Gestionar una red en Windows hoy no va solo de conectar equipos: va de mantenerla ágil, segura y lista para lo que venga. Una infraestructura de red sana reduce parones, frena incidentes y permite exprimir el rendimiento tanto en entornos domésticos como corporativos.
En esta guía vas a encontrar los ajustes clave de Windows, técnicas de optimización del adaptador, recomendaciones de seguridad de alto nivel, un diseño de referencia para una infraestructura Windows con servicios críticos y un plan de mantenimiento paso a paso. Integramos configuración práctica, rendimiento, buenas prácticas y hardening para que tu red se mantenga estable y con buena salud a largo plazo.
Configuración de Red e Internet en Windows: acceso rápido y estado
En Windows, el panel de Red e Internet concentra todo lo necesario para conectar, personalizar y diagnosticar. Para abrirlo tienes dos atajos muy cómodos: usa Inicio y escribe configuración para entrar en Configuración > Red e Internet, o haz clic derecho en el icono de Red o Wi‑Fi de la barra de tareas y elige Configuración de Red e Internet.
Desde ese panel, verás el estado de la conexión en la parte superior, con accesos a funciones frecuentes como Wi‑Fi, Ethernet, VPN, uso de datos o propiedades de red. Es la forma más directa de confirmar de un vistazo si todo está enlazado correctamente.
Cómo ver tu dirección IP en Windows
Si necesitas identificar tu IP en la red local, Windows lo pone fácil desde las propiedades de la interfaz. Sigue este camino para encontrar la IPv4 en uso.
- Abre Red e Internet y elige la interfaz adecuada: Wi‑Fi para redes inalámbricas (selecciona la red a la que estás conectado) o Ethernet para cable.
- En Propiedades busca la línea Dirección IPv4 para ver la IP asignada. Con esa IP podrás diagnosticar o configurar accesos internos.
Control de uso: establecer límite de datos
Si trabajas con un plan medido (tethering, 4G/5G o conexiones con tope), Windows puede avisarte cuando te acerques al límite e incluso al sobrepasarlo. Configurar un límite ayuda a evitar sustos y a optimizar el tráfico.
- Entra en Configuración de Red e Internet.
- Selecciona Uso de datos en el estado de la red activa.
- Elige Introducir límite, define el tipo de límite, completa los campos y guarda. A partir de ahí recibirás avisos automáticos.
Modo avión: cuándo activarlo y cómo
El modo avión deshabilita de golpe Wi‑Fi, red móvil, Bluetooth y NFC. Es útil para ahorrar batería o cumplir requisitos en entornos concretos.
- Haz clic en Red, Volumen o Batería en la barra de tareas y activa Modo avión.
- O ve a Red e Internet > Modo avión y usa el conmutador. Con un toque apagas o enciendes toda la radio.
Red pública o privada: elige el perfil adecuado
Al conectarte por primera vez, Windows 11 establece la red como pública por defecto. Ese perfil minimiza la exposición y es el recomendado salvo que vayas a compartir recursos en un entorno confiable.
- Red pública: el equipo permanece oculto a otros dispositivos; no está pensada para compartir archivos o impresoras.
- Red privada: el equipo es detectable y permite compartir. Úsala solo si confías en usuarios y dispositivos de ese segmento.
Para cambiar el perfil, entra en Configuración de Red e Internet, elige Wi‑Fi y selecciona la red actual (o Ethernet si usas cable) y, en Tipo de perfil, marca Público o Privado. El perfil marca el nivel de exposición y el comportamiento del firewall.
Ajustes de TCP/IP y DNS en Windows
TCP/IP define cómo se comunican los equipos entre sí y con Internet. Lo más cómodo y robusto suele ser usar DHCP para que el router asigne IP y DNS automáticamente, pero también puedes configurar todo de forma manual.
- En Red e Internet, para redes Wi‑Fi entra en Wi‑Fi > Administrar redes conocidas y elige la red; para Ethernet, selecciona la conexión activa.
- En Asignación IP, pulsa Editar.
- Elige Automático (DHCP) o Manual. Automático deja que el router gestione IP y DNS; con Manual puedes definir IP, máscara, puerta de enlace y servidores DNS.
