Cada vez que conectamos LAN Sentinel por primera vez en la red de un cliente, la reacción es idéntica: un silencio, y después un «¿todo eso estaba conectado a mi red?». Aparecen dispositivos que nadie recordaba, cámaras hablando con servidores en la otra punta del mundo, un enchufe inteligente enviando datos cada pocos segundos, y de vez en cuando algún equipo que directamente nadie sabe qué es. No es que la red estuviera mal: es que nadie la había visto nunca. Y ese es exactamente el problema que resuelve este tercer capítulo de nuestra serie de seguridad low-cost para pymes.
En las entregas anteriores montamos el músculo —un firewall detrás del router de tu operadora— y el sistema completo de seguridad para pymes desde cero. Hoy toca los ojos: la monitorización de red para empresas, la pieza que convierte tu red de una caja negra en algo que por fin puedes entender. Te enseñamos qué es LAN Sentinel, qué ve exactamente, cómo lo hace sin instalar nada en tus equipos, y hacia dónde va —incluida su versión en la nube—. Con capturas reales del panel (anonimizadas, claro: parte de lo que predicamos es no airear datos de nadie).
1. La pregunta incómoda: ¿qué hay ahora mismo en tu red?
Párate un segundo y respóndela de verdad. ¿Cuántos dispositivos hay conectados a la red de tu empresa en este momento? ¿Diez? ¿Treinta? ¿A qué dominios de Internet están enviando datos tu impresora, la cámara de la entrada o la Smart TV de la sala de reuniones? Si eres como el 90% de las pymes, la respuesta honesta es «ni idea». Y no es culpa tuya: el router de la operadora no te da forma de saberlo. Tu red es una caja negra — entra y sale tráfico, pero no ves nada.
El problema es que esa ceguera tiene consecuencias muy concretas. Un dispositivo comprometido —una cámara IP barata con una vulnerabilidad de fábrica, un portátil que picó en un phishing— puede llevar semanas o meses «llamando a casa», filtrando datos o esperando órdenes, sin que nadie lo note, porque nadie está mirando. En seguridad hay una frase que lo resume: no puedes proteger lo que no ves. La visibilidad no es un lujo de empresas grandes; es el primer escalón de cualquier seguridad seria, y curiosamente el más barato.

2. La red como caja negra (y por qué eso es un riesgo, no un detalle técnico)
Imagina que en tu oficina física no supieras cuántas personas hay dentro, quién entra, quién sale ni por qué puerta. Lo verías como un problema de seguridad evidente. Pues bien: eso es exactamente tu red sin visibilidad. Cada dispositivo es una persona en ese edificio, cada conexión a Internet es una puerta, y ahora mismo nadie lleva la cuenta.

La diferencia entre las dos cajas del esquema no es tecnología cara: es simplemente encender la luz. Y encender la luz cambia por completo tu postura de seguridad, porque de repente puedes responder a las tres preguntas que importan cuando algo va mal: qué dispositivo, con quién hablaba y desde cuándo.
3. Qué es LAN Sentinel
LAN Sentinel es el software de visibilidad de red que desarrollamos en Keliam. En una frase: un panel que lee tu red y te la enseña entera —dispositivos, tráfico, flujos y dominios— en tiempo real y con un histórico que puedes consultar. Se instala en tu propia red (es self-hosted: los datos no salen de tu casa) y no requiere tocar ni un solo equipo de los que quieres vigilar. Es la segunda de las tres patas de Keliam Net Sentinel, nuestra seguridad de red gestionada: el firewall protege, LAN Sentinel ve, y el soporte decide y actúa.

