común de servidores shard de MongoDB, usado por nodos shard que almacenan datos reales en un clúster particionado.
Detalles
El puerto TCP 27018 se usa habitualmente para servidores shard de MongoDB en clústeres particionados. Un shard almacena una parte de los datos de aplicación y trabaja con routers mongos, config servers, otros shards y miembros de replica set como parte de la arquitectura de base de datos sharded.
El puerto 27018 normalmente no es el endpoint principal al que deberían conectarse directamente las aplicaciones. La mayoría debería conectarse a la capa de enrutamiento mongos, que usa claves de shard y metadatos del clúster para dirigir peticiones al shard correcto. El acceso directo al shard puede saltarse la ruta prevista y complicar diagnóstico y gestión de permisos.
Si 27018 aparece en un activo expuesto a internet, trátalo como un hallazgo serio. Los nodos shard suelen contener datos reales de negocio, y la exposición pública puede causar lectura de datos, modificación de datos, daño de índices, agotamiento de recursos, movimiento lateral o divulgación de la topología del clúster.
En producción, los servidores shard deberían restringirse a redes de base de datos, redes de clúster Kubernetes, VPC dedicadas o grupos de seguridad muy controlados. El acceso normalmente debería limitarse a mongos, miembros internos del clúster, sistemas de backup y puntos de entrada operativos requeridos, con autenticación, TLS, keyFile o autenticación interna x.509, roles de mínimo privilegio y auditoría habilitados.
Al diagnosticar problemas de clúster sharded, revisa salud del replica set de shards, configuración de enrutamiento de mongos, metadatos de config servers, diseño de la clave de shard, migración de chunks, latencia de red, capacidad de disco y conectividad entre puertos relacionados con MongoDB como 27017, 27018 y 27019.
MongoDB Config
Puerto común de config servers de MongoDB, usado para almacenar metadatos de clúster sharded, información de enrutamiento y estado de distribución de chunks.
Detalles
El puerto TCP 27019 se usa habitualmente para config servers de MongoDB en clústeres sharded. Un config server no maneja principalmente lecturas y escrituras normales de aplicación; en su lugar, almacena metadatos críticos del clúster como estado de sharding, distribución de chunks, información de enrutamiento y configuración del clúster.
Este puerto es esencial para la operación de un clúster sharded. mongos depende de los metadatos del config server para decidir qué shards deben recibir una petición. Si los config servers no están disponibles o sus metadatos no están sanos, las aplicaciones pueden ver fallos de consulta, errores de enrutamiento, problemas de migración de chunks o tareas bloqueadas de administración del clúster.
El puerto 27019 no debería exponerse como punto público de entrada. Aunque no parezca un puerto normal de base de datos de aplicación, filtrar o dañar metadatos de config servers puede afectar disponibilidad, enrutamiento de datos y seguridad operativa de todo el clúster MongoDB sharded.
En producción, los config servers deberían vivir en una red interna estrictamente controlada y solo ser alcanzables por mongos, miembros del clúster y componentes requeridos de operación o backup. Deben habilitarse autenticación, TLS, autenticación interna del clúster, mínimo privilegio, auditoría y backups confiables, y las aplicaciones ordinarias no deberían conectarse directamente a config servers.
Al diagnosticar problemas alrededor de 27019, enfócate en la salud del replica set de config servers, conectividad de mongos hacia config servers, consistencia de metadatos del clúster, sincronización horaria, espacio en disco, ajustes de autenticación y compatibilidad de versiones entre shards, routers mongos y config servers.
Source TV / Game Auxiliary
Puerto auxiliar de juegos del motor Source, usado comúnmente para SourceTV, consultas de servidor, repetición de espectadores y tráfico relacionado del juego.
Detalles
El puerto UDP 27020 aparece con frecuencia en comunicación auxiliar de servidores de juego del motor Source, incluyendo SourceTV, modo espectador, funciones de repetición, consultas de servidor o tráfico adicional de componentes relacionados del juego.