Si quieres proteger consultas DNS, Windows admite DNS sobre HTTPS. Dispones de tres modos: Desactivado (texto claro), Activado con plantilla automática (descubre la configuración) o Activado con plantilla manual (defines la plantilla DoH). Puedes activar o desactivar el Fallback a texto sin formato: si está activado, la consulta sin cifrar se hará solo si HTTPS no es posible; si está desactivado, no habrá consulta si el cifrado falla.
Optimización del adaptador de red en Windows Server
Un buen ajuste del NIC puede marcar la diferencia en cargas de servidor: más rendimiento, menos latencia y mejor uso de CPU. La configuración óptima depende del adaptador, la carga, el hardware y los objetivos.
Activa las descargas de red (offloads) como sumas de comprobación TCP, LSO y RSS. Estas funciones descargan trabajo a la tarjeta y alivian la CPU, aunque en adaptadores justos de recursos ciertas descargas podrían limitar el pico sostenible; si ese tope es aceptable, conviene habilitarlas igualmente.
RSS reparte el tráfico entrante entre varios procesadores lógicos, clave cuando hay menos NICs que CPUs. Revisa el perfil RSS (por defecto NUMAStatic) y aumenta el número de colas si el adaptador lo permite para mejorar la paralelización.
Si el controlador permite ajustar recursos, eleva los búferes de recepción y envío. Valores bajos en el RX provocan pérdida de paquetes y menos rendimiento, especialmente en flujos de alta recepción.
Sobre la moderación de interrupciones, busca el equilibrio. Menos interrupciones ahorra CPU a costa de latencia; más interrupciones reduce latencia pero consume CPU. Si hay opción de fusión de búferes, aumentar esa cifra ayuda cuando no hay moderación de interrupciones nativa.
Redes sensibles a microsegundos: reducir latencia
Para entornos que miden latencia en microsegundos, conviene ajustar la plataforma. Trucos efectivos: poner el BIOS en Alto rendimiento y deshabilitar C‑states (o permitir que el SO gestione energía), establecer el plan de energía del sistema en Alto rendimiento (comando powercfg si procede), activar offloads estáticos (UDP/TCP Checksums y LSO), habilitar RSS en flujos multihilo y desactivar la moderación de interrupciones si prima la menor latencia (a costa de CPU).
Gestiona la afinidad de interrupciones y DPC del NIC para que compartan caché con el hilo de usuario que procesa los paquetes. Usar el mismo núcleo para ISR, DPC y aplicación puede saturarlo; distribuye inteligentemente con RSS y afinidad.
Ten en cuenta las SMI (interrupciones de administración del sistema). Son de máxima prioridad y pueden introducir picos de más de 100 µs. Si la latencia es crítica, solicita a tu proveedor BIOS de baja latencia o con SMI minimizadas; el SO no puede controlarlas.
Autoajuste de la ventana de recepción TCP
Windows negocia dinámicamente el tamaño de la ventana de recepción por conexión para maximizar rendimiento. Antes era fija (65.535 bytes) y limitaba throughput; con autoajuste, la pila se adapta a la latencia y ancho de banda.
Como referencia, el rendimiento por conexión es Ventana TCP en bytes multiplicado por 1 dividido entre la latencia. Ejemplo clásico: a 1 Gbps con 10 ms de latencia, una ventana estática daría unos 51 Mbps; con autoajuste bien dimensionado, se puede alcanzar línea de 1 Gbps.
Si la app no define ventana, Windows asigna por velocidad: menos de 1 Mbps usa 8 KB, entre 1 y 100 Mbps 17 KB, de 100 Mbps a 10 Gbps 64 KB, y a 10 Gbps o más 128 KB. Así se aprovecha el enlace sin tocar la aplicación.
Niveles disponibles: Normal (factor 0x8), Deshabilitado (sin escalado), Restringido (0x4), Altamente restringido (0x2) y Experimental (0xE). Las capturas de paquetes mostrarán WindowsScaleFactor con ShiftCount 8, ninguno, 4, 2 o 14 respectivamente, manteniendo típicamente una ventana negociada de 64K en el SYN según bitrate del NIC.
