Puertos de red más conocidos y sus usos: guía completa con ejemplos y seguridad

Entender los puertos de red y su relación con los servicios es clave para diagnosticar problemas, securizar sistemas y optimizar el rendimiento. Cada puerto se asocia a un número que identifica a una aplicación o proceso, y su correcta asignación permite conexiones ordenadas y eficientes entre equipos de la red.

Cuando un router recibe una solicitud, la dirige a un puerto concreto del servicio de destino: por ejemplo, el 80 para HTTP o el 443 para HTTPS. De esta forma, el tráfico entra y sale por la «ventana» adecuada. Hay puertos para correo como el 25 (SMTP), puertos para servicios internos o privados y un gran rango de puertos posibles, del 0 al 65535, usados por TCP y UDP en un esquema cliente-servidor.

Tipos de puertos y protocolos de transporte

Piensa en los puertos como puntos lógicos por donde circula la información. En Internet predominan dos protocolos de transporte: TCP y UDP, con filosofías diferentes para mover datos entre origen y destino.

TCP funciona como el “correo certificado”: establece conexión (3‑way handshake), garantiza orden y entrega, y retransmite si hay pérdidas. Es ideal cuando no se admite error, como en web, correo, SSH o transferencias de ficheros.

En el otro extremo, UDP prioriza la rapidez y no garantiza la entrega. Es perfecto para tiempo real (streaming, juegos online, VoIP), donde es preferible fluidez con pequeñas pérdidas antes que latencia elevada.

Una diferencia práctica muy clara: en UDP el datagrama se envía en un paquete IP sin garantías; en TCP, la pila valida y reenvía para asegurar integridad. Por eso, para servicios críticos (p. ej., HTTPS o email) se prefiere TCP, mientras que para multimedia suele reinar UDP.

Rangos de puertos: bien conocidos, registrados y efímeros

Todos los puertos se numeran de 0 a 65535. La IANA clasifica su uso en tres categorías para organizar el ecosistema y evitar conflictos entre aplicaciones.

• Bien conocidos (0–1023): reservados para servicios estándar como HTTP 80, HTTPS 443, FTP 21, SSH 22, SMTP 25 o DNS 53.
• Registrados (1024–49151): asignados a aplicaciones concretas previa solicitud a IANA, como MySQL 3306 o RDP 3389.
• Efímeros o privados (49152–65535): los usa el cliente de forma dinámica al abrir conexiones salientes; se reciclan constantemente.

Además, en programación de sockets, el puerto 0 se usa como petición al sistema para que asigne automáticamente un puerto libre, evitando “codificar” un número fijo que pueda chocar con otros servicios.

Principales puertos TCP y para qué sirven

Si vas a exponer servicios en casa o en la oficina, necesitarás reenvío de puertos (port forwarding) en el router con NAT para que sean accesibles desde Internet. Estos son los TCP más habituales en sistemas y aplicaciones.

• 21: FTP control (o FTPES si se cifra) para gestionar sesiones.
• 22: SSH y SFTP para acceso seguro y transferencia cifrada.
• 23: Telnet, consola remota no cifrada (desaconsejado).
• 25, 26, 2525: SMTP para envío de correo.
• 53: DNS también puede usar TCP, por ejemplo para transferencias de zona.
• 80: HTTP, navegación no cifrada.
• 101: Hostname, identificar nombres de equipos.
• 110: POP3, recepción de correo en clientes.
• 123: NTP (típicamente UDP, pero se referencia como puerto clave para sincronizar hora).
• 137, 138, 139: NetBIOS/NBT para compartición en redes Windows (varían entre TCP/UDP).
• 143: IMAP, acceso a buzones en servidor.
• 179: BGP, intercambio de rutas entre routers de proveedores.
• 194: IRC, chat en tiempo real clásico.
• 443: HTTPS, navegación cifrada con TLS.
• 445: SMB/Microsoft‑DS, Active Directory y compartición en Windows.
• 587: SMTP Submission sobre TLS, envío seguro desde clientes.
• 591: FileMaker como alternativa a HTTP.
• 853: DNS over TLS para resolver con cifrado.
• 990: FTPS implícito.
• 993: IMAP SSL/TLS.
• 995: POP3 SSL/TLS.
• 1194: OpenVPN (puede usar TCP y UDP) para VPN.
• 1723: PPTP (VPN heredada).
• 1812/1813: RADIUS autenticación y accounting (TCP/UDP).
• 2049: NFS para compartir ficheros.
• 2082/2083: cPanel sin/ con SSL.
• 3074: Xbox Live.
• 3306: MySQL.
• 3389: RDP, escritorio remoto de Windows (aconsejable cambiar y filtrar).
• 4662 TCP / 4672 UDP: eMule (descarga y red Kad).
• 4899: Radmin, control remoto.
• 5000: UPnP control, conviene desactivarlo en el router.
• 5400, 5500, 5600, 5700, 5800, 5900: VNC escritorio remoto.
• 6881 / 6969: BitTorrent (puerto de cliente/ tracker).
• 8080: HTTP alternativo para pruebas y apps (p. ej., Tomcat).
• 51400: Transmission por defecto (BitTorrent).
• 25565: Servidores de Minecraft.

