CMD: Bloquea conexiones de red sospechosas con comandos

  • Netstat y otras utilidades de red permiten identificar puertos abiertos y conexiones sospechosas asociadas a procesos concretos.
  • Microsoft Defender y su protección de red bloquean dominios, IPs y servidores C2 a nivel de sistema con modos de auditoría y bloqueo.
  • Firewalls en Windows, Linux, hosting y dispositivos como FortiGate permiten cortar IPs y puertos maliciosos mediante reglas y listas negras.
  • La revisión periódica de logs y eventos de red es clave para ajustar reglas, detectar falsos positivos y reforzar la seguridad.
Daniel Terrasa

15 minutos

Seguridad de red con comandos CMD y firewall

Controlar qué entra y qué sale de nuestro ordenador por la red se ha vuelto tan importante como tener un buen antivirus. No basta con conectarse y cruzar los dedos: hoy en día hay bots, escáneres de puertos y ataques automatizados que van probando suerte en cualquier IP que se encuentren. Saber manejar CMD, el firewall y el resto de herramientas de red te permite bloquear conexiones sospechosas antes de que se conviertan en un problema.

En las próximas líneas vas a ver cómo utilizar comandos como netstat, netsh, el firewall de Windows y otros sistemas de filtrado para identificar conexiones raras, cortar el paso a IP maliciosas, proteger tus puertos y, en general, reforzar la seguridad de tu red tanto en Windows como en Linux y hasta en dispositivos de red como un firewall FortiGate. Te adelanto que no es cuestión de “magia negra”: con un par de comandos bien entendidos puedes tener un nivel de control que muchos usuarios ni se imaginan.

Netstat y compañía: radiografía rápida de tus conexiones

El punto de partida para bloquear conexiones sospechosas es saber quién está conectado a qué en tu equipo. Ahí entra en juego netstat, una utilidad veterana que existe desde los 90 en Unix, Windows, Linux, macOS y hasta sistemas menos comunes, y que sigue siendo uno de los comandos más útiles para auditar la red.

El propio nombre de la herramienta ya lo dice todo: Network + Statistics. Netstat muestra tablas de conexiones TCP y UDP, puertos en escucha, estadísticas de tráfico, errores y hasta una tabla de enrutamiento básica. Gracias a eso puedes ver si hay puertos abiertos que no esperabas o sesiones activas con IP remotas que no te cuadran.

Antes de usarlo en serio es buena idea cerrar todas las aplicaciones que puedas e incluso reiniciar el equipo y abrir solo lo imprescindible, y comprobar cuántos dispositivos están en tu red. De esa forma lo que te enseñe netstat será más limpio, sin ruido de programas en segundo plano que no te interesan en ese momento, y será más sencillo cazar conexiones extrañas.

Aunque netstat no tiene interfaz gráfica, en Windows puedes apoyarte en utilidades como TCPView o GlassWire, que básicamente muestran la misma información con una vista más amigable. En Linux, herramientas como iftop, iptraf o ss también dan una visión muy clara del tráfico en tiempo real y, en muchos casos, son más cómodas para novatos.

Hay que tener en cuenta que, si abusas de netstat con un montón de parámetros y lo ejecutas constantemente, puede consumir recursos y cargar un poco la máquina, sobre todo si hay miles de conexiones. No es que sea “peligroso”, pero no tiene sentido estar lanzándolo cada dos segundos en un servidor en producción si no lo necesitas.

Comandos de red para ver conexiones sospechosas

Ventajas y limitaciones de netstat para detectar conexiones sospechosas

Usado con cabeza, netstat da una visibilidad muy potente de lo que ocurre en tu red. Puedes listar todas las conexiones activas, ver qué puertos están abiertos y qué procesos están detrás. Eso ayuda a:

  • Localizar conexiones no autorizadas o procesos que se conectan a IP raras.
  • Detectar cuellos de botella o congestión observando el volumen de sesiones y estadísticas de errores.
  • Seguir la pista a sesiones persistentes que se quedan abiertas y pueden dar problemas de rendimiento.
  • Analizar el comportamiento de tu servidor y decidir qué puertos necesitas realmente tener expuestos.