Puedes revisar o cambiar el nivel con PowerShell o netsh. Adecúa el nivel a tu escenario: Normal suele encajar en casi todos, y Experimental queda para entornos extremos.
Plataforma de filtrado y parámetros en desuso
La Windows Filtering Platform permite a software de terceros inspeccionar y filtrar tráfico en la pila. Es clave para seguridad, pero filtros mal implementados degradan el rendimiento del servidor; valídalos y optimízalos.
Valores antiguos de Windows Server 2003 como TcpWindowSize, NumTcbTablePartitions y MaxHashTableSize ya no se usan. En versiones modernas se ignoran aunque aparezcan en HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters.
Mantenimiento de redes: definición, ventajas y retos
El mantenimiento de redes consiste en comprobar y asegurar que hardware, software, configuración, rendimiento y seguridad de la red están en buen estado, identificando y resolviendo fallos o riesgos. Es un proceso continuo que evita interrupciones, refuerza la protección y garantiza la continuidad del negocio.
Beneficios claros: mejor conectividad y colaboración, mayor protección frente a brechas, ahorro al compartir recursos y reducir tiempos de inactividad, movilidad con inalámbricos y mejor experiencia de usuario por menor latencia y mayor disponibilidad. Todo suma para operaciones más eficientes.
Desafíos habituales: compatibilidades tras actualizaciones, crecimiento y escalabilidad, equipos de mantenimiento sin certificación, errores humanos y la gestión de hardware antiguo fuera de soporte. Planificar y formar es esencial para mitigarlos.
Una red conecta dispositivos para compartir datos y recursos mediante protocolos sobre medios cableados o inalámbricos. Los datos van en paquetes, conmutadores gestionan tráfico dentro de la red y routers entre redes, buscando rutas eficientes.
Tipos de red más comunes por alcance: LAN (oficina o edificio), PAN (dispositivos cercanos), MAN (área metropolitana) y WAN (gran extensión, incluso países). Cada tipo implica requisitos y riesgos distintos.
Beneficios clave del mantenimiento bien ejecutado
Además de lo técnico, un mantenimiento sólido impacta en la continuidad y en los resultados. Alta disponibilidad gracias a revisiones y prevención, menos incidentes, optimización de hardware y software, y mejor cumplimiento normativo por controles y auditorías.
Plan paso a paso para mantener la red
1) Preparación: evalúa la arquitectura y el estado actual, revisa diagramas y cambios recientes, y comprueba que toda la documentación (topologías, configuraciones, datos de proveedores) esté al día.
2) Seguridad: audita firewalls e IPS, actualiza antivirus y antimalware y aplica parches con un sistema de gestión que automatice y verifique. Busca vulnerabilidades y errores de configuración.
3) Hardware y software: monitoriza salud de servidores y routers (memoria, CPU, disco, errores), y valida la correcta configuración de switches y puntos de acceso para un funcionamiento óptimo.
4) Rendimiento: analiza ancho de banda y patrones de tráfico para detectar cuellos de botella y vigila la latencia dentro de umbrales aceptables, ajustando donde sea necesario.
5) Copias y recuperación: verifica que las copias de seguridad estén completas y actualizadas y revisa el plan de recuperación ante desastres, adaptándolo a nuevos sistemas o cambios, y consulta una guía para reparar tu sistema tras un virus.
6) Documentación: actualiza los documentos con todo cambio realizado (configuraciones, parches) y registra incidencias con su causa, resolución y lecciones aprendidas.
