Cómo abrir puertos en el router paso a paso y sin riesgos

Informatec Digital » Recursos » Cómo abrir puertos en el router paso a paso y sin riesgos

Si alguna vez te has peleado con un juego online, un programa de descargas (cómo abrir un torrent paso a paso) o una cámara IP que no hay manera de ver desde fuera de casa, es muy probable que el problema tenga que ver con los puertos del router y cómo los tienes configurados. Suena a cosa de ingenieros de redes, pero con un poco de calma puedes controlarlo tú mismo sin volverte loco.

En las siguientes líneas vamos a ver qué son exactamente los puertos del router, cuándo merece la pena abrirlos y cómo hacerlo paso a paso en prácticamente cualquier equipo doméstico, desde routers de operadora (Movistar, Orange, Vodafone, Yoigo, MásMóvil, Jazztel…) hasta modelos de marcas como ASUS o D-Link. También verás los riesgos de seguridad, qué puertos conviene evitar y cómo comprobar que todo está bien abierto y funcionando.

Qué son los puertos del router y cómo se organizan

Para entenderlo fácil, imagina que tu red de casa es un bloque de pisos y el router es el portero que reparte todos los paquetes que llegan desde Internet. Cada servicio (web, correo, juego online, videollamada…) tiene su «timbre» o puerta numérica: eso es un puerto. Cuando alguien llama a un puerto concreto, el router decide a qué dispositivo de tu red debe entregarle los datos.

Todo router doméstico dispone de 65.536 puertos numerados del 0 al 65.535. No los vas a usar todos ni de lejos, pero muchos sí tienen una función estandarizada que conviene respetar. Esa organización la gestiona la IANA, que define distintos rangos con usos muy concretos.

Esos puertos se dividen en tres grandes grupos con funciones bien diferenciadas, y saber qué hace cada rango te ayuda a entender por qué algunos casi nunca deberías tocarlos y otros son los que vas a abrir para juegos o aplicaciones.

La cosa queda así: los puertos bajos los usa el sistema y los protocolos básicos, los intermedios suelen reservarse para programas concretos, y los altos son los que se emplean como puertos dinámicos o privados para conexiones puntuales con servidores externos.

En detalle, los rangos se reparten de la siguiente forma y conviene tenerlos controlados antes de empezar a toquetear:

• Puertos 0-1023 (bien conocidos o de sistema): reservados para el sistema operativo y protocolos básicos. Ejemplos típicos: 20 (FTPS), 21 (FTP), 22 (SSH), 25 (SMTP), 53 (DNS), 80 (HTTP) o 443 (HTTPS). Mejor no reciclarlos alegremente para inventarte servicios caseros.
• Puertos 1024-49.151 (registrados): los usan programas y juegos que instalas. Muchos se configuran solos durante la instalación. Por ejemplo, el 1194 en OpenVPN en servidores NAS en casa o el 6881 en BitTorrent.
• Puertos 49.152-65.535 (privados o dinámicos): se asignan de forma temporal a conexiones salientes o a determinadas apps que hablan con servidores remotos. Son los que más se suelen usar para servicios propios en casa.

Por qué a veces hay que abrir puertos en el router

De fábrica, la mayoría de routers domésticos vienen configurados para bloquear casi todo el tráfico entrante desde Internet. Para lo que sale hacia fuera no hay problema: gracias a la NAT (Network Address Translation), tus dispositivos navegan, juegan o ven Netflix sin tener que abrir nada. El follón empieza cuando quieres que desde fuera entren conexiones hacia dentro.

Cuando un juego, una app P2P o un servidor casero necesita que otros se conecten a él desde Internet, hace falta indicarle al router por qué «puerta» debe dejar pasar ese tráfico. Si ese puerto no está bien configurado, la información queda atascada en el router porque no sabe a qué dispositivo interno enviarla, y ahí llegan los síntomas típicos: NAT estricta en consola, descargas lentas, problemas para alojar partidas, cortes en videollamadas, etc.