Este puerto normalmente no debería interpretarse de forma aislada. Su propósito se confirma mejor junto con puertos cercanos como 27015, 27016, 27017 y 27005, además de parámetros de arranque del servidor, tipo de juego, ajustes del puerto de consulta y configuración de SourceTV.
Si los jugadores pueden entrar al servidor pero el listado, modo espectador, replay o estado de consulta se comporta de forma inconsistente, el problema quizá no esté en el puerto principal del juego. El puerto 27020 u otro UDP relacionado puede estar bloqueado, mal mapeado o enlazado a la interfaz incorrecta.
Los servidores públicos de juego pueden exponer este puerto cuando sea necesario, pero el rango UDP permitido debería mantenerse lo más estrecho posible. Durante el diagnóstico, revisa firewalls del host, reglas NAT, grupos de seguridad cloud, mapeos de puertos de contenedores y la configuración real del servidor de juego.
Kafka Internal / Advertised Listener
Puerto común de Kafka para contenedores o doble listener, usado para separar direcciones de broker anunciadas a componentes internos y clientes externos.
Detalles
El puerto TCP 29092 se usa habitualmente en Kafka con Docker Compose, Kubernetes, clústeres locales de desarrollo o despliegues con listeners internos y externos separados. Normalmente no es un nuevo puerto de protocolo Kafka, sino un listener de broker elegido para distinguir rutas de acceso internas y externas.
Los clientes Kafka hacen más que conectarse a la dirección bootstrap inicial. Tras conectarse a un broker, leen los metadatos devueltos mediante advertised.listeners y luego se conectan a las direcciones anunciadas de los brokers. Si 29092 o advertised.listeners están mal configurados, la primera conexión puede funcionar mientras productores o consumidores fallan después por timeout.
En entornos con contenedores, 29092 suele representar el listener de la red de contenedores, mientras 9092, 9093 o 9094 pueden usarse para acceso desde el host, TLS, SASL o clientes externos. El significado real depende de listeners, advertised.listeners, listener.security.protocol.map y la ubicación de red del cliente.
Este puerto normalmente debería limitarse a clústeres Kafka, servicios de aplicación, redes de contenedores o redes privadas. Exponer un listener Kafka a internet puede llevar a enumeración de Topics, lectura o escritura no autorizada de mensajes, divulgación de grupos de consumidores, contaminación de datos o robo de flujos de eventos de negocio.
Al diagnosticar conectividad Kafka, revisa la configuración de listeners para 9092, 9093, 9094 y 29092, resolución DNS, red de Docker o Kubernetes, ajustes TLS/SASL, grupos de seguridad, bootstrap.servers del cliente y si las direcciones anunciadas por el broker son alcanzables desde el cliente.
Kubernetes NodePort
Inicio del rango predeterminado de Kubernetes NodePort, que representa el límite inferior de puertos de Service expuestos en IP de nodos.
Detalles
El puerto TCP 30000 es el inicio del rango predeterminado de Kubernetes NodePort, 30000-32767. Un NodePort abre un puerto fijo en cada IP de nodo y reenvía tráfico externo al Service y sus Pods backend.
El puerto 30000 no identifica por sí mismo una aplicación específica. Puede mapear a un servicio web, API, endpoint de monitoreo, consola administrativa, proxy de base de datos, servidor de juego o casi cualquier workload dentro del clúster. El riesgo real depende del Service expuesto, los Pods backend y los controles de acceso.
NodePort a veces se confunde con un detalle interno de Kubernetes, pero crea un punto real de entrada de red en los nodos. Si las IP de los nodos son alcanzables desde internet, el NodePort también puede quedar expuesto a internet.
En producción, los servicios suelen exponerse mejor mediante Ingress, LoadBalancer, gateways, balanceadores privados o proxies inversos controlados, en lugar de NodePorts arbitrarios. Cuando NodePort sea necesario, documenta el propósito del servicio, restringe orígenes, habilita autenticación, aplica políticas de red y conserva logs de acceso.