El comando ofrece salidas muy detalladas, con contadores de paquetes enviados y recibidos, errores por protocolo (TCP, UDP, ICMP, IPv4, IPv6…), e incluso rutas de la tabla de enrutamiento con netstat -r. Todo eso es oro puro a la hora de diagnosticar fallos de conectividad o comprobar que una configuración está bien aplicada.

La cara B es que netstat tiene varias desventajas importantes en entornos modernos. Para empezar, la salida puede ser bastante críptica para cualquiera que no esté familiarizado con conceptos de red: puertos, estados TCP, protocolos, etc. Además, en sistemas nuevos Windows se va empujando a los administradores hacia PowerShell y otras herramientas más avanzadas, por lo que aprender netstat de memoria quizá no sea la mejor inversión a largo plazo.

También hay que mencionar que no cifra nada ni ofrece análisis profundo: te enseña datos, pero si quieres correlacionarlos con patrones de ataque, detección de intrusos o análisis forense serio, tendrás que apoyarte en otras soluciones como IDS/IPS, SIEM o sniffer de paquetes tipo Wireshark.

En redes grandes, con miles de equipos y servicios distribuidos, netstat se vuelve poco manejable. No es escalable y no está pensado para monitorizar un entorno corporativo completo; ahí ya entran soluciones SNMP, herramientas de observabilidad, monitorización centralizada o productos como Microsoft Defender para punto de conexión.

Comandos prácticos de netstat para cazar tráfico raro

En Windows, para empezar simplemente abre una ventana de CMD o Terminal como administrador y escribe:

  • netstat: muestra las conexiones activas básicas.
  • netstat -n: enseña IPs y puertos en formato numérico, sin resolver nombres DNS.
  • netstat -s: estadísticas por protocolo (TCP, UDP, IPv4, IPv6…).
  • netstat -e: estadísticas generales de la interfaz (bytes enviados/recibidos, errores…).
  • netstat -a: incluye puertos en escucha y conexiones establecidas.
  • netstat -o: añade el ID de proceso (PID) asociado a cada conexión.
  • netstat -p TCP: filtra por protocolo (TCP, UDP, TCPv6, UDPv6…).

Si quieres que la información se actualice sola cada cierto tiempo, puedes combinar parámetros con un intervalo: por ejemplo, netstat -n 7 refresca cada 7 segundos, lo que sirve para ver conexiones que aparecen y desaparecen muy rápido cuando se establece una sesión sospechosa.

Para localizar solo conexiones establecidas, puedes usar el clásico combo con findstr:

  • netstat | findstr ESTABLISHED

Cambiando ESTABLISHED por LISTENING, CLOSE_WAIT o TIME_WAIT puedes centrarte en el estado TCP que te interese según el problema que estés analizando. Esto, mezclado con el PID y el nombre de dominio completo con netstat -f, te da una idea muy clara de qué proceso se está conectando a qué servidor remoto.

Un ejemplo típico para seguridad es lanzar netstat -ano y revisar:

  • IP remotas que no reconoces.
  • Puertos locales altos en escucha sin motivo aparente.
  • Procesos con muchos intentos de conexión fallidos.

Si ves una IP sospechosa, puedes ir al Administrador de tareas, buscar el PID y ver qué aplicación es. Desde ahí decides si desinstalar, pasar antivirus o cortar la conexión con el firewall.

cmd comandos

Alternativas de monitorización y análisis de red

Aunque netstat es un buen punto de partida para ver conexiones, cuando quieres profundizar más en la seguridad de red empiezan a entrar en juego herramientas especializadas. Algunas muy habituales son:

  • Wireshark: captura y analiza paquetes a bajo nivel, ideal para ver exactamente qué datos se están enviando, detectar intentos de explotación o tráfico no cifrado donde no debería.
  • GlassWire: combina monitorización de tráfico con un firewall visual y alertas, muy útil a nivel de usuario avanzado o pequeña oficina.
  • Cloudshark: solución web para subir capturas de paquetes y analizarlas y compartirlas en equipo.
  • ss, iptraf, iftop en Linux: muestran sockets, flujo de tráfico y conexiones en tiempo real de una forma más moderna y clara que netstat.
  • ipRoute2: conjunto de utilidades para manejar rutas, túneles y políticas avanzadas de red en Linux (reemplaza en gran parte a herramientas antiguas).