En ese punto entran en juego las reglas de reenvío de puertos (Port Forwarding): le dices al router que todo lo que entre por un puerto concreto se redirija a la IP interna de un dispositivo. Si omites este paso o lo haces mal, la conexión desde fuera nunca terminará de establecerse aunque el programa esté correctamente instalado.

Por eso, cuando instalas algo que depende de conexiones entrantes están pasando dos cosas clave: por un lado, el equipo intenta usar un puerto dinámico; por otro, si el router no tiene una regla clara asociada a ese puerto, va a tirar abajo esas peticiones entrantes «por seguridad». Abrir puertos es literalmente decirle al router qué hacer con ese tráfico en lugar de tirarlo a la basura.

Puertos, NAT y seguridad: lo que debes saber antes de tocar nada

La NAT es la tecnología que permite que muchos dispositivos de tu casa compartan una única IP pública. Hacia fuera solo se ve la IP del router, y dentro todos se mueven con IP privadas (tipo 192.168.1.X). Esa traducción la hace el router paquetito a paquetito.

Cuando la conexión empieza desde dentro hacia Internet (navegar, ver Netflix, jugar conectándote a un servidor externo…), el router crea una tabla interna con el puerto de origen y sabe devolver la respuesta al dispositivo correcto. Para esto no necesitas abrir puertos manualmente.

Solo hay que abrir puertos cuando la comunicación se inicia desde fuera hacia tu red local: alojar un servidor FTP, acceder por SSH, montar una VPN, ver cámaras IP desde la calle o mejorar la NAT en consolas para que otros se conecten a ti. En esos casos debes crear un agujero controlado en el firewall del router para permitir ese tráfico.

Ahora bien, cada puerto abierto es una puerta más por la que podrían intentar entrar. Los ciberdelincuentes utilizan herramientas de escaneo para detectar puertos abiertos y servicios vulnerables, y a partir de ahí lanzar ataques de fuerza bruta, explotación de fallos o incluso DDoS si el puerto es propicio.

Por eso, a nivel de seguridad la regla de oro es muy clara: abrir solo los puertos estrictamente necesarios, durante el menor tiempo posible y manteniendo todo actualizado (router, sistema operativo y aplicaciones que escuchan en ese puerto).

Diferencias entre TCP y UDP al abrir puertos

Cuando creas una regla de reenvío siempre verás que tienes que elegir protocolo. En redes, los reyes del mambo son TCP y UDP, dos formas distintas de enviar datos por Internet y que afectan a cómo debes abrir el puerto.

TCP funciona como un servicio de mensajería certificada: establece una conexión, garantiza que todos los paquetes llegan y lo hacen en orden, y si algo falla reenvía lo que haga falta. Eso da mucha fiabilidad, pero añade comprobaciones que meten algo de retraso. Se usa para web, correo, muchas APIs, descargas, etc.

UDP es más bruto: lanza los paquetes sin confirmar si han llegado o si se han perdido. Es como mandar mensajes en una botella: van rápidos, pero no hay garantía de entrega ni de orden. La ventaja es la velocidad y la baja latencia, lo que lo hace ideal para streaming en tiempo real, juegos online, videollamadas o audio en directo.

Según la aplicación, te pedirán abrir un puerto TCP, UDP o ambos. Si dudas y el router te da opción, muchas veces puedes marcar TCP/UDP (Both) para cubrir las dos variantes, aunque es más fino seguir las recomendaciones exactas del juego o programa.

Pasos previos imprescindibles antes de abrir puertos

Antes de lanzarte al panel del router hay dos cosas que conviene dejar atadas: saber a qué IP hay que enviar el tráfico y tener claro que esa IP no va a cambiar cada vez que se reinicie el dispositivo.

El primer paso es conocer la IP privada del equipo al que le vas a abrir los puertos. En Windows puedes abrir una consola (busca «cmd»), escribir ipconfig y mirar el valor de «Dirección IPv4». En macOS y Linux lo verás en los ajustes de red o con comandos como ifconfig o ip a.

