Servicios
Contáctanos

Zona Desmilitarizada (DMZ): Ejemplos y Arquitectura

Cem Dilmegani
Cem Dilmegani
actualizado el 6 de mar. de 2026

Una red de Zona Desmilitarizada (DMZ) es una subred que contiene los servicios de acceso público de una organización. Sirve como un punto expuesto a una red no confiable, a menudo Internet.

Las DMZ se utilizan en diversos entornos, desde routers domésticos hasta redes empresariales, para aislar los servicios de cara al público y proteger los sistemas internos. Las DMZ (zonas desmilitarizadas) alojan servicios de cara al público mientras los aíslan de la LAN interna de una organización.1 Las organizaciones combinan los perímetros de DMZ con microsegmentación de Confianza Cero y controles de acceso estrictos.2

Explore ejemplos de DMZ del mundo real y diferentes arquitecturas de DMZ (firewall único vs. dual):

¿Por qué es importante la DMZ en la seguridad de redes?

Las DMZ añaden una capa de segmentación de red para defender la red privada interna. Crea una zona de amortiguación entre Internet público y las redes privadas de la organización.

Estas subredes limitan el acceso externo a los servidores y activos internos, lo que dificulta más a los atacantes penetrar en la red interna.

En configuraciones típicas (ver figura anterior), la subred DMZ se coloca entre dos firewalls o en un segmento dedicado de un firewall único con múltiples interfaces. Esto asegura que:

  • El acceso no autorizado a la red interna se bloquea, incluso si un servicio alojado en la DMZ se ve comprometido.
  • Todo el tráfico entrante desde Internet se filtra e inspecciona primero antes de llegar a los servidores de la DMZ.
  • El tráfico de la red interna hacia y desde la DMZ está estrictamente controlado y monitoreado.

Ejemplos de DMZ

Ejemplo de DMZ 1: Implementación de DMZ con un firewall

Como se ve en la Figura 1, la red DMZ no está ni dentro ni fuera del firewall. Es accesible a través de las redes interna y externa.

Una de las ventajas principales de este diagrama de red es el aislamiento. Por ejemplo, si el servidor de correo es hackeado, el atacante no podrá acceder a la red interna. En este escenario, el atacante puede acceder a varios servidores en la DMZ ya que comparten la misma red física.

Figura 1. Diagrama simple de DMZ

Fuente: International Journal of Wireless and Microwave Technologies3

En esta configuración, la DMZ aplica los siguientes controles de acceso:

  • Red externa: La red externa no puede establecer conexiones con la red interna, sin embargo, la red externa puede iniciar conexiones hacia la DMZ.
  • Red interna: La red interna puede iniciar conexiones hacia redes externas, pero la red no puede iniciar conexiones hacia la red interna.

Ejemplo de DMZ 2: Una DMZ conectada a un dispositivo de terceros

Otro enfoque típico de DMZ es conectarse a un dispositivo de terceros, como un proveedor. La Figura 2 ilustra una red con un proveedor conectado a través de un enlace T1 a un router en la DMZ.

Este ejemplo de DMZ puede utilizarse cuando las empresas externalizan sus sistemas a un tercero, permitiendo el acceso directo al servidor del proveedor a través de esta configuración.

Figura 2. DMZ conectándose a un proveedor

Fuente: O’Reilly Media4

Ejemplo de DMZ 3: Múltiples DMZ conectadas a un dispositivo de terceros

A veces una sola DMZ es insuficiente para las organizaciones que operan redes complejas. La Figura 3 ilustra una red con múltiples DMZ. El diseño combina los dos primeros ejemplos: Internet está fuera y los usuarios están dentro de la red.

Figura 3. Múltiples DMZ

Fuente: O’Reilly Media5

  • DMZ-1 es un punto de acceso a un proveedor.
  • DMZ-2 es donde se encuentran los servidores de Internet.

Los requisitos de seguridad son consistentes con el ejemplo anterior (Ejemplo 2), pero se necesita una consideración adicional: si DMZ-1 tiene permiso para iniciar conexiones con DMZ-2, y viceversa.

Evaluando este acceso bidireccional se ayuda a aplicar controles de seguridad granulares dentro de entornos de red complejos.