Al diagnosticar acceso NodePort, revisa el tipo de Service, valor nodePort, estado de kube-proxy, grupos de seguridad de nodos, reglas de firewall del host, readiness de Pods, EndpointSlices, externalTrafficPolicy y si el tráfico realmente llega a los Pods destino.
Kubernetes NodePort
Fin del rango predeterminado de Kubernetes NodePort, que representa el límite superior de exposición de servicios a nivel de nodo.
Detalles
El puerto TCP 32767 es el fin del rango predeterminado de Kubernetes NodePort, 30000-32767. Representa el límite superior de valores NodePort asignables y no identifica por sí mismo un servicio fijo de negocio.
Si 32767 está abierto, primero confirma si un Service de Kubernetes recibió realmente este nodePort. En distintos clústeres, el mismo valor NodePort puede apuntar a backends completamente diferentes, como un servicio web, API interna, componente de monitoreo, consola administrativa o aplicación temporal de prueba.
El riesgo clave de NodePort es que enlaza un servicio a cada IP de nodo. Si la red de nodos es alcanzable, usuarios externos pueden acceder directamente a servicios backend, especialmente cuando grupos de seguridad, reglas de balanceador y políticas Ingress no están alineados.
Los clústeres de producción deberían auditar regularmente los puertos abiertos en el rango 30000-32767 y confirmar que cada NodePort tenga propósito de negocio, propietario, modelo de control de acceso y plan de retirada claros. Los servicios que no necesitan exposición directa a nivel de nodo normalmente deberían usar ClusterIP o una ruta de gateway controlada.
Para investigar, empieza por manifiestos de Service de Kubernetes, salida de kubectl get svc, reglas de kube-proxy, puertos en escucha del nodo, política de firewall y grupos de seguridad cloud para confirmar si 32767 está mapeado a un Service y si el backend coincide con lo esperado.
Dinámicos/privados
Dynamic / Ephemeral
Inicio del rango dinámico o privado de IANA, asignado temporalmente por el sistema operativo para conexiones del lado cliente y sesiones breves.
Detalles
El puerto TCP 49152 es el inicio del rango dinámico o privado de IANA. Normalmente no es el puerto de escucha predeterminado de un servicio fijo; en su lugar, los sistemas operativos suelen elegir puertos de este rango para conexiones temporales del lado cliente.
Los puertos de este rango aparecen comúnmente cuando navegadores acceden a sitios web, aplicaciones se conectan a bases de datos, servicios llaman a API, proxies reenvían tráfico, contenedores hacen conexiones salientes o procesos de prueba se comunican localmente. Al terminar la conexión, el puerto suele liberarse y puede reutilizarse después por otro proceso.
Si un escaneo informa que el puerto 49152 está abierto, el número de puerto por sí solo no basta para identificar el servicio. Confirma el proceso real en escucha, argumentos de arranque, mapeos de puertos de contenedores, reglas NAT, política de firewall y dirección de la conexión en el host.
El puerto es de bajo riesgo cuando se usa como puerto efímero normal del cliente, pero el riesgo cambia si una aplicación escucha deliberadamente en él. No asumas que un puerto alto dentro del rango dinámico es automáticamente seguro, ni lo ignores solo porque pertenece al rango efímero.
En producción, los puertos dinámicos normalmente no deberían exponerse como puntos públicos estables de entrada. Si este puerto escucha de forma persistente, verifica si pertenece a un servicio real, herramienta de depuración, backend de proxy inverso, proceso de prueba olvidado o programa inesperado, y restringe el acceso según corresponda.
WireGuard
Puerto UDP común de WireGuard, usado para establecer túneles VPN cifrados ligeros y enlaces de acceso remoto.