En entornos profesionales también son habituales plataformas tipo Uptrends, Germain UX, Atera y similares, pensadas para monitorizar disponibilidad, rendimiento y experiencia de usuario en webs y servicios, con alertas cuando algo se cae o empieza a degradarse.

Microsoft Defender, protección de red y bloqueo de C2

En Windows 10, Windows 11, macOS y Linux, una pieza clave para bloquear conexiones de red sospechosas es la protección de red de Microsoft Defender. Esta función amplía lo que hace SmartScreen en Microsoft Edge al resto del sistema: no solo vigila al navegador, sino también a otros navegadores y procesos como PowerShell o aplicaciones de escritorio.

La idea es sencilla: cuando un programa intenta conectar con una URL o IP que tiene mala reputación (phishing, malware, comando y control, etc.), Defender compara la solicitud con sus listas (y con tus indicadores personalizados) y decide si la deja pasar, la audita o la bloquea directamente. Este control funciona tanto para tráfico HTTP como HTTPS, y no se limita a los puertos 80 o 443: inspecciona todas las conexiones salientes a cualquier puerto.

En el contexto de seguridad, una de las funciones más importantes es su capacidad para detectar y cortar comunicaciones con servidores de comando y control (C2), que son los que utilizan muchas familias de malware y ransomware para recibir órdenes y exfiltrar datos. Romper ese canal de comunicación suele significar cortar la progresión del ataque.

En la práctica, la protección de red se apoya en varias fuentes: reputación de SmartScreen, IoC internos de Microsoft, tus propias listas de bloqueo personalizadas y categorías de filtrado web (contenido adulto, apuestas, etc.). En función de lo que detecta, clasifica el evento en categorías como phishing, malicious, C2, políticas personalizadas, etc., algo que después puedes ver en los informes, en la búsqueda avanzada o dentro de Microsoft Defender para punto de conexión.

defender

Modos de funcionamiento: auditar o bloquear

Defender permite activar la protección de red en dos sabores: modo auditoría (audit) y modo bloqueo (block). Esto es muy útil para no liarla en un entorno de producción:

  • En modo auditoría, el sistema registra todos los accesos que habría bloqueado, pero no corta la conexión. Puedes revisar estos registros en la consola (consultando DeviceEvents con ActionType como ExploitGuardNetworkProtectionAudited) y ver el impacto potencial.
  • En modo bloqueo, Defender pasa a la acción: impide el tráfico a dominios e IP marcados por SmartScreen, por tus indicadores personalizados o por las políticas de filtrado de contenido.

Desde el punto de vista del usuario, cuando se topa con un sitio “dudoso” pueden ocurrir tres cosas:

  • Si la reputación es buena, no ve nada raro; la navegación continúa normal.
  • Si la reputación es incierta, aparece una pantalla de advertencia con posibilidad de omitirla (desbloquear) durante unas horas.
  • Si la reputación es claramente maliciosa o lo has bloqueado de forma explícita, se muestra un bloqueo sin opción de eludir (salvo que el administrador cambie la política).

Todo este comportamiento puede afinarse con políticas: por ejemplo, hay una opción para convertir todas las advertencias en bloqueos duros, de forma que el usuario no pueda saltárselas. Se puede configurar vía CSP, GPO o herramientas MDM, según cómo administres tu parque de dispositivos.