El segundo paso, y este es donde mucha gente pincha, es fijar esa IP para que no cambie. Puedes hacerlo de dos maneras: configurando la IP manualmente en el propio dispositivo o, mucho mejor, utilizando la opción de DHCP estático del router, asignando siempre la misma IP a la MAC de ese equipo, para lo que te puede ayudar cómo entrar al router y configurar su wifi.

Si no haces esto, cuando el router reparta nuevas IP al encenderse, la regla de puertos seguirá apuntando a una dirección antigua y el servicio dejará de funcionar, y te volverás loco pensando que el fallo es otro.

Activar o no activar UPnP en el router

Casi todos los routers modernos incluyen una función llamada UPnP (Universal Plug and Play), que básicamente permite que las propias aplicaciones pidan al router que abra y cierre puertos de forma automática según los van necesitando.

La ventaja es clara: si está bien implementado, te ahorras tener que crear reglas manuales para muchos juegos y programas, y además el router cierra los puertos cuando detecta que ya no hay tráfico por ellos durante un tiempo.

Para activarlo, normalmente tienes que entrar al panel de configuración (IP tipo 192.168.0.1 o 192.168.1.1 en el navegador), identificarte con usuario y contraseña y buscar el apartado de UPnP, NAT o configuración avanzada. Suele ser tan simple como marcar una casilla, guardar y listo.

El problema es que desde el punto de vista de seguridad algunos expertos recomiendan mantener UPnP desactivado, porque una app maliciosa en tu red podría abrir puertos a su antojo y dejar un buen boquete. Si quieres ir sobre seguro, es más lento pero más controlado abrir solo lo que necesites de forma manual; en general conviene seguir buenos consejos de configuración de routers.

Cómo entrar al router y localizar la sección de apertura de puertos

Para tocar cualquier ajuste tienes que acceder primero a la interfaz web del router. Lo habitual es escribir la puerta de enlace en la barra de direcciones del navegador: típicamente 192.168.1.1 o 192.168.0.1, aunque cada operador puede usar otra.

Si no la conoces, en Windows puedes abrir el Símbolo del sistema, ejecutar ipconfig y mirar el campo «Puerta de enlace predeterminada». Esa IP es la que tienes que poner en el navegador como si fuera una web normal; también puedes consultar cómo encontrar la IP de tu router.

Una vez te cargue la página de login, introduce el usuario y contraseña de administración del router. Normalmente vienen en una pegatina pegada en la base o parte trasera del aparato (admin/admin, 1234/1234 o combinaciones parecidas en muchos modelos de operadora).

Dentro del menú, la sección de apertura de puertos puede llamarse de maneras distintas según el fabricante: NAT, Port Forwarding, Virtual Server, Redirección de puertos o Servidor virtual. Suelen estar en «Configuración avanzada», «Internet», «Firewall» o similares, así que te tocará navegar un poco por las pestañas.

Ten en cuenta que, si alguna vez cambiaste la contraseña del router y la has olvidado, quizá no te quede otra que hacer un reset físico al equipo para devolverlo a valores de fábrica. Esto implica perder toda la configuración (incluidos puertos abiertos), así que conviene hacer copia de seguridad de la configuración cuando ya lo tengas todo fino.

Abrir puertos manualmente en cualquier router: parámetros clave

Una vez en la sección correcta, todos los routers piden más o menos los mismos datos aunque la pantalla cambie un poco. La idea es siempre la misma: crear una regla que diga qué puerto se abre, hacia qué IP interna y con qué protocolo.