Fíjate en un detalle de la captura: LAN Sentinel no solo lista IPs, identifica el fabricante de cada dispositivo a partir de su MAC y los agrupa. Así, ese «192.168.x.x» anónimo se convierte en «una cámara de Tuya», «un altavoz de Sonos» o «un equipo de Mercusys» — y de golpe entiendes qué es cada cosa de tu red y decides si debería estar ahí. Es la diferencia entre una lista de números y un inventario que puedes gobernar.
4. Qué te enseña, exactamente
La monitorización de red solo sirve si responde preguntas de negocio, no si te sepulta en datos. LAN Sentinel se organiza en torno a cuatro cosas que cualquier responsable —técnico o no— entiende de un vistazo:
4.1 El inventario: qué hay conectado
Un listado vivo de todos los dispositivos, con detección de fabricante, estado online/offline, y la posibilidad de nombrarlos y agruparlos («Portátil-Ventas», «NAS-Oficina», «Cámara-Almacén»). Cuando aparece un dispositivo nuevo que no reconoces, lo ves. Ese es, muchas veces, el primer aviso de que algo no cuadra.
4.2 Los flujos: quién habla con quién
Cada conexión activa de la red: qué dispositivo, en qué dirección (entrada, salida o interno — marcado con etiquetas IN / OUT / LAN), hacia qué destino, con qué protocolo y cuánto tráfico. Aquí es donde se destapan las sorpresas: el equipo que abre cientos de conexiones a la vez, el cacharro que habla con una IP rara, el servicio que creías apagado y sigue emitiendo.

4.3 Los dominios: a dónde llaman tus dispositivos
El ranking de dominios a los que se conecta tu red, con volumen de datos y número de conexiones, y agrupados por categorías. Es la vista que más impacta en la primera reunión: ver, negro sobre blanco, la cantidad de telemetría que emiten los dispositivos «inteligentes» incluso cuando nadie los está usando.
4.4 El tráfico por equipo: quién consume y cuánto
Cuánto sube y baja cada dispositivo, con histórico. Útil para seguridad (un pico de subida raro puede ser una fuga de datos) y también, de paso, para lo mundano: saber qué está saturando tu línea.

5. Cómo lo hace: visibilidad sin instalar nada en tus equipos
Aquí está la elegancia del enfoque, y merece un poco de detalle técnico (moderado, prometido). LAN Sentinel no necesita un agente en cada ordenador. En lugar de eso, lee directamente del firewall intercalado —el MikroTik del capítulo 1— a través de su API (la interfaz REST de RouterOS v7). De ahí obtiene el tráfico real por dispositivo y por dominio a partir de la tabla de conexiones del router (conntrack), el inventario desde el DHCP y el ARP, y lo guarda todo en una base de datos local (SQLite) para que tengas histórico y no solo la foto del instante.
¿Por qué importa que no haya agentes? Por tres razones muy prácticas para una pyme: no tienes que tocar ni mantener software en cada equipo; funciona igual con dispositivos donde no puedes instalar nada (cámaras, impresoras, IoT, móviles de invitados); y como la fuente es el propio firewall, ve el 100% del tráfico que cruza la red, no solo el de los equipos «cooperativos». El hardware y el software trabajando juntos — precisamente el tema que cerrará esta serie en el próximo capítulo.
6. Hacia dónde va: de ver a avisar (roadmap honesto)
Nos gusta contar lo que hay y lo que no. Hoy LAN Sentinel ve y guarda histórico; lo siguiente es que además avise y ayude a investigar. Son las dos funciones en las que estamos trabajando, y las contamos como lo que son —camino, no promesa cerrada con fecha—:
- Alertas de seguridad: cruzar el tráfico de tu red con listas públicas de amenazas (dominios de malware, IPs de botnets conocidas) para marcar automáticamente cualquier conexión a un destino peligroso; y heurísticas sobre los datos que ya recogemos para detectar patrones sospechosos —un equipo escaneando la red, conexiones periódicas típicas de un control remoto, una IP que aparece con dos identidades distintas—.
- Forense: poder reconstruir «qué pasó» ante un incidente gracias al histórico — qué equipo, con qué destino y cuándo. La diferencia entre sospechar y saber.
Cuando estas piezas entren en producción, se sumarán al servicio gestionado sin que tengas que hacer nada. Mientras tanto, lo que ya está —la visibilidad completa— es justo lo que la mayoría de pymes nunca ha tenido.
7. Un software con presente y con futuro: cómo se distribuye
LAN Sentinel está pensado en capas, para que cada empresa entre por donde le encaje:

