Contáctanos
ServiciosCompañía
Contáctanos
No se encontraron resultados.
CiberseguridadSeguridad de la red

Zona Desmilitarizada (DMZ): Ejemplos y Arquitectura

Cem Dilmegani
Cem Dilmegani
actualizado el Mar 6, 2026
Vea nuestra normas éticas

Una red de Zona Desmilitarizada (DMZ) es una subred que contiene los servicios de acceso público de una organización. Sirve como punto de acceso a una red no confiable, generalmente Internet.

Las DMZ se utilizan en diversos entornos, desde routers domésticos hasta redes empresariales, para aislar los servicios públicos y proteger los sistemas internos. Las DMZ (zonas desmilitarizadas) alojan servicios públicos, aislándolos de la LAN interna de la organización. 1 Las organizaciones combinan perímetros DMZ con microsegmentación de confianza cero y controles de acceso estrictos. 2

Explore ejemplos reales de DMZ y diferentes arquitecturas de DMZ (cortafuegos simple frente a doble) :

¿Por qué es importante la DMZ en la seguridad de la red?

Las DMZ añaden una capa de segmentación de red para proteger la red privada interna. Crean una zona de amortiguación entre internet pública y las redes privadas de la organización.

Estas subredes limitan el acceso externo a los servidores y activos internos, lo que dificulta que los atacantes penetren en la red interna.

En configuraciones típicas (véase la figura anterior), la subred DMZ se ubica entre dos firewalls o en un segmento dedicado de un único firewall con múltiples interfaces. Esto garantiza que:

  • El acceso no autorizado a la red interna está bloqueado, incluso si un servicio alojado en la DMZ se ve comprometido.
  • Todo el tráfico entrante procedente de Internet se filtra e inspecciona antes de llegar a los servidores de la DMZ.
  • El tráfico de red interno hacia y desde la DMZ está estrictamente controlado y supervisado.

Ejemplos de DMZ

Ejemplo 1 de DMZ: Implementación de DMZ con un firewall

Como se muestra en la Figura 1, la red DMZ no se encuentra ni dentro ni fuera del cortafuegos. Es accesible tanto a través de redes internas como externas.

Una de las principales ventajas de este diagrama de red es el aislamiento. Por ejemplo, si el servidor de correo electrónico es pirateado, el atacante no podrá acceder a la red interna. En este caso, el atacante podría acceder a varios servidores en la DMZ, ya que comparten la misma red física.

Figura 1. Diagrama DMZ simple

Fuente: Revista Internacional de Tecnologías Inalámbricas y de Microondas 3

En esta configuración, la DMZ aplica los siguientes controles de acceso:

  • Red externa: La red externa no puede establecer conexiones con la red interna; sin embargo, la red externa puede iniciar conexiones con la DMZ.
  • Red interna: La red interna puede iniciar conexiones con redes externas, pero no puede iniciar conexiones con la red interna.

Ejemplo de DMZ 2: Una DMZ conectada a un dispositivo de terceros.

Otro enfoque típico para la DMZ consiste en conectarse a un dispositivo de terceros, como un proveedor. La figura 2 ilustra una red con un proveedor conectado mediante un enlace T1 a un enrutador en la DMZ.

Este ejemplo de DMZ se puede utilizar cuando las empresas subcontratan sus sistemas a un tercero, permitiendo el acceso directo al servidor del proveedor a través de esta configuración.

Figura 2. DMZ conectada a un proveedor

Fuente: O'Reilly Media 4

Ejemplo de DMZ 3: Múltiples DMZ conectadas a un dispositivo de terceros.

En ocasiones, una única DMZ resulta insuficiente para organizaciones que operan redes complejas. La figura 3 ilustra una red con múltiples DMZ. Este diseño combina los dos primeros ejemplos: Internet se encuentra fuera de la red y los usuarios están dentro de ella.

Figura 3. Múltiples DMZ

Fuente: O'Reilly Media 5

  • DMZ-1 es un punto de acceso a un proveedor.
  • DMZ-2 es donde se encuentran los servidores de Internet.

Los requisitos de seguridad son consistentes con el ejemplo anterior (Ejemplo 2), pero es necesario considerar un aspecto adicional: si DMZ-1 tiene permiso para iniciar conexiones con DMZ-2 y viceversa.

Evaluar este acceso bidireccional ayuda a reforzar los controles de seguridad granulares en entornos de red complejos.

Arquitecturas DMZ

Una DMZ se puede configurar de diversas maneras, desde un único cortafuegos hasta dos o más cortafuegos. La mayoría de las arquitecturas DMZ actuales incluyen cortafuegos gemelos que se pueden escalar para admitir redes complejas.

1. Cortafuegos único

Se necesita un único cortafuegos con al menos tres interfaces de red para construir una arquitectura de red que incluya una DMZ.

Figura 4. Ilustración de una arquitectura de firewall única.