Recuerda que los puertos efímeros (49152–65535) se asignan como origen del cliente. Si visitas una web, tu equipo abre un efímero hacia el 80 o 443 del destino. Y en FTP pasivo (PASV) no basta con abrir el 21: hay que permitir un rango de datos para las transferencias.

Principales puertos UDP y usos frecuentes

UDP se utiliza cuando se prima la baja latencia. Muchos servicios de infraestructura y multimedia dependen de él, por lo que conviene saber qué puertos usar y proteger.

• 23: utilizado por algunos dispositivos Apple para FaceTime (mención específica de ciertos fabricantes).
• 53: DNS, resolución de nombres (también TCP en casos puntuales).
• 67/68: DHCP servidor/cliente para asignación de IP.
• 69: TFTP, transferencia sin sesión (rápido, sin garantías).
• 88: usado por Xbox Live junto con otros puertos.
• 161/162: SNMP/ Traps para monitorización.
• 500: ISAKMP/IKE Fase 1 de IPsec.
• 514: Syslog, envío de logs de sistema.
• 1194: OpenVPN (más habitual en UDP por rendimiento).
• 1701: L2TP (VPN).
• 1812/1813: RADIUS autenticación y accounting (también TCP).
• 4500: IPsec NAT‑Traversal y Fase 2.
• 51871: WireGuard por defecto en ciertas configuraciones.

Los puertos 1024–49151 se consideran registrados por IANA para servicios concretos, minimizando colisiones. A partir de ahí, los desarrolladores pueden registrar un puerto o elegir uno libre, evitando las restricciones adicionales que los sistemas imponen a los bien conocidos.

Puertos más utilizados en Internet

En el día a día, algunos puertos concentran la mayor parte del tráfico y, por tanto, más intentos de ataque. Conócelos y protégelos correctamente.

• 80: HTTP, acceso web.
• 443: HTTPS, navegación cifrada y transacciones seguras.
• 21: FTP, transferencia de ficheros (mejor usar FTPS/SFTP).
• 22: SSH, administración remota segura.
• 25: SMTP, envío de correo.
• 53 UDP: DNS, resolución de dominios.
• 110: POP3, recepción de correo.
• 161 UDP: SNMP, gestión y monitorización (ciérralo si no se usa).
• 4444: usado por malware y troyanos; bloquea si no es imprescindible.
• 6660–6669: IRC, si no lo usas, no lo expongas.

Estudios de tráfico indican que SSH 22, HTTP 80 y HTTPS 443 aglutinan alrededor del 65% de ataques observados, simplemente porque son muy comunes. No son “malos” per se; el riesgo está en exponer servicios vulnerables sin protección.

TCP vs UDP: rendimiento y fiabilidad

TCP es orientado a conexión, con acuses de recibo y control de congestión. Esto incrementa la latencia y consumo de ancho de banda, pero garantiza entrega y orden, ideal para datos sensibles (web, banca, correo).

UDP es sin conexión, envía sin confirmar recepción y reduce latencia. Es más rápido y eficiente, perfecto para streaming, juegos y videollamadas, asumiendo pérdidas leves o desorden de paquetes si la app lo tolera.

Estados de los puertos según el escaneo

Al auditar equipos con herramientas como Nmap, un puerto puede aparecer en distintos estados según la respuesta. Esto ayuda a diagnosticar y securizar.

• Abierto: un servicio escucha y responde.
• Cerrado: rechaza comunicaciones, no hay servicio.
• Filtrado: un firewall bloquea/filtra, el escáner no puede determinar con certeza.
• No filtrado / Abierto/filtrado / Cerrado/filtrado: combinaciones intermedias que Nmap usa cuando no tiene confirmación plena.

