Cómo mantener la infraestructura de red saludable en Windows: guía práctica y seguridad avanzada

  • Configura Red e Internet en Windows con perfiles, TCP/IP y DoH bien ajustados.
  • Endurece servicios: AAA, SSH/TLS, SNMPv3, ACL, uRPF y seguridad de puertos.
  • Opera en clave Zero Trust con EDR/XDR, Azure Policy, Defender y Sentinel.
  • Diseña por capas: DMZ, AD, correo, web, ficheros y BBDD prod/test segregadas.
Pablo

14 minutos

Infraestructura de red en Windows

Si trabajas con Windows a diario, mantener la red en forma es tan importante como actualizar el propio sistema. Una infraestructura de red sana evita caídas, mejora el rendimiento y reduce riesgos que pueden traducirse en pérdidas de productividad y, ojo, en problemas de seguridad serios.

En las próximas líneas encontrarás una guía completa y muy práctica para cuidar la red en entornos Windows: desde los ajustes de Red e Internet del sistema, hasta buenas prácticas de seguridad (AAA, endurecimiento de servicios, segmentación) y un ejemplo de arquitectura basada en servidores Windows con correo, web, ficheros y bases de datos separadas. También integraremos enfoques modernos como Zero Trust, EDR/XDR y las soluciones de Microsoft Azure para reforzar la operación y el cumplimiento.

Qué significa mantener saludable la infraestructura de red en Windows

Hablar de una red «sana» es hablar de estabilidad, latencia baja, seguridad y capacidad de crecer sin sustos. El mantenimiento de redes es un servicio continuo que revisa hardware, software, rendimiento y configuración, identificando fallos y mitigando riesgos antes de que escalen.

Entre los beneficios, destacan la conectividad fluida entre equipos, la mejora de la seguridad frente a ciberamenazas, la reducción de costes (menos interrupciones, menos recursos duplicados) y una experiencia de usuario más ágil. Eso sí, también hay desafíos: compatibilidad tras actualizaciones, escalabilidad, error humano o hardware envejecido con soporte decreciente.

Una red, al final, no es más que dispositivos conectados que comparten recursos y datos. Los paquetes viajan siguiendo protocolos, con switches y routers decidiendo la ruta óptima para que toda la información llegue a destino de forma fiable.

Según el alcance, verás LAN, PAN, MAN o WAN, cada una con sus particularidades. Sea cual sea tu escenario, conviene asegurar buena conectividad, equipos en buen estado y tiempos de respuesta adecuados para que las aplicaciones vuelen y los usuarios no sufran.

Ajustes de red e Internet en Windows

Configuración esencial de Red e Internet en Windows

Antes de meternos en jardines más complejos, conviene dominar los ajustes de Red e Internet. Desde aquí administras Wi‑Fi, Ethernet, VPN, diagnóstico y estado de conexión, todo a golpe de clic.

Cómo entrar y qué verás

Para abrir la configuración puedes hacer dos cosas: escribir «Configuración» tras pulsar el botón Inicio y entrar en «Red e Internet», o hacer clic derecho en el icono de Red/Wi‑Fi de la barra de tareas y elegir «Configuración de Red e Internet». En la parte superior verás el estado de la conexión, ideal para un vistazo rápido cuando algo no va fino.

Localiza tu dirección IP (IPv4)

  1. Entra en «Red e Internet» y selecciona la conexión que estés usando: Wi‑Fi si estás inalámbrico o Ethernet si vas por cable.
  2. En Propiedades de la conexión, localiza el campo «Dirección IPv4». Ahí tienes la IP asignada al equipo.

Establecer un límite de datos

Si navegas con un plan medido, Windows puede ayudarte a no pasarte. Desde «Uso de datos» puedes fijar un límite, recibir avisos al acercarte y al superarlo, y ajustar el consumo.

  1. Ve a «Red e Internet» y entra en «Uso de datos» de tu conexión actual.
  2. Elige «Introducir límite», define el tipo (mensual, uno‑time, etc.), completa los campos y guarda. Listo para controlar el gasto.

Modo avión: activarlo o quitarlo

El modo avión apaga de golpe Wi‑Fi, móvil, Bluetooth y NFC. Úsalo para cortar comunicaciones al instante o ahorrar batería en ciertos escenarios.