Los campos más habituales que vas a encontrarte son estos (los nombres pueden variar un poco, pero el significado es el mismo):

• Nombre del servicio o regla: etiqueta para que recuerdes para qué sirve esa apertura (por ejemplo, «PS5 Online», «Servidor Minecraft», «Cámara salón»).
• Protocolo: elegir entre TCP, UDP o ambos. Sigue las indicaciones del juego o programa; si no lo especifica, muchas veces se usan los dos.
• Puerto externo / WAN Port: es el número de puerto que se va a abrir hacia Internet. Si te piden abrir el 25565, por ejemplo, este será 25565.
• Puerto interno / LAN Port: en muchos routers puedes dejarlo igual que el externo, salvo que quieras hacer una traducción de puertos por algún motivo especial.
• Dirección IP interna (LAN Host, Internal IP): la IP fija del dispositivo de tu red que recibirá ese tráfico (ordenador, consola, NAS, cámara IP…).
• IP de origen o filtrado por origen (si existe): algunos routers avanzados permiten limitar quién puede usar ese puerto solo desde determinadas IP remotas, añadiendo una capa de seguridad.

Tras rellenar estos campos, normalmente habrá un botón de Añadir, Guardar o Apply. En muchos modelos se aplica al momento, pero en otros es recomendable reiniciar el router para asegurarte de que la regla se activa sin problemas.

Si vas a abrir varios puertos no consecutivos, algunos firmwares te permiten introducir listas separadas por comas o rangos con guiones (por ejemplo, 1000-1010,2000,3000-3005). En otros tendrás que crear una regla por puerto o rango, uno a uno, lo cual es un poco rollo pero funciona igual.

En routers concretos de operadora, como el ZTE F680 de Jazztel/MásMóvil, verás campos adicionales como WAN Start/End Port y LAN Start/End Port. La lógica es la misma: especificas el rango externo que quieres abrir y el rango interno al que redirigir, que a menudo será idéntico salvo que quieras mapear un grupo diferente.

Abrir puertos desde las webs de los operadores y portales propios

Algunas compañías como Movistar, Orange o Vodafone ofrecen un portal propio en su web (tipo Portal Alejandra u otras herramientas de gestión remota) desde donde puedes cambiar ajustes del router sin entrar directamente a su IP interna.

En estos portales se suele incluir una sección de Puertos o Redirección de puertos en la que eliges si aplicar perfiles predeterminados (por ejemplo, para PS5, Xbox o ciertos juegos) o si quieres crear reglas manuales con IP, puerto y protocolo; si usas el router del operador puedes consultar guías como la guía para configurar tu router Movistar.

La ventaja es que la interfaz suele ser más amigable y uniforme incluso aunque cambien los modelos de router dentro de la misma operadora. Además, puedes tocar la configuración desde fuera de casa, sin estar conectado físicamente a la red del router.

La pega es que solo funciona si estás usando el router que te ha suministrado el operador, y no siempre exponen todas las opciones avanzadas. Si necesitas configuraciones más finas (filtrado por IP origen, mapeos complejos, etc.), seguramente te toque entrar al router directamente.

Comprobar si los puertos del router están realmente abiertos

Después de configurar una regla es buena idea verificar que todo ha quedado como debe. Puedes hacerlo tanto desde tu ordenador como con herramientas online de escaneo de puertos, que son bastante cómodas.

Desde Windows, una forma básica de ver puertos en uso es abrir el Símbolo del sistema con permisos de administrador y ejecutar netstat -an. El comando te listará todos los puertos abiertos y conexiones activas con su estado y protocolo.

En macOS, puedes abrir la app Utilidad de Red, pestaña Port Scan, introducir la IP y pulsar en «Explorar» para que haga un barrido de puertos abiertos. Esto es útil para comprobar que el servicio está escuchando en el equipo.

A nivel externo, hay páginas que, introduciendo tu IP pública y un número de puerto, te indican si pueden conectarse desde Internet. Asegúrate de que el servicio está encendido en tu equipo al hacer la prueba, o el resultado puede ser engañoso.

Si el puerto sigue apareciendo como cerrado, revisa la IP interna de destino, el protocolo, el firewall del sistema operativo y posibles CG-NAT del operador. Si tu conexión está detrás de CG-NAT y no tienes IP pública propia, por mucho que abras puertos en tu router no podrás recibir conexiones directas desde fuera.

