En un mundo cada vez más digitalizado, la seguridad en las redes se ha convertido en una prioridad a tener en cuenta en todas las organizaciones. Los cortafuegos, o firewalls, son herramientas esenciales en la lucha contra los ciberataques, actuando como guardianes entre los datos privados y las amenazas externas. Constituyen un sistema de seguridad que controla el tráfico de red entrante y saliente basado en reglas preestablecidas. Su función es proteger las redes de computadoras de accesos no autorizados, bloqueando o permitiendo datos específicos a través de su barrera.

Generalmente, son situados en el punto de entrada entre una red privada y el exterior de Internet, de forma que todos los paquetes entrantes y salientes tienen que pasar por él. Un paquete puede verse como una tupla con un número finito de campos como son la dirección IP de origen, la dirección IP de destino, el número de puerto de origen, el número de puerto de destino y el tipo de protocolo. Examinando los valores de estos campos para los paquetes entrantes y salientes, un cortafuegos acepta los paquetes legítimos y descarta los ilegítimos según se haya configurado este previamente.

Su historia es completamente fascinante y refleja la evolución de la ciberseguridad a lo largo del tiempo. La primera propuesta surgió a finales de la década de los años 80 por Jeff Mogul de la ya extinta empresa tecnológica estadounidense Digital Equipament Corp (DEC), marcando, por lo tanto, la primera generación. No obstante, existen otros que se proclaman creadores de este concepto, pero en realidad la idea surgió como una combinación de todas sus propuestas a la hora de proteger el acceso a máquinas y redes de ordenadores.

Posteriormente, la compañía Bell Labs de AT&T, a través de los investigadores Steve Bellovin y Bill Cheswick, desarrolló en 1991 el primer concepto de lo que se consolidaría a continuación como filtrado de paquetes stateful o cortafuegos de estado. Esta etapa quedó marcada como la segunda generación. En un corto espacio de tiempo, surgió la tercera y posteriormente lo que sería la cuarta generación. Sin dudas estos, desde su creación, han ido en constante evolución. Originalmente diseñados para filtrar paquetes de datos simples, actualmente ya son capaces de inspeccionar y gestionar el tráfico a un nivel mucho más profundo, ofreciendo protección contra una variedad de amenazas sofisticadas.

Los cortafuegos siempre han constituido un pilar de la seguridad empresarial y la tecnología más ampliamente adoptada para proteger las redes privadas. Un error cometido en el diseño de una política o bien crea agujeros de seguridad que permitirán que el tráfico malicioso se infiltre en la red privada, o bien bloquea el tráfico legítimo e interrumpe los procesos empresariales normales, lo que a su vez podría tener consecuencias irreparables, e incluso trágicas.

Aunque una política es una mera secuencia de reglas, diseñar correctamente una no es, en absoluto, un proceso de baja complejidad. Las reglas de una política de cortafuegos están lógicamente relacionadas debido a los conflictos que se pueden establecer entre las diferentes reglas y a la sensibilidad al orden resultante. Ordenar correctamente las reglas es fundamental. La implicación de cualquier regla no puede entenderse correctamente sin examinar todas las reglas enumeradas por encima de esa regla. Además, una política puede constar de un gran número de reglas. Un cortafuegos en Internet puede constar de cientos o incluso varios miles de reglas en casos extremos. Cabe imaginar la complejidad de la lógica subyacente a tantas reglas en conflicto.

Entre los principales tipos se encuentran:

• Cortafuegos de Aplicación: Filtran el tráfico a nivel de aplicación, actuando como intermediarios entre el usuario y el servicio que está utilizando.
• Cortafuegos de Estado: Monitorean la conexión completa y toman decisiones basadas en el contexto del tráfico y el estado de la conexión.
• Cortafuegos de Filtrado de Paquetes: Estos inspeccionan los paquetes de datos individuales en busca de coincidencias con un conjunto de reglas conocidas.
• Cortafuegos de Próxima Generación (NGFW): Combinan las capacidades de un cortafuegos tradicional con funcionalidades adicionales como la inspección profunda de paquetes y la prevención de intrusiones.

Si bien es cierto que estos desempeñan un papel importante y central en el mantenimiento de la seguridad de las redes y que cualquier organización que los ignore, lo hace por su cuenta y riesgo, no son ni la panacea de todos los aspectos de seguridad de una red, ni el único baluarte suficiente contra las intrusiones. Saber lo que los cortafuegos no pueden hacer es tan importante como saber lo que sí pueden. A continuación, se enumeran algunas de las limitaciones que hay que tener en cuenta:

• Un cortafuegos es, por su naturaleza, una defensa perimetral y no está orientado a combatir al enemigo interior, por lo que no es una contramedida útil contra un usuario que abuse del acceso autorizado al dominio.
• No son una defensa real contra problemas de código malicioso como virus y troyanos, aunque algunos son capaces de escanear el código en busca de señales reveladoras.
• La configuración de las reglas de filtrado de paquetes suele ser un proceso complicado en el curso del cual pueden producirse errores fácilmente, lo que provoca agujeros en la defensa. Además, la comprobación de las reglas configuradas suele ser un proceso largo y difícil debido a las deficiencias de las herramientas de comprobación actuales. Los enrutadores normales de filtrado de paquetes no pueden aplicar algunas políticas de seguridad simplemente porque no disponen de la información necesaria.
• Por otra parte, la suposición tradicional de que todos los que están dentro del cortafuegos son amistosos y todos los que están fuera de él potencialmente hostiles, se está quedando algo anticuada. La conectividad a Internet se ha ampliado, las extranets pueden permitir el acceso de extraños a zonas protegidas por cortafuegos, y algunas computadoras requieren mayor acceso al exterior que otras, lo que a menudo implica un cambio en la dirección IP interna.

Ver detalles del artículo: Barreras digitales: La historia y el futuro de los cortafuegos