Cómo activar y configurar el cortafuegos en Windows para empresas
El 94 % de los ciberataques a PYMEs españolas comienza con un acceso no autorizado a la red interna, según el informe anual de INCIBE (2024). El cortafuegos de Windows es la primera barrera de defensa en cada equipo, pero en un entorno empresarial no basta con activarlo manualmente equipo a equipo: necesitas despliegue centralizado por directivas de grupo (GPO), reglas específicas para tu infraestructura y un firewall perimetral que proteja toda la red. En IBERSYA combinamos la configuración del firewall de Windows con soluciones Fortinet perimetrales para ofrecer a nuestros clientes una protección en capas.
Por qué el cortafuegos importa más de lo que crees en una empresa
Un cortafuegos (firewall) filtra el tráfico de red entrante y saliente según reglas predefinidas. Sin él, cualquier equipo conectado a la red queda expuesto a:
- Movimientos laterales: si un atacante compromete un equipo, puede propagarse a toda la red interna si los demás equipos no tienen firewall activo. El 67 % de los ataques con ransomware utilizan movimiento lateral dentro de la red corporativa (Verizon DBIR, 2024).
- Exfiltración de datos: un malware puede enviar información confidencial a servidores externos si no hay reglas de salida que lo bloqueen.
- Ataques de red local: técnicas como ARP spoofing o LLMNR poisoning aprovechan redes sin segmentación ni firewall de host.
INCIBE registró más de 83.000 incidentes de ciberseguridad en empresas españolas durante 2024, un 24 % más que el año anterior. La mayoría se podrían haber mitigado o contenido con una política de firewall correctamente implementada.
Activar el cortafuegos de Windows paso a paso
Método 1: Desde Seguridad de Windows (equipo individual)
- Pulsa Inicio y escribe “Seguridad de Windows”. Abre la aplicación.
- Selecciona Firewall y protección de red.
- Verás tres perfiles: Red de dominio, Red privada y Red pública. Haz clic en cada uno.
- Activa el interruptor de Firewall de Microsoft Defender en los tres perfiles.
- Verifica que aparece el mensaje “El firewall está activado” en verde.
Método 2: Desde el Panel de Control (Windows 10/11)
- Abre Panel de Control > Sistema y seguridad > Firewall de Windows Defender.
- En el menú lateral izquierdo, pulsa Activar o desactivar el Firewall de Windows Defender.
- Marca Activar Firewall de Windows Defender para redes privadas y públicas.
- Pulsa Aceptar.
Método 3: Mediante PowerShell (recomendado para IT)
Abre PowerShell como administrador y ejecuta:
Set-NetFirewallProfile -Profile Domain,Public,Private -Enabled TrueEste comando activa el firewall en los tres perfiles de red de una sola vez. Es el método más rápido y permite ser incluido en scripts de configuración.
Despliegue centralizado con directivas de grupo (GPO)
En un entorno empresarial con Active Directory, activar el firewall manualmente en cada equipo no es viable ni seguro. La solución profesional es usar Directivas de Grupo (GPO):
1. Crear la GPO de firewall
Abre Administración de directivas de grupo (gpmc.msc) en tu controlador de dominio. Crea una nueva GPO llamada, por ejemplo, “Firewall — Configuración corporativa” y vincúlala a la OU que contiene los equipos.
2. Configurar los perfiles de firewall
Navega a Configuración del equipo > Directivas > Configuración de Windows > Configuración de seguridad > Firewall de Windows Defender con seguridad avanzada. Configura:
- Perfil de dominio: Firewall activado, conexiones entrantes bloqueadas por defecto, conexiones salientes permitidas.
- Perfil privado: misma configuración que dominio.
- Perfil público: la más restrictiva — bloquea entrantes y limita salientes a puertos esenciales (80, 443, 53).
3. Definir reglas de entrada personalizadas
Crea reglas para permitir solo el tráfico necesario:
- RDP (puerto 3389): permitir solo desde la subred de IT.
- SMB (puerto 445): permitir solo para servidores de archivos específicos.
- Aplicaciones de negocio: permitir por ejecutable (ruta completa) en lugar de por puerto, para mayor seguridad.
- ICMP (ping): permitir solo desde herramientas de monitorización (Zabbix, PRTG).
4. Definir reglas de salida
Por defecto, Windows permite todo el tráfico saliente. En entornos con datos sensibles, recomendamos restringir:
- Bloquear conexiones salientes a puertos no estándar.
- Permitir explícitamente HTTP/HTTPS (80/443), DNS (53), correo (587/993) y las aplicaciones de negocio.
- Registrar conexiones bloqueadas para análisis posterior.
5. Activar el registro de eventos
En la GPO, activa el registro del firewall en %systemroot%\system32\LogFiles\Firewall\pfirewall.log. Configura tamaño máximo de 4096 KB y registra tanto conexiones permitidas como bloqueadas. Estos logs son fundamentales para auditorías y detección de intrusiones.