Soporte de terceros: servicios típicos
Contar con un proveedor especializado en mantenimiento por terceros (TPM) puede reforzar tu estrategia de hardware y disponibilidad. Sus servicios suelen cubrir reparación correctiva, soporte 24×7, cobertura global, recambios reacondicionados de calidad y experiencia multi‑marca.
| Servicio | Descripción |
|---|---|
| Mantenimiento correctivo | Técnicos certificados diagnostican y arreglan fallos o componentes en riesgo. |
| Soporte 24/7 | Asistencia remota y presencial a cualquier hora para minimizar el downtime. |
| Alcance global | Presencia en numerosos países para dar servicio allí donde esté tu empresa. |
| Recambios de alta calidad (SpaaS) | Piezas reacondicionadas que reducen costes y fomentan economía circular. |
| Experiencia multi‑marca | Soporte a distintos fabricantes y modelos, incluso fuera de catálogo. |
Detección y respuesta: de EDR a XDR
La prevención total no existe y la respuesta es crítica. EDR aporta visibilidad y respuesta en endpoints, pero suele dejar fuera dispositivos de red, almacenamiento, impresoras, BYOD, nube o IoT, y no ve vectores como el correo en la capa de SO.
Para cubrir esas grietas, aparecen soluciones específicas por dominio y, de forma integrada, XDR, que aspira a unificar detección y respuesta en endpoints, red y nube. El concepto aún madura: hay debate sobre ingesta de logs, inteligencia de amenazas, análisis y automatización.
Adoptar XDR exige estrategia a largo plazo, elegir bien proveedores y empezar por lo más consolidado (normalmente EDR) para luego ampliar cobertura a red y nube. El aprendizaje automático ya complementa la detección sin firmas y puede acelerar investigaciones.
Diseño de referencia: infraestructura Windows segura para empresa
Imagina que necesitas un sistema de correo, un sitio web público, almacenamiento de archivos de usuario, bases de datos de producción y prueba (no expuestas a Internet) y dos aplicaciones (cliente‑servidor y web) con entornos prod y test. Un diseño por zonas con redundancia y segmentación es la base.
- Zonas y red: Internet, DMZ (servicios expuestos), red interna de producción, red interna de pruebas/lab, red de gestión y red de copias. Segmenta en VLANs, aplica ACLs entre segmentos y protege los flujos con firewall perimetral y firewall interno, más WAF delante de aplicaciones web públicas.
- Identidad y fundamentos: 2 controladores de dominio (AD DS) por sitio, con DNS integrado y DHCP redundante (o reservas en el core). Sincroniza tiempo y aplica políticas de grupo para hardening. La identidad es la capa que sostiene el resto.
- Correo: 2 servidores de buzones (Exchange) en DAG en la red interna y 1–2 Edge Transport en DMZ para relé seguro, o bien un servicio en la nube con conectores seguros. Filtra spam y malware en el perímetro y aplica TLS para transporte.
- Web público: 2 servidores IIS en DMZ detrás de balanceador y WAF, con TLS 1.2 o superior y ciphers robustos. Sin acceso directo a BBDD internas; toda la lógica expuesta debe ser stateless y desplegada vía CI/CD.
- Almacenamiento de archivos: 2 servidores de ficheros en clúster (SOFS/DFS‑R) con cuotas, deduplicación y copias en la red de backup. Controla permisos con ACLs y etiqueta datos sensibles.
- Bases de datos: producción con 2 nodos SQL Server en Always On AG y test en 1–2 instancias separadas y aisladas en VLAN de laboratorio. Sin enlaces desde Internet o DMZ a estas BBDD.
- Aplicaciones internas: 2 servidores para la app web interna y 2 para la app cliente‑servidor (pools por prod y por test), todos conectados a sus BBDD por VLAN y puertos restringidos. Restrinje tráfico a lo mínimo (puerto y origen/destino).
- Gestión y seguridad: 2 servidores AAA/RADIUS (NPS) para admins y Wi‑Fi, SIEM para logs, IDS/IPS, WSUS y plataforma de monitorización. Backups en red separada con retención y pruebas de restauración periódicas.
- Controles adicionales: VPN con MFA para administración remota, estaciones de salto (jump servers), bastionado de servicios y segmentación East‑West con microsegmentación donde proceda. El objetivo es limitar el movimiento lateral y contener incidentes.
Buenas prácticas de seguridad de infraestructura (modelo Zero Trust)
Una arquitectura segura suma capas perimetrales e internas con segmentación por función. Zero Trust asume que ninguna petición es de fiar de partida y exige verificar cada acceso con políticas consistentes.