Detalles
El puerto UDP 51820 es un puerto de escucha común para WireGuard. WireGuard usa UDP para crear túneles cifrados y se utiliza a menudo para acceso remoto, VPN site-to-site, redes de servidores cloud, acceso a redes domésticas y redes privadas ligeras.
A diferencia de muchas pilas VPN tradicionales, WireGuard es relativamente simple de configurar. Su seguridad depende de pares de claves pública/privada, definiciones de peers, AllowedIPs, reglas de enrutamiento y política de firewall. Un puerto abierto no permite automáticamente entrar al túnel, pero una mala gestión de peers, rutas demasiado amplias o claves expuestas pueden ampliar mucho el acceso interno.
El puerto 51820 puede exponerse intencionalmente a internet para clientes VPN legítimos, pero representa un límite hacia una red privada. Los despliegues de producción deberían proteger claves privadas, revisar peers con regularidad, mantener AllowedIPs acotadas, monitorear comportamiento de conexiones y evitar exponer redes internas innecesarias a dispositivos remotos.
Cuando WireGuard no puede conectar, las causas comunes incluyen UDP 51820 bloqueado, reenvío NAT incorrecto, reglas faltantes en grupos de seguridad cloud, ajustes Endpoint equivocados en el cliente, AllowedIPs en conflicto, reenvío IP deshabilitado o reglas de firewall del host que no permiten tráfico de la interfaz del túnel.
Si un escaneo de internet encuentra 51820 abierto, confirma que realmente sea WireGuard, que solo sirva a peers esperados, que no queden claves obsoletas ni peers de antiguos usuarios y que las redes internas alcanzables por el túnel sigan el principio de mínimo privilegio.
Dynamic / Ephemeral
Número de puerto TCP/UDP válido más alto y límite superior del rango dinámico o privado.
Detalles
El puerto TCP 65535 es el número de puerto válido más alto y el límite superior del rango dinámico o privado de IANA. Normalmente no representa un servicio estándar fijo y se ve más a menudo en conexiones efímeras, servicios personalizados, configuraciones de prueba o resultados inusuales de escaneo.
Durante la comunicación normal de red, un sistema operativo puede elegir puertos altos del rango dinámico como puertos locales de cliente para conexiones salientes de corta duración. El valor 65535 es principalmente un valor límite y no tiene por sí mismo un significado especial de negocio.
Si el puerto 65535 escucha de forma persistente, verifica el proceso real en lugar de tratarlo como otro puerto dinámico más. Aplicaciones, proxies, herramientas de depuración, malware, malas configuraciones o pruebas olvidadas pueden usar puertos altos para evitar conflictos o reducir visibilidad.
La investigación debería combinar ss, netstat, lsof, líneas de comando de procesos, mapeos de contenedores, logs del sistema, reglas de firewall y resultados de escaneos externos. También es importante distinguir entre un puerto temporal de cliente saliente y un servicio real en escucha expuesto a otros hosts.
Los sistemas de producción normalmente no deberían usar 65535 como punto público estable de entrada. Si existe una razón válida de negocio, documéntala claramente y añade autenticación, restricciones de origen, monitoreo y registros de cambio. Si no hay un propósito claro, cierra el listener o restríngelo a una red controlada.
Resumen
La página está pensada para el diagnóstico de red y la revisión de activos en la práctica. No solo indica qué servicio suele usar un puerto, sino también cómo se comporta ese puerto en despliegues reales y qué suele implicar su exposición.
- 01
Búsqueda de puerto a servicio
Asocia rápidamente los números de puerto habituales con servicios como SSH, DNS, HTTP, HTTPS, SMTP, IMAP, PostgreSQL, MySQL, Redis, RDP, Kubernetes, WireGuard y otros componentes de infraestructura.
- 02
Explicaciones según el protocolo
Muchos servicios se comportan de forma distinta sobre TCP y UDP. La referencia separa las entradas por protocolo cuando esa distinción importa, como en DNS, DHCP, protocolos VPN, protocolos de descubrimiento y tráfico de monitorización.