Cuándo es importante abrir puertos

Hay escenarios donde abrir puertos marca la diferencia entre una conexión pobre y una experiencia fluida. Eso sí, solo abre los necesarios y con controles.

Juegos online

Muchos títulos y consolas requieren rango de puertos específicos para matchmaking, chat de voz y juego estable. Suele elegirse el rango 1024–49151 para evitar conflictos con servicios estándar. Consulta la documentación oficial del juego o consola (PS4/PS5/Xbox) y configura el port forwarding en tu router.

Descargas P2P

Clientes como BitTorrent o eMule se benefician de puertos abiertos para conexiones entrantes. Sin ello, verás velocidades limitadas o menos fuentes. eMule muestra Low ID si no aceptas entrantes y no puedes usar la red Kad.

Videollamadas y mensajería

En apps de videoconferencia, si el cortafuegos bloquea puertos multimedia aparecen cortes o mala calidad. Muchas herramientas abren reglas automáticamente, pero en entornos controlados conviene configurarlas a mano.

Puertos a abrir según la aplicación

Estos son los rangos más citados para mejorar la calidad con las apps más populares, además del TCP 443 para HTTPS en todos los casos.

Skype

Para un rendimiento óptimo, abre UDP 3478–3481 y UDP 50000–60000. Opcionalmente, para mejorar calidad: UDP 1000–10000, UDP 50000–65000 y UDP 16000–26000. Mantén TCP 443 accesible.

Google Meet

Necesita TCP 443 y UDP 19302–19309 para tráfico multimedia. Si el firewall filtra estos puertos, notarás cortes y degradación.

Zoom

Abre TCP 80/443 y los específicos TCP 8801/8802 junto con UDP 3478, 3479, 8801, 8802 para una videollamada estable.

Discord

Además de TCP 443, habilita TCP 6463 y el rango TCP/UDP 6457–6463 para mejorar la conectividad de voz y vídeo.

FaceTime

Asegura TCP 443 y, en UDP, 53, 80, 5223 y 16393–16472. Con ellos reducirás cortes e imposibilidad de iniciar llamadas.

eMule: puertos imprescindibles

Para evitar Low ID y aprovechar el ancho de banda, abre TCP 4662 y UDP 4672. Configura el reenvío en el router (Port Forwarding/Virtual Server) y reinicia para aplicar. Valora usar puertos personalizados y mantén antivirus y sistema al día.

Mejoras y evolución de TCP/UDP

TCP sigue evolucionando con técnicas como segmentación y multiplexación, nuevos algoritmos de control de congestión y optimizaciones para grandes flujos. Todo para ganar velocidad sin perder fiabilidad.

En UDP, se exploran mecanismos selectivos de control de errores/retransmisión a nivel de aplicación para ampliar su uso a escenarios que requieren mayor integridad, manteniendo la baja latencia.

Riesgos al abrir puertos y buenas prácticas

Abrir puertos aumenta la superficie de ataque: malware, accesos no autorizados, escaneos de reconocimiento y DDoS pueden explotar servicios expuestos. Antes de abrir, valora si es estrictamente necesario.

Medidas mínimas: actualiza software, aplica contraseñas robustas o claves (p. ej., SSH), segmenta redes con VLAN, usa firewalls e IDS/IPS y monitoriza logs con soluciones como Fail2ban para bloquear orígenes maliciosos.

Puertos “calientes” para atacantes

Los siguientes puertos son objetivo frecuente al ser servicios ubicuos o críticos. No es que sean peligrosos por sí mismos, sino su exposición sin endurecer la superficie.

• FTP 21: transferencias sin cifrar.
• SSH 22: muy atacado con fuerza bruta.
• Telnet 23: remoto sin cifrado, evita usarlo.
• SMTP 25: envío de correo, objetivo de abuso.
• HTTP 80: web sin cifrar.
• HTTPS 443: web cifrada, sigue siendo muy escaneado.
• POP3 110: correo en claro si no se usa TLS.

Proteger UDP críticos: DNS, DHCP y SNMP

 

DNS (UDP/TCP 53)

Si no ejecutas un servidor DNS, bloquea entrantes al 53. Si lo ofreces, limita peticiones por segundo, aplica baneos temporales con Fail2ban y valora DoT/DoH (TLS/HTTPS) para cifrar resoluciones.

DHCP (UDP 67/68)

Deshabilita el servicio si no se usa. Si es necesario, mantén actualizado el servidor, monitoriza Discover masivos (intentos de exhaustar el pool) y restringe su alcance a la LAN.

