¿Qué puertos se pueden dejar abiertos sin riesgo?

Los servicios cifrados y autenticados se pueden exponer con seguridad: 443 (HTTPS), 587 y 993 (correo sobre TLS), y 22 (SSH) cuando usa autenticación por clave y MFA. La regla es simple: si el tráfico está cifrado y el servicio está actualizado y autenticado, un puerto abierto no supone un riesgo real por sí mismo.

¿Cuáles son los puertos más peligrosos para dejar abiertos?

Los puertos de mayor riesgo son 23 (Telnet), 21 (FTP), 139 y 445 (NetBIOS/SMB), 3389 (RDP), y cualquier puerto de base de datos como 3306 (MySQL), 5432 (PostgreSQL), 1433 (MSSQL), 6379 (Redis) y 27017 (MongoDB). Envían credenciales en texto plano, tienen un historial de explotación masiva o nunca deberían ser accesibles para desconocidos. RDP y SMB en particular son puntos de entrada favoritos del ransomware.

¿Es malo tener puertos abiertos?

No. Un puerto abierto es solo un servicio que acepta conexiones: los servidores web deben mantener el 443 abierto para funcionar. Un puerto solo es un riesgo cuando el servicio detrás está sin parchear, sin autenticación, sin cifrado o no debería ser público. El objetivo no es cero puertos abiertos, sino cero puertos innecesarios o desprotegidos.

¿Por qué la mayoría de mis puertos aparecen como «filtrados»?

Filtrado significa que un cortafuegos o el NAT de tu router descarta silenciosamente los intentos de conexión. Las conexiones domésticas muestran casi todos los puertos como filtrados de forma predeterminada porque los routers de consumo bloquean todo el tráfico entrante no solicitado: es la opción segura y normalmente conviene mantenerla.

¿Cómo cierro un puerto que no debería estar abierto?

Identifica qué está escuchando (ss -tlnp en Linux, netstat -ano en Windows), detén ese servicio o reconfigúralo para que escuche solo en localhost, y luego añade una regla de cortafuegos que deniegue el puerto. Vuelve a ejecutar un comprobador de puertos: el puerto debería pasar de abierto a filtrado visto desde Internet.

8 de junio de 2026 · 9 min de lectura

Qué puertos deberían estar abiertos (y cuáles son arriesgados)

Una guía clara sobre qué puertos de red es seguro dejar abiertos, cuáles reforzar y cuáles no deberían exponerse nunca a Internet — con una tabla de referencia de riesgos.

Un puerto abierto no es automáticamente peligroso. Un puerto solo es arriesgado cuando el servicio que hay detrás no está cifrado, no está autenticado, no está parcheado o simplemente no está pensado para exponerse a Internet. En resumen: 443, 587, 993 y un SSH reforzado se pueden exponer con seguridad; 23, 21, 445, 3389 y todos los puertos de bases de datos no deberían ser accesibles desde la Internet pública. Esta guía explica el razonamiento para que puedas juzgar cualquier puerto por ti mismo.

La respuesta corta

Veredicto	Puertos	Por qué
✅ Seguros de exponer	443, 587, 993, 8443	Cifrados y autenticados por diseño
⚠️ Reforzar si están abiertos	22, 80, 53, 8080	Útiles, pero atraen ataques: protégelos
❌ Nunca exponer	23, 21, 139, 445, 3389, 1433, 3306, 5432, 6379, 27017	Texto plano, heredados o nunca pensados para ser públicos

Puedes ver cuáles de estos son accesibles en tu propia conexión ahora mismo con la herramienta Cuáles son mis puertos abiertos: analiza estos puertos comunes y etiqueta cada uno según su riesgo.

Primero, qué significa realmente «abierto»

Una comprobación de puerto tiene tres resultados posibles, y la diferencia importa para la seguridad:

Estado	Qué ocurrió	Qué significa
Abierto	El servicio respondió	Algo está escuchando y es accesible desde Internet
Cerrado	El host respondió «no hay nadie»	Accesible, pero ningún servicio se ejecuta en ese puerto
Filtrado	Sin respuesta alguna	Un cortafuegos o el NAT descarta los paquetes en silencio

La mayoría de las conexiones domésticas muestran casi todos los puertos como filtrados porque el NAT del router bloquea el tráfico entrante no solicitado de forma predeterminada. Esa es la base segura. Un puerto abierto significa que tú (o tu proveedor, tu router o un programa malicioso) expusiste deliberadamente un servicio, así que conviene saber cuáles son aceptables.