- 03
Orientación sobre exposición y riesgo
Cada entrada incluye un nivel de riesgo y una recomendación de exposición, de modo que un resultado de escaneo pueda interpretarse como público, restringido, solo interno o no apto para exponerse directamente a Internet.
- 04
Contexto de operación y seguridad
Las descripciones incluyen consideraciones sobre firewall, NAT, grupos de seguridad en la nube, contenedores, proxy inverso, correo, bases de datos, acceso remoto y VPN que son habituales en las revisiones de producción.
Cómo usarla
Usa esta página al revisar resultados de escaneo, cambios de firewall, grupos de seguridad en la nube, mapeos de puertos de Docker o Kubernetes, rutas de VPN o notas de incidentes.
- 01
Si tienes un resultado de escaneo o una entrada de registro, busca primero el número de puerto exacto.
- 02
Usa el filtro de protocolo cuando el mismo puerto tenga significados distintos en TCP y UDP.
- 03
Lee el resumen para identificar el servicio habitual y abre los detalles para ver las notas de despliegue y las implicaciones de seguridad.
- 04
Compara los puertos relacionados cuando un protocolo usa varios canales, como FTP, DNS, correo, VPN, bases de datos o tráfico web.
- 05
Usa las etiquetas de riesgo y exposición para decidir si el puerto debe ser público, limitarse a orígenes de confianza, quedar solo en la red interna o cerrarse.
Detalles
Cada entrada está estructurada tanto para una consulta rápida como para una revisión más detallada durante las operaciones de red, la preparación de auditorías y el diagnóstico.
- Número de puerto, protocolo de transporte y nombre de servicio habitual.
- Tipo de rango de puerto: bien conocido, registrado o dinámico/privado.
- Estado de asignación: oficial, convención habitual, uso no oficial, obsoleto o reservado.
- Nivel de riesgo y límite de exposición recomendado.
- Notas de despliegue para firewalls, NAT, grupos de seguridad en la nube, contenedores, proxies y acceso remoto.
- Puertos relacionados que suelen ser necesarios para entender el comportamiento completo del protocolo.
- Información de la fuente cuando la entrada se basa en IANA, documentación del proveedor, convenciones de implementación o prácticas de despliegue habituales.
Casos de uso
Un número de puerto por sí solo pocas veces cuenta toda la historia. Esta referencia ayuda a relacionar el número con el servicio, el comportamiento del protocolo y la decisión de exposición.
-
Revisión de firewall y grupos de seguridad
Comprueba si un puerto debe estar abierto a Internet, limitarse a las IP de la oficina, restringirse a redes privadas o cerrarse por completo.
-
Clasificación de resultados de escaneo de vulnerabilidades
Convierte la salida del escáner en un inventario de servicios más claro, identificando los servicios probables, el nivel de riesgo y las siguientes comprobaciones a realizar en el host.
-
Diagnóstico de despliegue de aplicaciones
Confirma si los servidores web, bases de datos, colas, cachés, servicios de correo, VPN, DNS y servicios de administración están escuchando en los puertos previstos.
-
Investigación de incidentes de red
Determina si un puerto abierto inesperado es un servicio real, un puerto de cliente dinámico, un mapeo de contenedor, un backend de proxy o la interfaz de un dispositivo antiguo.
Ver también
Al investigar un puerto, si también necesitas comprobar el estado de respuesta HTTP, el comportamiento de una API o los códigos de error del cliente, consulta la Referencia de códigos de estado HTTP . Si el objetivo es dimensionar subredes, planificar rangos de IP o calcular máscaras CIDR, usa la Calculadora de subredes para realizar esos cálculos.
Buenas prácticas
Los puertos abiertos deben tratarse como parte del perímetro del sistema. Un puerto puede ser seguro dentro de la red interna y arriesgado al exponerse a redes no confiables.