SNMP (UDP 161/162)

Usa SNMPv3 con autenticación y cifrado; evita v2c en redes expuestas. Si no lo necesitas, desactívalo o bloquea puertos en firewall. Considera restringir IPs autorizadas y encapsular en SSH o VPN.

Ejemplos de reglas con iptables para controlar SNMP:

iptables -A INPUT -p udp --dport 161 -s <IP_autorizada> -j ACCEPT
iptables -A OUTPUT -p udp --sport 161 -d <IP_destino> -j ACCEPT

Cómo comprobar puertos abiertos

Desde Internet (WAN)

Usa un test de puertos online desde fuera de tu red. Primero confirma tu IP pública en un servicio de “cuál es mi IP” y prueba rangos o puertos específicos. Si aparece, por ejemplo, el 21 abierto y no tienes FTP, ciérralo.

Desde la LAN

Con Nmap, puedes escanear TCP y UDP. Para UDP:

nmap -sU -v <IP_del_host>

Interpretación típica: abierto (responde), open|filtered (sin respuesta concluyente), cerrado (ICMP type 3 port unreachable) o filtrado (otros ICMP). También puedes combinar -sS -sU para ver ambos protocolos.

Cerrar puertos peligrosos en el router

Si detectas aperturas innecesarias, puedes eliminar reglas una a una o, si quieres empezar de cero, restaurar a valores de fábrica el router. Así borras reglas antiguas y reabres solo lo que realmente necesites.

CG‑NAT: por qué a veces no funciona abrir puertos

Bajo CG‑NAT, varios clientes comparten una misma IP pública. Tu router no recibe directamente los entrantes desde Internet, por lo que el port forwarding no surte efecto. Consulta a tu operadora: algunas ofrecen salir de CG‑NAT o IP estática/IPv6 (a veces con coste).

Cómo proteger correctamente los puertos

Por defecto, todo cerrado salvo lo imprescindible. Aplica el principio de mínimo privilegio y expón lo menos posible. El software que abre sockets debe estar siempre actualizado y, si requiere autenticación, adopta claves fuertes (p. ej., claves SSH o certificados).

Supervisa de forma continua qué puertos están en uso, investiga tráfico extraño y entiende el patrón normal de tus servicios para detectar anomalías. Complementa el firewall con IDS/IPS en la red y, si es viable, un IDS en el endpoint.

UPnP: por qué conviene desactivarlo

UPnP permite a aplicaciones abrir puertos automáticamente. Es cómodo, pero resta control y visibilidad. Se recomienda desactivarlo en el router y crear reglas manuales con trazabilidad.

Puertos y certificaciones: lo que más se pregunta

Si te preparas para CCNA o certificaciones CompTIA, prioriza dominar los puertos y servicios más comunes: HTTP/HTTPS, DNS, DHCP, SMTP/POP3/IMAP, SSH, RDP, SMB, LDAP, SQL, SNMP, NTP y los rangos efímeros. No hace falta memorizar los 65.535, pero sí los clave y sus implicaciones de seguridad.

Listado ampliado de puertos relevantes

Además de los ya citados, conviene tener presentes estos puertos usados por herramientas y servicios populares para diagnóstico y hardening:

• 500/4500 UDP: IPsec IKE/NAT‑T.
• 3128 TCP: proxies HTTP (Squid).
• 5060 UDP: SIP telefonía.
• 5222/5223/5269 TCP: XMPP/Jabber (cliente/SSL/servidor).
• 5432 TCP: PostgreSQL.
• 5631 TCP / 5632 UDP: PC‑Anywhere.
• 6000 TCP: X11 (gráficos remotos).
• 6112 UDP: servicios Blizzard.
• 6346 TCP: Gnutella (p2p).
• 6667 TCP: IRC clásico.
• 8000/8080 TCP: HTTP alternativos/ streaming.
• 8118 TCP: Privoxy.
• 9009 TCP: chat p2p (varios).
• 10000 TCP: Webmin (admin remota web).
• 19226 TCP: agentes de seguridad (ej. Panda).
• 31337 TCP: asociado históricamente a herramientas de administración remota/troyanos.
• 42000–42004 TCP: monitorización (Percona, según despliegues).
• 27017 TCP: MongoDB.
• 3074 TCP/UDP: Xbox Live.

Algunos puertos como 1337, 9898, 12345, 31337 aparecen a menudo en contextos de máquinas comprometidas o pruebas de seguridad. No son “mágicos”, pero conviene vigilarlos en escaneos periódicos.