6. Forzar la aplicación y verificar
Ejecuta gpupdate /force en un equipo de prueba y verifica con:
Get-NetFirewallProfile | Select Name, Enabled, DefaultInboundActionDebe mostrar los tres perfiles como “Enabled: True” y “DefaultInboundAction: Block”.
Por qué el firewall de Windows no es suficiente para una empresa
El firewall de Windows protege cada equipo individualmente (firewall de host), pero una estrategia de seguridad empresarial necesita también un firewall perimetral que proteja toda la red:
| Característica | Firewall Windows | Firewall perimetral (Fortinet) |
|---|---|---|
| Alcance | Un solo equipo | Toda la red |
| Inspección de contenido | No | Sí (Deep Packet Inspection) |
| Filtrado web | No | Sí (categorías, reputación) |
| Detección de intrusos (IDS/IPS) | No | Sí |
| VPN site-to-site | No | Sí |
| Segmentación de red | Limitada | Completa (VLANs, zonas) |
| Gestión centralizada de logs | No | Sí (FortiAnalyzer) |
En IBERSYA desplegamos firewalls Fortinet (FortiGate) como solución perimetral para nuestros clientes empresariales. La combinación de Fortinet en el perímetro con el firewall de Windows correctamente configurado por GPO en cada endpoint proporciona una defensa en profundidad que cubre tanto amenazas externas como movimiento lateral interno.
Configurar reglas avanzadas en Windows Defender Firewall
Reglas basadas en servicio
En lugar de abrir puertos genéricos, crea reglas que permitan tráfico solo para un servicio específico de Windows. Ejemplo: permitir tráfico solo para el servicio “SQL Server (MSSQLSERVER)” en lugar de abrir el puerto 1433 a cualquier proceso.
Reglas de conexión segura (IPsec)
Windows Defender Firewall permite crear reglas de seguridad de conexión que exigen autenticación IPsec entre equipos. Esto es especialmente útil para segmentar redes y garantizar que solo equipos autorizados del dominio pueden comunicarse entre sí.
Reglas por grupo de seguridad de AD
Puedes vincular reglas de firewall a grupos de seguridad de Active Directory. Por ejemplo: permitir RDP solo a los miembros del grupo “IT-Soporte”. Esto añade una capa de control de acceso basada en identidad.
Problemas frecuentes y solución
- El firewall se desactiva solo: suele ocurrir cuando un antivirus de terceros toma el control. Solución: verificar en Seguridad de Windows > Proveedores de seguridad qué software gestiona el firewall. Si usas antivirus corporativo (Kaspersky, Sophos), asegúrate de que su firewall está activo o reactiva el de Windows.
- Una aplicación de negocio deja de funcionar tras activar el firewall: crea una regla de entrada que permita esa aplicación por ruta del ejecutable. Nunca desactives el firewall completo como solución.
- Los usuarios desactivan el firewall: con la GPO configurada, puedes impedir que los usuarios modifiquen la configuración del firewall. Activa “Aplicar reglas de firewall local: No” en la directiva.
- No puedo acceder a recursos compartidos entre equipos: verifica que la regla “Compartir archivos e impresoras” está habilitada para el perfil de dominio y que el servicio “Servidor” (LanmanServer) está en ejecución.
Checklist de seguridad para el firewall empresarial
- Firewall de Windows activado en los tres perfiles (dominio, privado, público) en todos los equipos.
- GPO desplegada y verificada en cada OU.
- Reglas de entrada: solo lo necesario, por servicio o aplicación, nunca “permitir todo”.
- Reglas de salida: al menos monitorizadas, idealmente restringidas.
- Registro de firewall activado y centralizado.
- Firewall perimetral (Fortinet u otro) protegiendo el acceso a internet.
- Revisión trimestral de reglas para eliminar las obsoletas.
- Prueba de penetración anual para verificar la efectividad.
Preguntas frecuentes
¿Es necesario tener un cortafuegos en Windows si ya tengo Fortinet? Sí, absolutamente. El firewall perimetral protege el tráfico que entra y sale de tu red, pero no puede controlar el tráfico entre equipos dentro de la misma red (movimiento lateral). El firewall de Windows es la última línea de defensa en cada equipo.
¿Puedo usar otro cortafuegos en lugar de Windows Defender? Sí, soluciones como Kaspersky Endpoint Security o Sophos Intercept X incluyen su propio firewall de host. Si los usas, desactiva el de Windows para evitar conflictos. Lo importante es que siempre haya un firewall de host activo.
¿El firewall ralentiza los equipos? El impacto en rendimiento es insignificante en hardware moderno. Microsoft indica un overhead inferior al 1 % de CPU en equipos con procesadores de los últimos 5 años (Microsoft Learn, Windows Firewall Performance).
¿Cómo sé si mi firewall está bloqueando algo que no debería?
Revisa los logs en %systemroot%\system32\LogFiles\Firewall\pfirewall.log o, si usas GPO, centraliza los eventos del firewall en tu SIEM. Busca eventos con acción “DROP” que coincidan con aplicaciones de negocio.