Para completar la jugada, los administradores pueden crear indicadores de permiso (allow) cuando detectan falsos positivos o necesitan habilitar un servicio concreto. Estos allow tienen prioridad sobre la mayoría de bloqueos, lo que te da margen para ajustar sin tener que desactivar toda la protección de red.

Bloqueo de conexiones por firewall y reglas en Windows

Más allá de Defender, otro frente para bloquear conexiones de red sospechosas es el propio firewall de Windows. Este cortafuegos viene integrado, se actualiza con el sistema y te permite controlar tanto qué programas pueden salir a Internet como qué puertos se aceptan desde fuera.

Desde la interfaz gráfica puedes crear reglas de entrada y salida, pero si quieres hilar fino o automatizar, conviene conocer también los comandos de netsh advfirewall. Por ejemplo:

  • netsh advfirewall set currentprofile state on: activa el firewall en el perfil actual.
  • netsh advfirewall firewall add rule name=»Bloquear IP X» dir=in action=block remoteip=x.x.x.x: bloquea tráfico entrante desde una IP concreta.
  • netsh advfirewall firewall add rule name=»Open Port 80″ dir=in action=allow protocol=TCP localport=80: abre el puerto 80 para conexiones entrantes.
  • netsh advfirewall firewall delete rule name=»Open Port 80″: elimina la regla anterior.
  • netsh advfirewall reset: restaura la configuración por defecto del firewall.

Si lo que quieres es bloquear una IP porque te está machacando a intentos de acceso (por ejemplo, un ataque de fuerza bruta o un scanner pesado), desde la consola gráfica de Firewall de Windows con seguridad avanzada puedes crear una regla de entrada personalizada que:

  • Se aplique a “Todos los programas”.
  • Use protocolo “Cualquiera”.
  • En “Direcciones remotas” especifiques la IP o rango a bloquear.
  • Marque la acción “Bloquear la conexión”.
  • Se aplique a dominios, redes privadas y públicas.

Con eso consigues que esa IP deje de molestarte a nivel de sistema. Eso sí, cuidado con no meter rango demasiado grande y acabar bloqueando IP de buscadores o de usuarios legítimos.

Para saber qué puertos está bloqueando realmente tu firewall, puedes activar el registro de paquetes descartados en las propiedades del perfil y revisar después el archivo pfirewall.log que se guarda bajo %systemroot%\system32\LogFiles\Firewall. Ahí verás detalle de puertos y direcciones que se están tirando.

Bloquear IPs y puertos desde hosting, .htaccess y otras capas

Cuando el problema de conexiones sospechosas está enfocado a tu web (intentos de login, SPAM, bots automatizados, DDoS ligeros…), no siempre basta con actuar en el PC. Muchas veces conviene bloquear IPs directamente en el hosting o usando el servidor web.

En paneles como Plesk puedes añadir IPs a listas de bloqueo para que no puedan ni cargar tu sitio. Otra opción clásica es tocar el archivo .htaccess si usas Apache, añadiendo reglas como:

Order Allow,Deny
Deny from 192.168.xx.x
Allow from all

O varias líneas Deny para diferentes direcciones. A partir de ahí, cualquier petición desde esas IP verá un error, sin cargar tu contenido ni consumir recursos de aplicación. Es una solución simple pero efectiva para parar bots que insisten contra tu CMS o scripts que spamean formularios.

Si tienes ataques desde países muy concretos y tu servidor lo permite, puedes incluso hacer geobloqueo a través de reglas que miran el código de país (por ejemplo, CN para China) y redirigen a una página de error. Eso sí, siempre sabiendo que también cortarás el paso a usuarios legítimos y a veces a robots de los buscadores si no se controla bien.

Otra alternativa menos agresiva que un bloqueo duro de IP es combinar limitación de tasa (rate limiting), CAPTCHAs y el uso de CDNs con mitigación DDoS. Así, en lugar de ir cerrando IPs a mano, reduces el impacto de los abusos sin cargarte tanto tráfico legítimo.