Integridad y configuración: verifica hashes de SO y firmware antes y después de actualizar. Ejemplo: verify /sha512 <PATH:filename>. Implanta control de cambios, compara con copias recientes y elimina archivos innecesarios o versiones antiguas con delete <PATH:filename>. Asegura persistencia de cambios con copy running-config startup-config en equipos de red.
Actualizaciones: mantén versiones estables y soportadas de software y firmware, planificando actualizaciones de hardware cuando el soporte del fabricante caduque. Sin parches conocidos, el riesgo se dispara.
AAA centralizado: configura 2 servidores AAA para alta disponibilidad y usa claves precompartidas robustas. Ejemplo: aaa group server radius <GROUP_NAME> + server-private <IP_ADDRESS_1> key <KEY_1> y server-private <IP_ADDRESS_2> key <KEY_2>. Centralizar simplifica y da trazabilidad.
Cuentas y contraseñas: elimina cuentas por defecto y compartidas, crea usuarios únicos y usa hash seguro para almacenamiento, por ejemplo username <NAME> algorithm-type sha256 secret <PASSWORD>. Contraseñas fuertes de 15+ caracteres con mayúsculas, minúsculas, números y símbolos, únicas por dispositivo y rol, y cambios cuando haya indicios de compromiso.
Administración remota segura: deshabilita Telnet y HTTP, migra SNMP a v3 (ejemplo: no snmp-server community y no snmp-server host), fuerza SSH v2 (ip ssh version 2) y HTTPS (ip http secure-server). Claves robustas con crypto key generate rsa modulus 3072 y suites de cifrado aprobadas.
Restringe acceso a servicios: limita los orígenes con ACL, por ejemplo access-list 10 permit 192.168.1.0 0.0.0.255 y aplícala a líneas VTY con access-class 10 in. Reduce la superficie a lo imprescindible.
Sesiones e inactividad: configura timeouts (ip ssh time-out 300 y exec-timeout 5 0) y habilita TCP keep‑alives (service tcp-keepalives-in y service tcp-keepalives-out). Evita sesiones huérfanas y secuestros.
Bloquea encadenamientos: impide conexiones salientes desde sesiones administrativas con transport output none en líneas VTY. Limita movimientos desde equipos de gestión.
Rutas e interfaces: deshabilita source routing (no ip source-route), activa uRPF (ip verify unicast source reachable-via rx) y autentica el enrutamiento: OSPF con area 0 authentication message-digest y BGP con neighbor <IP_ADDRESS> password <PASSWORD>. Evita rutas falsas y suplantaciones.
Capa 2 segura: desactiva trunking dinámico configurando switchport mode access y switchport nonegotiate cuando no se requiera trunk. Aplica port‑security (switchport port-security, maximum 2, violation shutdown), apaga puertos no usados (interface range ... + shutdown) y desactiva CDP donde no haga falta (no cdp enable). Controla quién entra por cada puerto.
Banners de aviso: añade avisos legales antes del login con banner login y mensajes MOTD, por ejemplo: banner login # Acceso solo a usuarios autorizados. Actividad monitorizada. #. Guarda cambios con write memory y valida cumplimiento legal con tu equipo jurídico.
Monitorización y auditoría: registra accesos (exitosos y fallidos) y revisa periódicamente los logs buscando patrones anómalos. Un SIEM te ayudará a correlacionar eventos en tiempo real.
Glosario rápido
AAA: autenticación, autorización y contabilidad para controlar quién accede, qué puede hacer y qué queda registrado.
Zero Trust: modelo que verifica cada acceso, asumiendo que puede haber amenazas tanto dentro como fuera de la red.
uRPF: verificación de que la ruta de origen es alcanzable, útil contra suplantación de IP. Filtra tráfico no legítimo en el borde.
Con una combinación equilibrada de ajustes de Windows, optimización del adaptador, controles de seguridad por capas, segmentación inteligente, un diseño de servicios Windows con redundancia y un programa de mantenimiento disciplinado, tu infraestructura de red se mantiene estable, rápida y protegida, preparada para escalar y responder ante incidentes sin perder el ritmo.