Fuente: SAP 6

¿Por qué usar un único firewall? Un único firewall simplifica la arquitectura de red al consolidar el control de tráfico, la aplicación de políticas y el registro de eventos en un solo dispositivo. Esto reduce la complejidad administrativa y disminuye tanto los costos de capital como los operativos. Es la mejor opción para entornos pequeños donde no se requieren defensas perimetrales multicapa.

2. Cortafuegos dual

Esta implementación crea una DMZ utilizando dos cortafuegos.

Figura 5. Ilustración de la arquitectura de doble cortafuegos.

Fuente: SAP 7

¿Por qué usar firewalls duales? Los firewalls duales ofrecen un sistema más seguro. En algunas empresas, los dos firewalls son proporcionados por proveedores diferentes. Si un ataque externo logra vulnerar el primer firewall, podría tardar más en vulnerar el segundo si este es de un fabricante distinto, lo que reduce la probabilidad de que sea víctima de las mismas vulnerabilidades de seguridad.

Los lanzamientos recientes de hardware han introducido nuevas opciones para implementaciones de firewall DMZ, incluido el Firebox M695 de WatchGuard (lanzado en diciembre de 2025), que cuenta con un procesador Core i7-14701E (Intel) y ofrece un rendimiento muy alto (45 Gbps brutos) para entornos grandes. 8

Para implementaciones en pequeñas y medianas empresas, el WatchGuard Firebox T185 (lanzado en enero de 2026) proporciona un rendimiento multigigabit con un rendimiento de firewall bruto de aproximadamente 5,7 Gbps y funciones de seguridad de clase empresarial para redes de sucursales. 9

Beneficios de la Zona Desmilitarizada (DMZ)

El principal valor de una DMZ reside en su capacidad para proporcionar a los usuarios de internet acceso a servicios externos específicos, al tiempo que actúa como una barrera protectora que resguarda la red interna de la organización.

Esta capa adicional de seguridad ofrece varias ventajas clave en materia de seguridad:

1. Proporciona controles de acceso

Una red DMZ controla el acceso a los servicios disponibles en internet que no se encuentran dentro de la red perimetral de la empresa. Además, añade una capa de segmentación de red, incrementando el número de barreras que un usuario debe superar para acceder a la red privada de la empresa.

2. Prevenir el reconocimiento de la red

Una DMZ limita la capacidad de un atacante para evaluar posibles objetivos en la red. Incluso si una máquina en la DMZ es pirateada, el firewall interno protege la red privada aislándola de la DMZ. Esta configuración dificulta los ataques a la red externa.

3. Limita la suplantación de identidad del Protocolo de Internet (IP).

La suplantación de IP consiste en falsificar la dirección IP de origen de los paquetes para obtener acceso no autorizado. Una DMZ ayuda a detectar y bloquear el tráfico falsificado, especialmente cuando se combina con medidas de seguridad adicionales que validan la autenticidad de la IP, protegiendo así la red interna contra ataques de suplantación.

Las 5 principales vulnerabilidades de las DMZ en la seguridad de la red

Una DMZ es útil, pero tiene vulnerabilidades. Estas vulnerabilidades pueden facilitar que los atacantes encuentren fallos de seguridad.

1. Las zonas públicas son fáciles de ver desde Internet.

Los servidores en una DMZ deben estar abiertos para que la gente pueda usarlos. Los hackers pueden encontrar y analizar estos sistemas accesibles al público en busca de vulnerabilidades.

2. Una configuración incorrecta crea riesgo.

La configuración y gestión de la DMZ puede ser compleja. Si las reglas del firewall o los controles de acceso son incorrectos, los atacantes podrían infiltrarse.

3. La complejidad aumenta los errores.

Una DMZ añade más dispositivos, reglas y configuraciones que gestionar. Una mayor complejidad implica mayores posibilidades de error humano.

4. Una falsa sensación de seguridad

Algunas personas creen que una DMZ hace que una red sea totalmente segura. No es así. Una DMZ reduce el riesgo, pero no puede detener todos los ataques por sí sola.

5. Las DMZ pueden tener problemas con las tecnologías más recientes.

Los diseños tradicionales de DMZ pueden no ser compatibles con los servicios en la nube o los modelos de red modernos, lo que limita su utilidad.

En febrero de 2026, la Agencia de Seguridad de Infraestructuras y Ciberseguridad de Estados Unidos (CISA) publicó nuevas directrices para los operadores de infraestructuras críticas tras un ciberataque a la red eléctrica de Polonia. 10 El aviso hace hincapié en la segmentación estricta de la red y otros controles para ayudar a contener las amenazas en las redes de tecnología operativa (OT). 11

Aplicaciones de las DMZ

1. Servicios en la nube

Algunos servicios en la nube emplean una estrategia de seguridad híbrida en la que se establece una DMZ entre la red local de la empresa y su red lógica. Esta estrategia se utiliza habitualmente cuando los servicios de la empresa se ejecutan parcialmente en las instalaciones de la empresa y parcialmente a través de una red lógica.

