En la administración de sistemas, existe un debate recurrente: si tengo un firewall que bloquea una IP al tercer intento fallido de conexión SSH, ¿realmente necesito tomarme la molestia de restringir el acceso solo a mi IP estática?
A primera vista, el bloqueo automático parece la solución definitiva contra la fuerza bruta. Sin embargo, en el panorama actual de la ciberseguridad, esta medida es solo una capa de conveniencia, no una alternativa real a la restricción de red. Aquí te explicamos por qué.
La vulnerabilidad ante el “Low and Slow”
Un firewall que bloquea tras tres intentos fallidos es excelente contra scripts ruidosos y ataques de “fuerza bruta rápida”. Pero los atacantes sofisticados utilizan ataques de baja frecuencia:
- Prueban una contraseña cada hora.
- Rotan entre miles de direcciones IP diferentes (botnets). Si un atacante usa una red de 5,000 bots y cada uno intenta entrar solo una vez, tu firewall nunca se activará, pero habrás recibido 5,000 intentos de acceso.
Exposición a vulnerabilidades del protocolo (0-days)
El mayor riesgo de dejar el puerto 22 abierto al mundo no es que adivinen tu contraseña, sino que el propio servicio SSH (OpenSSH) tenga una vulnerabilidad no descubierta o no parcheada.
- Ataques antes de la autenticación: Si el puerto está abierto, el atacante puede enviar paquetes maliciosos para explotar un desbordamiento de memoria sin siquiera intentar una contraseña.
- Si el puerto está cerrado para todos excepto para tu IP, el atacante ni siquiera puede “hablar” con el servicio para intentar explotarlo.
El riesgo de Denegación de Servicio (DoS)
Si un atacante sabe que bloqueas IPs tras tres intentos, puede utilizar técnicas de IP Spoofing (suplantación de IP) para que el firewall bloquee legítimamente a usuarios que sí deberían tener acceso, o simplemente saturar los recursos del firewall gestionando una tabla de bloqueos masiva.
Consumo de recursos y ruido en logs
Tener el puerto 22 abierto al mundo significa que tus logs estarán inundados de ruido. Esto dificulta la detección de ataques reales y consume CPU y ancho de banda innecesarios.
Tabla Comparativa: Defensa en Profundidad
| Característica | Bloqueo por intentos (Fail2Ban) | Restricción por IP (Whitelist) |
|---|---|---|
| Protección contra Fuerza Bruta | Alta (para ataques rápidos) | Total |
| Protección contra Vulnerabilidades 0-day | Nula | Máxima |
| Complejidad de Gestión | Baja | Media (requiere IP fija o VPN) |
| Visibilidad del servicio | Visible para todo Internet | Invisible (Puerto “Filtered”) |
La Estrategia Ideal: No elijas, combina
Si bien es cierto que restringir por IP puede ser molesto si no tienes una IP estática, la seguridad nunca debería sacrificarse por una comodidad mínima. La recomendación profesional sigue siendo:
- Prioriza la restricción por IP: Si no tienes IP fija, usa una VPN o un Bastion Host.
- Usa llaves SSH: Desactiva por completo la autenticación por contraseña.
- Cambia el puerto: Aunque no es seguridad real (es oscuridad), reduce el ruido de los bots básicos.
- Mantén el firewall activo: Usa el bloqueo por intentos como una red de seguridad secundaria, no como la principal.
Confiar solo en el bloqueo por intentos es como dejar la puerta de tu casa abierta en un barrio peligroso confiando en que el guardia atrapará al ladrón después de que este pruebe tres llaves. Es mucho más seguro, simplemente, no dejar que nadie se acerque a la cerradura.