Reenvío de puertos, riesgos y cómo controlarlo

Muchas aplicaciones (juegos online, servidores caseros, programas P2P, NAS…) necesitan que abras o reenvíes puertos para funcionar al 100%. El problema es que cada puerto abierto es una puerta de entrada potencial si el servicio que hay detrás tiene fallos de seguridad o no está bien configurado.

El reenvío de puertos (port forwarding) consiste en decirle al router que cualquier conexión que llegue desde Internet a su IP pública por un puerto concreto, la redirija a una máquina interna y puerto específicos dentro de tu red local. Para que esto funcione, normalmente necesitas tener NAT activado y conocer bien qué servicios vas a exponer.

Hay varios tipos básicos de reenvío:

  • Local: se usa para acceder desde tu equipo a servicios internos pero a través de un túnel (por ejemplo, SSH).
  • Remoto: permite que un servicio de tu máquina sea accesible desde otro sitio remoto.
  • Dinámico: convierte tu cliente en una especie de proxy SOCKS, permitiendo que otras aplicaciones usen el túnel para llegar a diferentes destinos.

Antes de abrir nada hacia fuera, conviene:

  • Comprobar que el servicio está actualizado y bien configurado.
  • Limitar el acceso por IP, VPN o autenticación robusta siempre que sea posible.
  • Evitar abrir puertos típicos sin necesidad (RDP, SMB, etc.).

Recuerda que muchas amenazas modernas (modificación de DNS, ataques Man-in-the-Middle, botnets para DoS, creación de redes Wi-Fi falsas) aprovechan puertos expuestos sin control en routers domésticos o empresariales. Por eso, lo ideal es exponer lo mínimo imprescindible y monitorizarlo bien.

Logs, auditoría y detección de actividad sospechosa

Bloquear conexiones a ciegas puede ser peligroso; necesitas tener una base para decidir. Ahí entran los logs de sistema, de firewall y de aplicaciones. En Linux, por ejemplo, gran parte de estos registros viven en /var/log, y su gestión se define con rsyslog y los ficheros de configuración correspondientes.

En Windows puedes revisar, además del log de firewall, el Visor de eventos, filtrando por eventos relacionados con protección de red y firewall (IDs como 5007, 1125, 1126, etc.). También tienes la búsqueda avanzada de Microsoft Defender, donde consultas tablas como DeviceEvents y DeviceNetworkEvents para ver qué se ha auditado o bloqueado por protección de red.

Por ejemplo, para listar eventos donde la protección de red ha auditado o bloqueado algo en navegadores que no son Edge, podrías lanzar consultas tipo:

DeviceEvents
| where ActionType in ("ExploitGuardNetworkProtectionAudited","ExploitGuardNetworkProtectionBlocked")

O filtrar específicamente por SmartScreenUrlWarning si quieres centrarte en las advertencias de SmartScreen en Edge. Esta información te ayuda a identificar patrones: dominios que muchos usuarios visitan y se bloquean, IPs que conviene añadir a una lista de bloqueo global, etc.

En entornos más grandes es habitual centralizar estos logs en un SIEM o en herramientas tipo Power BI para generar informes personalizados, dashboards de seguridad y alertas automáticas cuando aparece determinada categoría de respuesta (Malicious, Phishing, CustomBlockList, etc.).

Dominar comandos como netstat, netsh, UFW o firewall-cmd, aprovechar la protección de red de Microsoft Defender, saber bloquear IPs en el firewall de Windows, en tu hosting o en un FortiGate, y revisar con cierta frecuencia los logs de red te da una caja de herramientas muy potente para frenar conexiones de red sospechosas antes de que te den un susto serio. No hace falta ser un ingeniero de telecomunicaciones para empezar: con unos cuantos comandos bien aprendidos y un poco de sentido común puedes mantener tus equipos, servidores y webs bastante mejor protegidos que la media.

mejores trucos de cmd para usar en windows
Artículo relacionado:
Guía completa de comandos CMD para redes: netsh, ipconfig, ping, tracert y más