  • Desde la barra de tareas, abre el panel rápido (red/volumen/batería) y pulsa «Modo avión».
  • O bien entra en «Red e Internet» > «Modo avión» y conmuta el interruptor. Rápido y sin rodeos.

Hacer una red pública o privada

La primera vez que te conectas en Windows 11, el perfil se establece como público por defecto. Este modo oculta el PC en la red y limita el uso compartido, lo que es ideal en la mayoría de entornos.

  • Red pública (recomendada por defecto): el equipo no es visible y no se comparten recursos sin querer.
  • Red privada: visible para otros dispositivos y apta para compartir archivos e impresoras; úsala solo donde confíes plenamente.

Para cambiarlo: entra en «Red e Internet», elige Wi‑Fi (y tu red conectada) o Ethernet, y en «Tipo de perfil de red» selecciona Público o Privado. Así ajustas seguridad y compartición a cada entorno.

TCP/IP y DNS: automático o manual, y cifrado DoH

Siempre que puedas, confía en DHCP del router para asignar IP y DNS. Te ahorras líos al mover el equipo entre ubicaciones.

  1. En «Red e Internet», ve a Wi‑Fi > «Administrar redes conocidas» (elige tu red) o a Ethernet (selecciona tu conexión).
  2. Junto a «Asignación IP», pulsa «Editar». Elige «Automático (DHCP)» o «Manual» según tu necesidad.
  3. Si optas por manual, define IP, máscara, puerta de enlace y servidores DNS; si no, deja que el router mande.

Para DNS sobre HTTPS (DoH) dispones de varias opciones: «Desactivado», «Activado (plantilla automática)» o «Activado (plantilla manual)». Con DoH, las consultas DNS se cifran vía HTTPS. Además, puedes permitir o bloquear «Fallback a texto sin formato»: si está activado, se enviará en claro si no hay HTTPS; si está desactivado, simplemente no se envía la consulta.

Cuando ajustes todo, pulsa «Guardar». Y comprueba que la resolución y conectividad funcionan como esperas.

Ajustes de Windows que conviene desactivar cuando no se usan

Aunque sean útiles, hay funciones que es mejor mantener apagadas si no las necesitas a diario. Esto reduce superficie de ataque y evita «puertas» innecesarias.

  • Escritorio remoto (RDP): si no lo usas, desactívalo en Configuración > Sistema > Escritorio remoto. Si tus credenciales caen en manos equivocadas, podrían entrar hasta la cocina.
  • Uso compartido de archivos e impresoras: deshabilítalo en Redes públicas y privadas desde Red e Internet > Configuración de red avanzada > Configuración de uso compartido. Es lo más sensato fuera de tu red de confianza.
  • Historial del portapapeles: si gestionas datos sensibles, apágalo en Sistema > Portapapeles. Menos huella, menos riesgo.
  • Historial de actividades: en Privacidad y seguridad > Historial de actividades, evita almacenar y borra lo ya registrado. Mejora la privacidad local.
  • Windows Script Host (WSH): si no automatizas con scripts, deshabilítalo en el Registro (HKLM\Software\Microsoft\Windows Script Host\Settings > valor DWORD «Enabled» a 0). Así evitas ejecución de scripts maliciosos por sorpresa.
  • Detección de redes: apágala en entornos no confiables (Red e Internet > Configuración de uso compartido avanzado). Visibilidad cero, problemas menos.
  • Asistencia remota/Rápida: úsala solo con personas de total confianza y desactívala en Sistema > Acerca de > Configuración avanzada del sistema > pestaña Remoto.
  • Conexión automática a Wi‑Fi públicas: en Wi‑Fi > Administrar redes conocidas, quita «Conectarse automáticamente» en redes públicas antiguas que ya no controlas.

Seguridad, Zero Trust y mantenimiento

Seguridad y mantenimiento continuo: buenas prácticas, EDR/XDR y Zero Trust

La seguridad no es «hacer una vez y olvidarse». Hay que verificar integridad, parchear, auditar y documentar de forma recurrente, porque las amenazas cambian y los entornos evolucionan.

