Cómo poner un firewall detrás del router de tu operadora (y por qué deberías)

Cómo poner un firewall detrás del router de tu operadora - Keliam Net Sentinel

El router de tu operadora hace de todo: modem, router, WiFi, teléfono… y precisamente por eso no hace bien casi nada en seguridad. Si tu empresa —o tu despacho, o tu casa convertida en oficina— depende únicamente de ese aparato, tu red es lo que en el sector llamamos una red plana: todos los dispositivos se ven entre sí, cualquier equipo comprometido alcanza a todos los demás, y tú no tienes ni visibilidad ni control de nada de lo que pasa. La buena noticia: la solución no es tirar el router de la operadora ni gastarse miles de euros en un firewall corporativo. Es intercalar un firewall detrás del router — un equipo de 60-150 € bien configurado que te da seguridad de nivel empresarial.

En este artículo te contamos cómo funciona esa arquitectura, qué ganas exactamente al montarla, cómo se hace sin cortar Internet a nadie, y para quién tiene más sentido: pymes sin informático, freelancers que manejan datos de clientes y equipos en teletrabajo. Es la base del enfoque de seguridad gestionada que en Keliam llamamos Keliam Net Sentinel: hardware sencillo + nuestro software de visibilidad + soporte. Pero empecemos por el principio: por qué el router de la operadora no te protege.

1. El problema: el router de tu operadora no es un firewall

Los routers que instalan las operadoras (los HGU de fibra de toda la vida) están diseñados para una cosa: darte Internet con el mínimo de llamadas al soporte técnico. Seguridad de red seria no está en su lista. En la práctica, una empresa que solo tiene ese equipo arrastra cuatro carencias que se pagan caras:

  • Red plana, sin segmentación: el portátil con la contabilidad, la impresora, la cámara IP comprada en un marketplace, el móvil personal de cada empleado y la Smart TV de la sala de reuniones están todos en la misma red, viéndose entre sí. Si un solo dispositivo cae —un phishing en un portátil, una cámara IoT con una vulnerabilidad de fábrica—, el atacante tiene vía libre para moverse lateralmente hacia todo lo demás.
  • Sin VPN: cuando alguien necesita acceder desde fuera (teletrabajo, el NAS, el software de gestión), la «solución» habitual es abrir puertos. Y un puerto abierto a Internet es una invitación: los escáneres automáticos lo encuentran en minutos, no en días. Buena parte de los incidentes de ransomware en pymes empiezan exactamente ahí: un escritorio remoto o un panel expuesto a Internet.
  • Sin visibilidad: ¿cuántos dispositivos hay conectados a tu red ahora mismo? ¿A qué dominios están mandando datos tus enchufes inteligentes y tus cámaras? Con el router de la operadora, no tienes forma de saberlo. Y no puedes proteger lo que no ves.
  • Parcheo ajeno: el firmware de ese router lo actualiza (o no) la operadora, cuando quiere. Vulnerabilidades conocidas en routers de operadora han tardado meses en parchearse — con tu red de empresa detrás esperando.

Nada de esto es teórico. Es la anatomía de la mayoría de incidentes que acaban en un cifrado de datos, una fuga de información de clientes o un fraude del CEO: una red sin compartimentos, con algo expuesto y sin nadie mirando. Lo hemos contado con casos reales en nuestra guía de cómo funciona el ransomware — el patrón se repite tanto que aburre.

2. La idea clave: no sustituir, intercalar

Aquí viene el concepto que lo cambia todo, y que sorprende por lo simple: no tocamos el router de la operadora. Se queda donde está, haciendo lo único que hace bien —darte la conexión a Internet—. Lo que hacemos es poner un segundo equipo detrás de él: un router/firewall prosumer (nosotros solemos trabajar con MikroTik, hardware serio por 60-150 €) que se convierte en el verdadero cerebro de tu red.

La topología queda así: el router de la operadora da Internet al MikroTik, y el MikroTik gobierna toda tu red — equipos, WiFi, servidores, IoT. Técnicamente es un doble NAT: dos routers en cascada. Suena a apaño y es justo lo contrario: es una arquitectura limpia, reversible y con dos ventajas enormes.

Topología de red antes y después de intercalar un firewall MikroTik detrás del router de la operadora: de red plana a red segmentada con VLANs y VPN
De red plana a red gobernada: el router de la operadora se queda, el control cambia de manos.

Cero fricción con la operadora: no hay que pelear con el modo bridge, ni perder la línea de teléfono que va por el HGU, ni depender del soporte de turno. La operadora ni se entera. Vuelta atrás trivial: si algo saliera mal, desconectas el equipo intercalado y todo vuelve a estar exactamente como antes en dos minutos. Es la razón por la que este enfoque funciona tan bien en empresas sin personal de IT: el riesgo de la instalación es prácticamente cero.