Cuándo es recomendable abrir puertos y ejemplos concretos

No todo en la vida es abrir puertos a lo loco. Hay escenarios muy claros en los que tiene sentido dedicarte a esto, y otros en los que no vas a ganar absolutamente nada incluso aunque abras medio router.

Uno de los casos más típicos es mejorar la experiencia en juegos online. Muchos títulos necesitan puertos específicos para lograr una NAT abierta, especialmente en consolas como PS4, PS5, Xbox 360 o Xbox One. Esto reduce problemas a la hora de unirte a partidas, chat de voz o lag excesivo.

También es bastante habitual hacerlo para aplicaciones P2P y clientes BitTorrent. Si el puerto que usa el programa está cerrado, verás que siempre conectas peor, te aparecen advertencias de «NAT estricta» o «cortafuegos bloqueando» y las descargas van mucho más lentas de lo que deberían.

Otros casos donde abrir puertos tiene mucho sentido son servidores caseros (web, FTP/FTPS, SSH, VPN, NAS), cámaras de videovigilancia IP accesibles desde fuera, impresoras en red con gestión remota, o videollamadas que exigen conexiones entrantes en rangos muy concretos.

Qué puertos concretos se suelen abrir para juegos, apps y dispositivos

Cada programa o dispositivo define los puertos que necesita en su documentación, y es lo primero que deberías consultar. Aun así, hay puertos bastante estándar que se repiten en muchos casos de uso doméstico.

En el mundillo de los juegos y consolas, algunos ejemplos muy habituales son:

• PS5: puertos 80, 443, 3478-3480 TCP; 3478-3479 UDP.
• PS4: puertos 80, 443, 5223, 10070-10080 TCP; 3478, 3479, 3658, 10070 UDP.
• Xbox 360: puertos 53, 80, 3074 TCP; 53, 88, 3074 UDP.
• Xbox One: puertos 53, 80, 3074 TCP; 53, 88, 500, 3074, 3544, 4500 UDP.

En cuanto a videollamadas, varios servicios populares usan rangos amplios. Por ejemplo, Skype puede necesitar 443 y 3478-3481 TCP y puertos altos UDP como 1000-10000, 16000-26000 o 50000-65000. Google Meet suele moverse en 443 TCP y 19302-19309 UDP. Zoom tira de 80, 443, 8801, 8802 TCP y 3478, 3479, 8801, 8802 UDP.

Aplicaciones de voz y chat como Discord añaden sus propios rangos (por ejemplo, 443, 6457-6463 TCP/UDP). Servicios como FaceTime se apoyan en 443 TCP y puertos UDP como 53, 80, 5223 y rangos 16393-16472, entre otros.

Si hablamos de impresoras en red, a menudo se emplean puertos como el 9100 (muy común para impresión directa), además de otros como 631, 2501, 5001, 9600 o 161 para gestión, dependiendo del modelo y protocolo usado.

En P2P, clientes BitTorrent pueden usar rangos como 9881-9999 TCP (o el que tú definas en configuración), mientras que en VPNs o servicios de NAS verás puertos típicos como 1194 para OpenVPN, 500/4500 para IPsec, u otros específicos del fabricante.

Puertos especialmente peligrosos y riesgos de dejarlos abiertos

No todos los puertos son igual de inocentes. Algunos están asociados a servicios con un largo historial de vulnerabilidades o con un gran atractivo para los atacantes, así que mantenerlos expuestos sin necesidad es jugar con fuego.

Entre los más delicados están los puertos FTP 20 y 21, usados para transferencia de archivos; si no se aseguran bien, son un caramelo para robo de credenciales. El puerto 22 (SSH), aunque seguro si se configura correctamente, es objetivo constante de ataques de fuerza bruta.