Verificación de integridad y control de cambios

Comprueba hashes de sistemas y paquetes contra los originales del proveedor. Verificar antes y después de actualizar corta de raíz muchas sorpresas. Ejemplo genérico:
verify /sha512 <PATH:filename>

Gestiona la configuración como si fuera código: registra cada modificación con propósito, justificación y aprobación. Compara configs actuales con copias de seguridad recientes para detectar cambios no autorizados y revertir en caliente si hace falta.

Orden en el sistema de archivos y arranque

Evita dejar imágenes antiguas o configs obsoletas pululando por los dispositivos de red. Elimina artefactos que ya no se usan:
delete <PATH:filename>

Guarda los cambios permanentes para que sobrevivan a reinicios inesperados:
copy running-config startup-config. La coherencia tras un reboot es clave para la operativa.

Actualizar, parchear y revisar soporte

Aplica versiones estables y parches de seguridad de forma regular. Equipos con software antiguo son carne de cañón. Comprueba si el hardware sigue con soporte del fabricante y planifica renovaciones antes del fin de vida.

AAA centralizado y redundante

Controlar quién entra, qué puede hacer y qué se registra exige AAA. Implementa al menos dos servidores RADIUS/TACACS+ con claves únicas y complejas y configura los dispositivos para usarlos por defecto:

Ejemplo de configuración AAA:
aaa group server radius <GRUPO>
server-private <IP_1> key <CLAVE_1>
server-private <IP_2> key <CLAVE_2>

Cuentas locales y contraseñas: higiene estricta

Adiós a cuentas por defecto y compartidas. Crea usuarios administrativos únicos para garantizar trazabilidad, deshabilita las cuentas innecesarias:
no username <NOMBRE>

Almacena secretos con algoritmos seguros, nunca en claro. Ejemplo con hash robusto:
username <NOMBRE> algorithm-type sha256 secret <CONTRASEÑA>

Exige contraseñas largas (mínimo 15), con variedad de caracteres y sin patrones triviales. No reciclar contraseñas entre dispositivos ni cuentas y cambiarlas solo si hay sospecha o rotación por política razonable.

Administración remota y servicios de red endurecidos

Desactiva administración en texto claro: adiós Telnet y HTTP. Usa SSH y HTTPS con cifrados fuertes y versiones modernas de protocolo.

  • SSH v2 obligado: ip ssh version 2
  • Claves robustas: RSA 3072 o ECC 256: crypto key generate rsa modulus 3072
  • HTTPS con TLS 1.2+ en equipos que lo permitan: ip http secure-server
  • SNMP v3; elimina v1/v2c: no snmp-server community, no snmp-server host. Autenticación y cifrado o nada.

Limita el acceso administrativo con ACL a orígenes concretos y aplica a líneas VTY: access-list 10 permit 192.168.1.0 0.0.0.255 y access-class 10 in. Menos superficie, menos sustos.

Configura tiempos de inactividad y keep‑alives: ip ssh time-out 300, exec-timeout 5 0, service tcp-keepalives-in, service tcp-keepalives-out. Evitas sesiones olvidadas y secuestros de sesión.

Reduce movimiento lateral deshabilitando salientes desde VTY cuando no sean necesarios: line vty 0 4 + transport output none. Bloquear es prevenir.

Rutas e interfaces: seguridad por defecto

Quita de en medio el enrutamiento de fuente IP: no ip source-route. Es un clásico que facilita ataques de tipo MITM y evasiones.

Activa uRPF en las interfaces expuestas: ip verify unicast source reachable-via rx. Así frenan los spoofings de IP de origen.

Autentica protocolos de enrutamiento: en OSPF con message‑digest y en BGP con contraseña de vecino. Solo rutas de fuentes legítimas, nada de updates «fantasma»:

router ospf 1
area 0 authentication message-digest
neighbor <IP_VECINO> password <SECRETO>

Deshabilita trunking dinámico y negocia solo lo que necesitas: switchport mode access, switchport nonegotiate. El control manual evita VLAN hopping.

Habilita seguridad de puertos: número máximo de MAC, violación en shutdown, etc.: switchport port-security, switchport port-security maximum 2, switchport port-security violation shutdown. Y cierra puertos no usados con un «shutdown» de manual.