3. Qué ganas al intercalar un firewall: las cinco piezas

3.1 Un firewall de verdad (stateful, con reglas tuyas)

El MikroTik trae un firewall stateful completo: decides qué entra, qué sale y qué se bloquea, con reglas que controlas tú y no un firmware cerrado. Todo lo que venga de Internet sin ser respuesta a algo que tú pediste, se descarta. Los intentos de conexión a servicios internos, bloqueados y registrados.

3.2 VPN WireGuard: teletrabajo sin abrir un solo puerto

La joya de la corona para cualquier empresa con gente trabajando fuera. WireGuard crea un túnel cifrado entre el portátil del empleado (o tu móvil) y la red de la empresa: acceder al NAS, al ERP o a la impresora desde casa como si estuvieras en la oficina, sin exponer nada a Internet. Se acabó el abrir el puerto del escritorio remoto «solo para esta semana» — que es como se empieza a salir en las estadísticas de incidentes.

3.3 Segmentación con VLANs: compartimentos estancos

La medida que más reduce el daño cuando algo falla. Con VLANs partimos la red en zonas: equipos de trabajo por un lado, IoT y cacharros (cámaras, enchufes, TVs) por otro, invitados en la suya. La cámara IP comprometida ya no puede ni ver el portátil de contabilidad. Es el mismo principio de aislamiento que exigen los marcos serios de seguridad — de hecho, es una de las primeras medidas que revisamos cuando preparamos empresas para certificaciones como la ISO 27001.

3.4 Control de DHCP y DNS + bloqueo de anuncios y rastreadores

Al controlar el DNS de la red decides qué se resuelve y qué no: listas de bloqueo de publicidad, rastreadores y dominios maliciosos para todos los dispositivos a la vez, sin instalar nada en ellos. El efecto sorprende: navegación más rápida, menos ruido y una capa extra contra el phishing.

3.5 Parcheo en tus manos

RouterOS (el sistema del MikroTik) se actualiza cuando tú decides, con changelog público y en cinco minutos. Tu perímetro deja de depender del calendario de la operadora.

4. Cómo se hace: el proceso sin cortes (y sin sustos)

No vamos a convertir esto en un tutorial de comandos — eso da para un artículo técnico propio —, pero sí queremos que veas el flujo, porque desmonta el miedo a «tocar la red»:

  • 1. Preparación en frío: el MikroTik se configura completamente aislado, sin enchufarlo a la red en producción (un router nuevo con DHCP activo enchufado alegremente a la red viva puede secuestrar el direccionamiento de media oficina — el clásico «DHCP pirata»). Reglas de firewall, VLANs, WiFi, VPN: todo listo y probado en mesa.
  • 2. El cambio (cutover): en una ventana corta —fuera de horario si la empresa no para— se intercala el equipo: operadora → MikroTik → switch/red. Minutos de corte, no horas.
  • 3. Verificación: checklist de vuelta a la vida: Internet en todos los segmentos, WiFi, impresoras, la VPN levantando desde fuera, y el plan de vuelta atrás documentado por si acaso (que, insistimos, es desconectar un cable).
Proceso de instalación de un firewall intercalado en 3 pasos: preparación en frío, cutover y verificación
Tres pasos y vuelta atrás trivial: así se instala sin sustos.

¿Se puede hacer uno mismo? Si tienes perfil técnico y tiempo, sí — MikroTik tiene una curva de aprendizaje exigente pero documentación de sobra. Si no, es exactamente el tipo de trabajo que hacemos como servicio gestionado: lo montamos, lo dejamos documentado y nos encargamos del mantenimiento. Lo importante es que se haga bien: un firewall mal configurado da sensación de seguridad, que es peor que no tener nada.

5. ¿Para quién tiene más sentido? Tres perfiles reales

Freelancer con datos de clientes

Diseñadores, desarrolladores, gestores, abogados: si trabajas desde casa con información de terceros, tu red doméstica ES tu red de empresa — con la TV, la consola de los niños y veinte cacharros IoT compartiendo red con los expedientes de tus clientes. Segmentar y cifrar el acceso no es paranoia: es la diligencia mínima que te van a exigir (y que el RGPD ya te exige) el día que algo pase. Coste del upgrade: menos que una mensualidad de cualquier herramienta que ya pagas.