Los puertos SMB 137, 139 y 445, relacionados con compartición de archivos e impresoras en red, han estado en el centro de ataques como EternalBlue y diversos ransomware. Dejarlos abiertos al exterior es casi pedir que entren.

Otros pedales de entrada habituales para ataques DDoS y similares son el 53 (DNS), o el 69 (TFTP), que suele usarse para transferencias de ficheros ligeras. Tampoco conviene exponer sin control puertos HTTP/HTTPS como 80, 8080, 443 o 8443 si detrás hay servidores mal mantenidos o con software sin actualizar.

Servicios antiguos como Telnet (23) o TFTP (69) directamente no deberían estar visibles en Internet a día de hoy; carecen de cifrado y son muy fáciles de interceptar y manipular. Si alguna aplicación te pide algo así, plantéate seriamente usar alternativas modernas.

Errores típicos cuando el puerto abierto «no funciona»

Pasa mucho: configuras la regla, sigues un tutorial al pie de la letra y, aun así, el puerto parece seguir cerrado o el juego/programa no tira como debería. Normalmente la causa está en alguno de estos puntos.

Lo primero es revisar que la dirección IP interna de destino es la correcta y no ha cambiado. Si la IP se obtiene por DHCP y no es estática, puede que el router la haya reasignado a otro dispositivo.

Después, asegúrate de que no tienes CG-NAT con tu operadora. Si estás detrás de un Carrier Grade NAT, tu router no recibe una IP pública propia, sino que comparte una con otros clientes. En esa situación, abrir puertos en tu casa no sirve de nada para accesos desde fuera; tendrías que pedir a la compañía una IP pública o un servicio específico.

El tercer sospechoso es el firewall del sistema operativo o de un paquete de seguridad. Aunque el router deje pasar el tráfico, si el cortafuegos de Windows, macOS o de tu antivirus bloquea ese puerto, la conexión no llegará al programa que debe escuchar.

Por último, revisa la propia configuración del servicio: que realmente esté escuchando en el puerto que has abierto, que no se haya cambiado por defecto y que la aplicación esté activa cuando haces la prueba. Un puerto «abierto» sin nadie escuchando detrás puede aparecer como filtrado o cerrado desde fuera.

Abrir puertos para jugar: ventajas y precauciones

Uno de los motivos más recurrentes para meterse en todo este lío es conseguir una mejor NAT para juegos online, sobre todo en consolas. Una NAT abierta facilita que puedas conectarte sin problemas a otros jugadores, alojar partidas y reducir ciertos tipos de lag o desconexiones.

Aun así, aunque solo uses los puertos para jugar, cada apertura suma algo de superficie de ataque a tu red. Lo ideal es abrir solo los rangos estrictamente necesarios, evitar reciclar puertos muy sensibles y cerrar lo que ya no utilices cuando cambies de juego o de dispositivo.

Piensa además que el puerto que abres en el router no está limitado a tu consola o PC: cualquier máquina de la red que intente escuchar en ese mismo puerto podría recibir tráfico inesperado si un atacante logra acceder a tu LAN por otro lado.

El equilibrio razonable es informarte bien de los puertos que requiere cada juego o servicio, documentarlos, y mantener un mínimo inventario de reglas activas en el router, revisándolas de vez en cuando para borrar las que ya no tengan sentido.

Con ese criterio, no solo mejorarás tu experiencia de juego y de uso de ciertas aplicaciones, sino que mantendrás la red doméstica bajo control y con un nivel de exposición mucho más razonable.

Al final, entender qué son los puertos, cómo interactúan con la NAT y en qué casos tiene sentido abrirlos te permite exprimir tu conexión sin disparar los riesgos: podrás alojar servidores, jugar online con menos quebraderos de cabeza, aprovechar mejor programas P2P o cámaras IP y evitar falsas soluciones como abrir puertos para cosas que no lo necesitan, tipo Netflix o Disney+, donde la calidad depende de la ruta de red y del ancho de banda, no de agujerear el router.