Desactiva protocolos de descubrimiento donde no aportan: no cdp enable. Cuanta menos información regales, mejor.

Banners de aviso y cumplimiento

Los banners legales informan de uso autorizado y de que hay monitoreo. Sirven como disuasión y soporte legal. Configúralos en login y MOTD y guarda la configuración (
configure terminal, banner login # ... #, write memory). Ajusta el texto a tu normativa y valida con el área legal.

EDR, XDR y cobertura ampliada

Aceptémoslo: prevenir el 100% es irreal. Necesitas detección y respuesta activas. EDR en endpoints es potente, pero no siempre ve impresoras, NAS, dispositivos de red, BYOD, nube o IoT. Aquí entra XDR: correlación y control unificado en endpoints, red y cloud para romper silos, además de planes de recuperación para reparar tu sistema tras un virus grave.

Ojo: no hay definición única de XDR y el marketeo puede generar ruido. Empieza por un EDR bien operado y evoluciona a XDR donde más riesgo tengas, con estrategia, recursos y analistas preparados. IA y ML ayudan, pero requieren datos, contexto y automatización bien gobernada.

Zero Trust y ecosistema Azure

Zero Trust asume que cada solicitud debe verificarse, venga de donde venga. En Azure puedes orquestarlo con Blueprints, Policy, Defender for Cloud, Sentinel y Azure Arc, extendiendo controles a entornos híbridos.

  • Monitoreo y alertas: habilita planos de Defender (servidores, Storage, contenedores, SQL) y conecta señales a Microsoft Sentinel (SIEM/SOAR).
  • Identidades de aplicación y RBAC: aplica directivas para etiquetar, restringir regiones y tamaños, y exigir configuraciones coherentes.
  • Acceso humano JIT y JEA: privilegios temporales, menos admins con elevados, y SAW (estaciones de trabajo seguras) para tareas críticas.
  • Bloqueo de despliegues no autorizados: Azure Blueprints y Policy como valla técnica; alertas, webhooks o automatización ante infracciones.
  • Segmentación: VNets, emparejamiento, NSG/ASG y Azure Firewall para aislar cargas y controlar tráfico con granularidad.

Mantenimiento paso a paso en la práctica

  1. Preparación: evalúa arquitectura, diagramas y documentación; alinea cambios recientes y plan de ventanas de mantenimiento.
  2. Seguridad: audita firewalls/IPS, actualiza antimalware, gestiona parches automáticamente y prioriza vulnerabilidades críticas.
  3. Hardware y software: revisa memoria, CPU, disco y logs en servidores y routers; valida configuraciones de switches y APs.
  4. Rendimiento: analiza ancho de banda y patrones de tráfico; controla latencia límite y corrige cuellos de botella antes de que duelan.
  5. Copias y recuperación: verifica backups, realiza restauraciones de prueba y ajusta RPO/RTO; sin pruebas, no hay backup fiable.
  6. Documentación: actualiza configs, parches y cambios; registra incidencias, resolución y lecciones aprendidas para siguientes iteraciones.

Diseño de infraestructura Windows: ejemplo completo con roles y seguridad

Este diseño de referencia responde a un caso típico de entrevista con correo, web pública, almacenamiento de ficheros, BBDD de producción y prueba (no expuestas a Internet) y dos aplicaciones (cliente‑servidor y web) con entornos prod/test. Incluye conteo de servidores y segmentación propuesta.