Puertos que es seguro dejar abiertos

Transportan tráfico cifrado y autenticado. Dejarlos abiertos es normal y esperable:

443 — HTTPS. La razón de ser de un servidor web. Cifrado con TLS; mantén tu certificado y tu versión de TLS al día.
587 — envío SMTP (TLS) / 993 — IMAPS. El correo moderno usa estos puertos cifrados y autenticados. Seguros de exponer.
8443 — HTTPS alternativo. Bien cuando realmente sirve TLS.

El principio: cifrado + autenticación + parches = un puerto abierto no es un riesgo real por sí mismo. Los atacantes pueden conectarse, pero no pueden leer el tráfico ni entrar sin credenciales.

Puertos a reforzar si están abiertos

Tienen usos legítimos pero son objetivos de ataque constantes. Mantenlos abiertos solo si los necesitas, y blíndalos:

22 — SSH. Indispensable para servidores, pero atacado por fuerza bruta a todas horas. Desactiva el inicio de sesión por contraseña, usa claves SSH, habilita MFA y limita la tasa con fail2ban. Cambiar del puerto predeterminado reduce el ruido, pero no es seguridad real.
80 — HTTP. Bien como redirección a HTTPS, pero nunca sirvas contenido sensible por HTTP sin cifrar.
53 — DNS. Necesario para servidores DNS, pero un resolutor abierto se abusa para amplificación de DDoS. Restríngelo a tus propias redes.
8080 — HTTP alternativo. A menudo un servidor de desarrollo olvidado o un panel de administración sin autenticación. Comprueba qué se está ejecutando realmente.

Puertos que nunca deberían exponerse a Internet

Puerto	Servicio	Por qué es peligroso
23	Telnet	Envía las credenciales en texto plano: cualquiera en la ruta puede leerlas
21	FTP	Credenciales en texto plano; usa SFTP por el puerto 22 en su lugar
139 / 445	NetBIOS / SMB	El objetivo de WannaCry / EternalBlue; un vector clave de ransomware
3389	RDP	El punto de entrada de ransomware más común: ponlo detrás de una VPN
1433 / 3306 / 5432	MSSQL / MySQL / PostgreSQL	Las bases de datos nunca deberían ser accesibles para desconocidos
6379	Redis	Sin autenticación de forma predeterminada en muchas configuraciones
27017	MongoDB	Un largo historial de filtraciones masivas por exposición pública

Si alguno de estos aparece abierto al comprobarlo desde Internet, trátalo como una urgencia. La solución es casi siempre la misma: vincula el servicio a localhost o a una red privada, y exige una VPN para cualquier acceso remoto legítimo.

Una regla de decisión sencilla

Cuando encuentres un puerto abierto y no estés seguro, hazte tres preguntas:

¿Está cifrado el tráfico? No → ciérralo o envuélvelo en TLS/VPN.
¿Requiere autenticación? No → ciérralo.
¿Realmente necesito que sea accesible desde Internet? No → ciérralo.

Si no puedes responder «sí, sí y sí», el puerto no debería estar abierto al público. El objetivo nunca es cero puertos abiertos, sino cero puertos innecesarios o desprotegidos.

Cómo cerrar un puerto que no querías abrir

Encuentra qué está escuchando. Linux: ss -tlnp | grep :<port>. Windows: netstat -ano | findstr :<port>, luego asocia el PID en el Administrador de tareas.
Detén o revincula el servicio. Apágalo si no debería ejecutarse, o configúralo para que escuche solo en 127.0.0.1.
Añade una regla de cortafuegos. ufw deny <port>/tcp en Ubuntu, o un bloqueo entrante en el Firewall de Windows.
Verifica. Vuelve a ejecutar un comprobador de puertos: el puerto debería mostrar ahora filtrado desde fuera.

Analiza tu propia conexión en segundos —sin software— con la herramienta Cuáles son mis puertos abiertos, que ahora marca cada puerto común según su nivel de riesgo. Para entender los estados con más profundidad, lee ¿Cuáles son mis puertos abiertos? Cómo comprobar los puertos TCP de tu IP pública. Y si usas una VPN para mantener los servicios arriesgados fuera de la Internet pública, confirma que no tiene fugas con el Test de fugas de VPN y nuestra guía para arreglar una fuga de VPN.