AWS y Google Cloud incluyen soluciones de firewall como servicio integradas. Por ejemplo, AWS proporciona AWS Network Firewall (un servicio de firewall administrado y con estado para VPC). 12 Google El firewall de próxima generación de Cloud incluye un servicio de filtrado de URL para el control de tráfico basado en dominios y admite políticas de firewall jerárquicas para la segmentación granular de la red. 13 . 14

2. Redes domésticas

Una DMZ también puede ser útil para redes domésticas que utilizan configuraciones LAN y routers de banda ancha. Muchos routers domésticos incluyen opciones de DMZ o configuración de host DMZ. Estas opciones permiten a los usuarios conectar un único dispositivo a internet.

3. Sistemas de control industrial (SCI)

Las DMZ pueden ofrecer una solución a los problemas de seguridad asociados con los ICS.

La mayoría de los equipos de tecnología operativa (OT) conectados a internet no están tan bien diseñados para mitigar ataques como los dispositivos de TI. Una DMZ puede mejorar la segmentación de la red OT, dificultando la infiltración de malware, virus u otras amenazas de red.

Las organizaciones están reemplazando los perímetros de red planos con modelos de confianza cero que utilizan microsegmentación y controles de acceso granulares. 15 Las recientes directrices globales para redes OT (lideradas por el NCSC del Reino Unido con la colaboración de CISA) hacen hincapié en la reducción de las conexiones expuestas y en la aplicación de una segmentación estricta de la red en los límites operativos. 16 . 17

4. Alojamiento web y de correo electrónico

Los servicios de cara al público, como los servidores web, suelen implementarse dentro de una DMZ para proporcionar a los usuarios externos acceso a recursos esenciales, manteniendo al mismo tiempo la seguridad de la red interna.

5. Sistemas de detección y prevención de intrusiones (IDS/IPS)

Algunas arquitecturas de seguridad colocan sensores IDS/IPS en la DMZ para inspeccionar el tráfico entrante y saliente en busca de comportamientos maliciosos antes de que llegue a la red interna.

6. Acceso de socios y proveedores

Las organizaciones que proporcionan acceso a la red a socios o proveedores externos suelen utilizar una DMZ para alojar servicios compartidos (por ejemplo, API, portales SFTP). Esto limita la exposición de la red interna en caso de que se vea comprometido el acceso de terceros.

7. Puertas de enlace de acceso remoto

Los concentradores VPN, las pasarelas de escritorio remoto o los intermediarios de infraestructura de escritorio virtual (VDI) se suelen implementar en una DMZ para permitir el acceso remoto seguro a los sistemas internos sin exponerlos directamente a Internet.

Enlaces de referencia

1.
https://www.techtarget.com/searchsecurity/definition/DMZ
2.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
3.
ResearchGate - Temporarily Unavailable
4.
Network Warrior
5.
Network Warrior
6.
SAP Help Portal | SAP Online Help
7.
SAP Help Portal | SAP Online Help
8.
WatchGuard Firebox M695 review | IT Pro
IT Pro
9.
WatchGuard Firebox T185 review | IT Pro
IT Pro
10.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
11.
https://www.itpro.com/security/cisa-shares-lessons-learned-from-polish-power-grid-hack-and-how-to-prevent-disaster-striking-again
12.
https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html
13.
https://docs.cloud.google.com/firewall/docs/about-url-filtering
14.
Cloud NGFW overview  |  Cloud Next Generation Firewall  |  Google Cloud Documentation
15.
https://www.cisa.gov/resources-tools/resources/microsegmentation-zero-trust-part-one-introduction-and-planning
16.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
17.
NCSC-led global guidance sets out principles for designing secure connectivity into OT networks - Industrial Cyber
Industrial Cyber
Cem Dilmegani
Cem Dilmegani
Analista principal
Síguenos
Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.
Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios.

0/450

Siguiente para leer

Marcos de IA agencialAbr 26

Los 10+ mejores marcos y herramientas de orquestación agenica

Hazal Şimşek
Hazal Şimşek
ERP agencialMar 5

Los 10 mejores sistemas ERP con IA agenica y 6 soluciones

Hazal Şimşek
Hazal Şimşek
Codificación de IAAbr 24

Optimización de la codificación agencial: ¿Cómo utilizar el código Claude en 2026?

Cem Dilmegani
Cem Dilmegani
Modelos de IAFeb 11

Modelos de fundaciones mundiales: 10 casos de uso

Cem Dilmegani
Sıla Ermut
Cem Dilmegani
con
Sıla Ermut
Herramientas de seguridadAbr 24

Sistemas de control de incidentes con IA: 6 casos de uso reales y herramientas líderes

Cem Dilmegani
Cem Dilmegani
Agentes de IAEne 28

IA agencial para la ciberseguridad: casos de uso y ejemplos

Cem Dilmegani
Cem Dilmegani