  • Perímetro/DMZ:
    • Firewall de borde L7/WAF (x2 en HA).
    • Balanceador de carga (x2 en HA) para web pública.
    • Proxy inverso/WAF para IIS (opcional ARR) (x2).
    • Exchange Edge Transport (x1) para relé SMTP y saneamiento de correo.
  • Núcleo de Directorio y gestión:
    • Controladores de dominio AD DS + DNS (x2).
    • DHCP (x2 en failover).
    • WSUS/MECM (x1) para parches y distribución de software.
    • Servidor de copias/backup (x1) tipo Veeam o equivalente.
    • Servidores AAA RADIUS/NPS (x2) para dispositivos de red.
  • Correo electrónico:
    • Exchange Server multirrol (x2) en DAG para alta disponibilidad.
    • Edge Transport en DMZ ya mencionado. Los CAS/OWA se publican vía proxy/WAF.
  • Web pública (IIS):
    • Servidores web en DMZ (x2) detrás de WAF/balanceador.
    • Contenido estático y app pública segregada. Sin conexión directa a las BBDD internas.
  • Almacenamiento de archivos:
    • File servers (x2) en cluster/DFS con cuotas y SMB firma/cifrado.
  • Bases de datos:
    • SQL Server Producción (x2) en AG/FCI.
    • SQL Server Pruebas (x1‑x2 aislados). Segmentos separados, sin exposición a Internet.
  • Aplicaciones:
    • App cliente‑servidor Prod (x2) y Test (x1) en VLAN propia.
    • App web interna Prod (x2) y Test (x1) detrás de balanceador interno.
    • Conexión a BBDD según entorno, con cadenas separadas y cuentas de servicio con mínimos privilegios. Nada de mezclar prod y test.
  • Seguridad y observabilidad:
    • EDR/XDR en servidores y endpoints.
    • SIEM (Microsoft Sentinel en la nube) integrado con Defender for Cloud.

Segmentación: VLAN/zonas para DMZ, Servidores, Gestión, Usuarios, Pruebas y Almacenamiento. NSG/ACL entre segmentos con «deny by default». Microsegmentación para BBDD y salto solo desde capas de aplicación autorizadas.

Notas de seguridad: protocolos de administración solo desde red de gestión, MFA/JIT para accesos privilegiados, backups inmutables, cifrado en tránsito (TLS 1.2+) y en reposo, registros centralizados y alertado. Pruebas de recuperación programadas y DR planificado.

Gobernanza, automatización y datos: 10 ideas para no dejar cabos sueltos

Además de tecnología, hace falta método. Levanta una gobernanza de datos clara con propietarios, administradores y políticas de seguridad, calidad, retención e intercambio. Monitoriza calidad y audita periódicamente.

Automatiza donde duela: desde despliegues a monitorización, con scripts y herramientas de código abierto y capacidades de IA/ML en la nube para provisión, cargas de datos, consultas y manejo de fallos. Mejora velocidad de decisión y reduce errores manuales.

Clasifica y categoriza información para gestionar mejor riesgos y accesos. Mantén metadatos y linaje para cumplir normativas y entender de dónde viene y a dónde va cada dato.

Protege por capas: cifrado en tránsito y en reposo, RBAC, parches al día y formación continua frente a phishing e ingeniería social. Define protocolos de respuesta para contener y recuperar lo antes posible.

Observa y escala: telemetría y alertas para detectar anomalías, previsión de capacidad, balanceo de carga y bases de datos optimizadas (índices, caché, tuning de consultas). Moderniza hardware donde permanezcas on‑prem y aprovecha la elasticidad cloud donde tenga sentido.

Y no te olvides de las personas: capacita al equipo en nuevas tecnologías (incluida IA generativa, malla de datos, RAG y tipos de datos vectoriales), y fomenta comunidades y formación con proveedores y grupos de usuarios.

Preguntas frecuentes rápidas

  • ¿Por qué es clave el mantenimiento de redes? Porque garantiza funcionamiento óptimo, evita interrupciones y protege la infraestructura, manteniendo la operativa siempre en marcha.
  • ¿Diferencias entre preventivo y correctivo? El preventivo se programa para evitar fallos; el correctivo entra cuando surge la incidencia y toca restaurar el servicio.
  • ¿Con qué frecuencia? Según criticidad y uso: mensual o trimestral en preventivo, con métricas y SLAs a la vista.
  • ¿Qué indicadores mirar? Disponibilidad, número de incidentes, MTTR y cumplimiento de SLA. Si esos cuatro se mueven en buena dirección, vas por el camino correcto.

Una infraestructura de red Windows bien cuidada combina ajustes finos del sistema, segmentación inteligente, controles AAA, supervisión constante y cultura de Zero Trust apoyada por herramientas modernas (EDR/XDR, Azure Policy, Defender, Sentinel). Con procedimientos claros, documentación actualizada e higiene de seguridad, la red permanece estable, rápida y mucho más resistente frente a ataques y cambios del día a día.

windows 11 lento
Artículo relacionado:
Cómo evitar que Windows 11 vaya cada vez más lento