Equipo en teletrabajo

Si tu gente entra a los sistemas de la empresa desde sus casas, la pregunta es una: ¿entran por VPN o hay puertos abiertos? La VPN WireGuard del firewall intercalado resuelve el acceso remoto de toda la plantilla de forma cifrada y sin superficie de ataque expuesta. Es, de largo, el beneficio con mejor ratio coste/impacto de toda esta arquitectura.

Pyme sin informático

Oficinas de 3 a 30 personas donde «el de informática» es el que más sabe de ordenadores. Aquí el firewall intercalado + gestión externa es el escalón intermedio perfecto: seguridad real sin fichar a nadie ni pagar licencias enterprise de miles de euros al año. De este perfil hablamos en profundidad en nuestra guía de ciberseguridad con poco presupuesto.

6. La parte honesta: lo que esto NO resuelve

En Keliam preferimos contarte las limitaciones antes de que las descubras tú:

  • El WiFi de consumo no segmenta: si tu punto de acceso es el del router de la operadora o uno doméstico, todos los clientes WiFi caerán en el mismo segmento. Para llevar las VLANs al WiFi hacen falta puntos de acceso gestionables (una segunda fase natural, no cara).
  • No es un antivirus ni protege el endpoint: el firewall gobierna la red; los equipos siguen necesitando sus propias medidas (actualizaciones, EDR/antimalware, sentido común ante el phishing).
  • El doble NAT tiene esquinas: para el 99% de usos (web, cloud, VPN, videollamadas) es transparente; algunos escenarios muy concretos (ciertos juegos online, VoIP mal configurada) requieren ajustes. Se resuelven, pero hay que saberlo.
  • Sin alguien que lo mire, pierde valor con el tiempo: las reglas se quedan viejas, el firmware sin actualizar. Por eso la tercera pata del enfoque es el mantenimiento — un firewall es un servicio, no un electrodoméstico.

7. Preguntas frecuentes

¿Pierdo velocidad de Internet con un firewall intercalado?

Con hardware bien dimensionado, no de forma perceptible: los MikroTik de gama de entrada mueven cientos de Mbps con firewall activo, y modelos superiores mueven gigabit sin despeinarse. Para la fibra típica de una pyme, sobra.

¿La operadora puede poner problemas?

No: su router sigue funcionando exactamente igual (y la línea de teléfono, si la hay, también). Desde su punto de vista solo hay «un dispositivo» conectado. No se toca su equipo ni su configuración más allá de, opcionalmente, apagar su WiFi.

¿Y si mañana quiero quitarlo?

Desconectas el equipo intercalado, reconectas la red al router de la operadora y todo vuelve al estado original. Es la gracia de intercalar en vez de sustituir: la vuelta atrás es un cable.

¿Esto me sirve si ya tengo un NAS o servicios publicados?

Especialmente. Los servicios que hoy tengas expuestos con puertos abiertos pueden pasar a estar detrás de la VPN, o publicados de forma controlada con reglas estrictas y registro. Es uno de los primeros arreglos que hacemos siempre.

¿Cómo sé lo que pasa en mi red después de instalarlo?

Ahí entra la segunda pieza de nuestro enfoque: LAN Sentinel, el software de visibilidad de red que desarrollamos en Keliam y que lee del propio firewall para enseñarte dispositivos, tráfico y dominios en un panel. Le dedicamos un artículo completo en esta misma serie — porque un firewall protege, pero es mudo: la visibilidad es la otra mitad.

Conclusión: la mejora de seguridad con mejor ratio coste/impacto

Por el precio de una cena de empresa, intercalar un firewall detrás del router de la operadora convierte una red plana e invisible en una red segmentada, con acceso remoto cifrado, bloqueo de dominios maliciosos y parcheo bajo tu control. No es la seguridad de un banco — es el escalón que va entre «no tener nada» y las soluciones enterprise, y es exactamente el escalón que la inmensa mayoría de pymes y freelancers tiene pendiente.

Este artículo abre nuestra serie de seguridad low-cost para pymes. En las próximas entregas: cómo montar la seguridad de tu empresa desde cero (el sistema completo con su esquema de red), la presentación de LAN Sentinel y cómo software y firewall trabajan juntos. Si no quieres esperar —o prefieres que lo montemos y lo mantengamos por ti— hablemos.

¿Quieres esta seguridad sin pelearte con la configuración?

Con Keliam Net Sentinel montamos el firewall detrás de tu router, configuramos la VPN y la segmentación, y nos encargamos del mantenimiento — seguridad gestionada para pymes y freelancers sin coste enterprise.

Pide una revisión de tu red →

Serie: Seguridad low-cost para pymes · Keliam Net Sentinel
Cap. 1 de la serie (estás aquí)
Cap. 2: Seguridad para pymes desde cero →
Scroll al inicio