El núcleo es self-hosted y abierto: te da la visibilidad de red en tu propia infraestructura, con tus datos siempre en casa. El addon de integración con el router/firewall —la pieza que desbloquea el tráfico por dispositivo y por dominio con histórico que ves en las capturas— es una funcionalidad de pago, la que convierte la visibilidad básica en el panel completo. Y en el horizonte está Sentinel Cloud.
La idea de Sentinel Cloud merece un párrafo, porque es coherente con todo el discurso de esta serie. En vez de que tengas que abrir puertos para consultar tu red desde fuera —justo lo que llevamos tres capítulos pidiéndote que no hagas—, un pequeño agente en la red del cliente empuja los datos hacia un servidor central (por un canal de tipo WebSocket/MQTT). Resultado: no se abre ni un solo puerto en la red del cliente, atraviesa el doble NAT sin dolor, y habilita un panel central desde el que gestionar varias sedes o varios clientes a la vez. Para una empresa con varias oficinas —o para nosotros, gestionando muchas redes— es el salto natural. Sin fechas: es hacia dónde va, contado con honestidad.
8. Por qué a una pyme le cambia las reglas
Podría parecer que la visibilidad es «para técnicos». Es al revés: es la herramienta que le da a una empresa sin departamento de IT algo que antes solo tenían las grandes — la capacidad de saber qué pasa en su propia red sin pagar plataformas de miles de euros al año. Con LAN Sentinel, un incidente pasa de «nos enteramos cuando ya era tarde» a «lo vimos raro el primer día». Y para el negocio del día a día, además, resuelve discusiones eternas: qué satura la línea, qué dispositivo se porta mal, si ese equipo fantasma debería seguir conectado. Visibilidad es control, y control es tranquilidad.
9. Preguntas frecuentes
¿Tengo que instalar algo en los ordenadores de mi empresa?
No. LAN Sentinel lee del firewall de la red, no de cada equipo. Eso significa que ve también los dispositivos donde no podrías instalar nada —cámaras, impresoras, IoT, móviles— y que no añade software que mantener en tus puestos.
¿Mis datos salen a algún servidor externo?
Con el núcleo self-hosted, no: todo se queda en tu propia red. La futura versión Sentinel Cloud será opcional y, cuando llegue, funcionará con un agente que empuja los datos de forma cifrada, sin abrir puertos en tu red. Tú decides el modelo.
¿Esto sustituye a un antivirus o a un firewall?
No, los complementa. El antivirus protege cada equipo por dentro; el firewall controla la puerta; LAN Sentinel es la vista que te dice qué está pasando en el conjunto. Son capas distintas, y la visibilidad es la que faltaba casi siempre.
¿Sirve si aún no tengo el firewall MikroTik montado?
La integración completa que ves en las capturas —tráfico por dispositivo y dominio— se apoya en el firewall del capítulo 1. Por eso lo natural es montar las dos piezas juntas: el firewall que protege y LAN Sentinel que lo hace visible. Si partes de cero, te lo montamos como sistema, no como piezas sueltas — lo contamos en la guía de seguridad para pymes desde cero.
¿Y las alertas automáticas?
Están en desarrollo. Hoy la herramienta te da visibilidad completa e histórico; las alertas y el forense son el siguiente paso y se sumarán al servicio cuando entren en producción. Preferimos contártelo así, sin vender humo.
Conclusión: enciende la luz
La mayoría de las brechas de seguridad en pymes no ocurren porque falte un firewall carísimo, sino porque nadie estaba mirando. La visibilidad de red es el paso más barato y más rentable de toda la cadena: no evita por sí sola los ataques, pero te da la capacidad de verlos, entenderlos y responder — el día uno, no el día de la factura. Es encender la luz en una habitación en la que llevabas años a oscuras sin saberlo.
Con esto ya tienes las dos primeras piezas de Keliam Net Sentinel: el firewall que protege y LAN Sentinel que te lo enseña. En el próximo y último capítulo de la serie unimos las dos mitades y vemos cómo hardware y software trabajan juntos para pasar de ver… a entender de verdad tu red. Si no quieres esperar —o prefieres que lo montemos y lo mantengamos por ti— hablemos.
¿Quieres ver tu red por primera vez?
Con Keliam Net Sentinel montamos el firewall, instalamos LAN Sentinel y te enseñamos qué hay de verdad en tu red — dispositivos, tráfico y dominios en un panel claro, y nosotros vigilando. Empezamos siempre igual: una revisión de tu red actual, sin humo.
Cap. 4: Cuando el hardware y el software se unen (próximamente) →