- No expongas puertos de administración como SSH, RDP, puertos de bases de datos, puertos de caché o consolas de gestión sin restricciones de origen sólidas y controles de autenticación.
- Para los servicios internos, utiliza redes privadas, VPN, hosts bastión, mallas de servicios o capas de acceso de confianza cero en lugar de abrirlos directamente a Internet.
- Documenta por qué está abierto un puerto público, qué servicio es su propietario, qué orígenes están permitidos y qué monitorización o alertas se aplican.
- Comprueba tanto TCP como UDP al diagnosticar protocolos como DNS, DHCP, VPN, NTP, QUIC y tráfico de descubrimiento.
- No des por seguro que los puertos de numeración alta lo son; confirma si son puertos efímeros de salida o servicios reales a la escucha.
- Revisa en conjunto los grupos de seguridad en la nube, los firewalls de host, los mapeos de contenedores, las rutas de proxy inverso y los listeners del balanceador de carga, y no de forma aislada.
Limitaciones
Las referencias de puertos describen el uso habitual. El servicio real que hay detrás de un puerto abierto debe verificarse igualmente en el host o en la capa de infraestructura.
- Un número de puerto no prueba la existencia de un servicio. Los despliegues personalizados, los proxies, los contenedores y el malware pueden usar puertos no estándar.
- Que un puerto se vea cerrado desde el exterior no siempre significa que el servicio no exista; puede estar restringido por un firewall, un grupo de seguridad, una VPN, un enrutamiento privado o listas de orígenes permitidos.
- Un puerto UDP abierto puede ser más difícil de identificar que uno TCP, porque muchos servicios UDP no responden de forma predecible a los sondeos genéricos.
- Utiliza el listado de procesos del host, la configuración de los servicios, los registros del firewall, los registros de flujo, la configuración del balanceador de carga y los registros de la aplicación para confirmar quién es el propietario real.
Preguntas frecuentes
Respuestas a las preguntas habituales sobre el uso, el tratamiento de los datos, la comprobación de resultados y los límites prácticos.
¿Cuál es la diferencia entre los puertos TCP y UDP?
TCP está orientado a la conexión y se usa habitualmente para web, SSH, bases de datos, envío de correo y muchos protocolos de administración. UDP no establece conexión y se usa a menudo para DNS, DHCP, VPN, NTP, QUIC, descubrimiento y tráfico en tiempo real. El mismo número puede tener significados distintos según el protocolo.
¿Se pueden ignorar los puertos de numeración alta?
No. Los puertos de numeración alta suelen ser puertos de cliente efímeros, pero las aplicaciones también pueden escuchar en ellos de forma intencionada. Si un puerto alto está abierto de forma persistente, identifica el proceso y su propietario antes de descartarlo.
¿Deben ser públicos los puertos de bases de datos?
Normalmente no. Los puertos de bases de datos como PostgreSQL, MySQL, MongoDB, Redis, SQL Server y Elasticsearch deberían mantenerse privados o limitarse a redes de confianza, servidores de aplicaciones, VPN o capas de acceso controladas.
¿Por qué un escaneo de puertos muestra un servicio que no reconozco?
El puerto puede estar usándolo un servicio personalizado, un mapeo de contenedor, un backend de proxy inverso, un proceso antiguo, el firmware de un dispositivo, un error de identificación del escáner o un componente de infraestructura. Confírmalo con los datos de procesos y de firewall a nivel de host.
¿Abrir un puerto siempre supone un problema de seguridad?
No siempre. Los puertos web públicos como el 80 y el 443 son esperables en los sitios web. El riesgo depende del servicio, la autenticación, el nivel de parches, el alcance de la exposición, el registro, la limitación de tasa y de si el puerto encaja con la arquitectura prevista.
Herramientas relacionadas
Usa la categoría de referencia para consultar páginas relacionadas cuando la revisión de puertos te lleve a los códigos de estado HTTP, los tipos MIME, las cabeceras, el comportamiento de DNS u otros detalles de implementación.