Arquitecturas de DMZ

Una DMZ puede configurarse de varias maneras, desde un firewall único hasta firewalls duales o múltiples. La mayoría de las arquitecturas de DMZ actuales incluyen firewalls gemelos que pueden escalarse para soportar redes complejas.

1. Firewall único

Se necesita un firewall único con al menos tres interfaces de red para construir una arquitectura de red que incluya una DMZ.

Figura 4. Ilustración de una arquitectura de firewall único

Fuente: SAP6

Por qué usar un firewall único: Un firewall único simplifica la arquitectura de red al consolidar el control de tráfico, la aplicación de políticas y el registro en un solo dispositivo. Esto reduce la complejidad administrativa y disminuye tanto los costos de capital como los operativos. Es ideal para entornos más pequeños donde no hay necesidad de defensas de perímetro multinivel.

2. Firewall dual

Esta implementación crea una DMZ utilizando dos firewalls.

Figura 5. Ilustración de una arquitectura de firewall dual

Fuente: SAP7

Por qué usar firewalls duales: Los firewalls duales ofrecen un sistema más seguro. En algunas empresas, los dos firewalls son ofrecidos por proveedores separados. Si un ataque externo puede vulnerar el primer firewall, puede tomar más tiempo vulnerar el segundo firewall si está construido por un fabricante diferente, lo que hace menos probable que caiga víctima de las mismas vulnerabilidades de seguridad.

Las versiones recientes de hardware han introducido nuevas opciones para implementaciones de firewall de DMZ, incluido el Firebox M695 de WatchGuard (lanzado en diciembre de 2025), que cuenta con un procesador Intel Core i7-14701E y ofrece un rendimiento muy alto (45 Gbps en bruto) para entornos grandes.8

Para implementaciones de pequeñas y medianas empresas, el WatchGuard Firebox T185 (lanzado en enero de 2026) ofrece un rendimiento de varios gigabits con un rendimiento de firewall de aproximadamente 5.7 Gbps en bruto y características de seguridad de nivel empresarial para redes de oficinas sucursales.9

Beneficios de la Zona Desmilitarizada (DMZ)

El valor principal de una DMZ radica en su capacidad para proporcionar a los usuarios de Internet público acceso a servicios específicos de cara al exterior, al tiempo que sirve como una barrera protectora que resguarda la red interna de la organización.

Esta capa adicional de seguridad ofrece varios beneficios clave de seguridad:

1. Proporciona controles de acceso

Una red DMZ controla el acceso a servicios accesibles a través de Internet que no están dentro de la red de perímetro de una empresa. También añade una capa de segmentación de red, aumentando el número de barreras que un usuario debe superar antes de obtener admisión a la red privada de una empresa.

2. Previene el reconocimiento de red

Una DMZ limita la capacidad de un atacante para evaluar objetivos potenciales en la red. Incluso si una máquina en la DMZ es hackeada, el firewall interno defiende la red privada aislándola de la DMZ. Esta configuración hace que los exploits de red externos sean más difíciles.

3. Limita la suplantación de Protocolo de Internet (IP)

La suplantación de IP implica falsificar la dirección IP de origen de los paquetes para obtener acceso no autorizado. Una DMZ ayuda a detectar y bloquear tráfico suplantado, especialmente cuando se combina con medidas de seguridad adicionales que validan la autenticidad de la IP, protegiendo aún más la red interna de ataques de suplantación.

Descubre más de nuestros análisis comparativos e insights basados en datos en la Búsqueda de Google.
GoogleAñadir como fuente preferida

Top 5 vulnerabilidades de las DMZ en la seguridad de redes

Una DMZ es útil, pero tiene debilidades. Estas debilidades pueden facilitar a los atacantes encontrar problemas.

1. Las partes públicas son fáciles de ver desde Internet

Los servidores en una DMZ deben estar abiertos para que las personas los usen. Los hackers pueden encontrar y escanear estos sistemas de cara al público en busca de debilidades.

2. La mala configuración crea riesgos

La configuración y gestión de la DMZ puede ser compleja. Si las reglas del firewall o los controles de acceso son incorrectos, los atacantes podrían entrar.

3. La complejidad aumenta los errores

Una DMZ añade más dispositivos, reglas y configuraciones que gestionar. Más complejidad significa más posibilidades de error humano.

4. Una falsa sensación de seguridad

Algunas personas piensan que una DMZ hace que una red esté totalmente segura. No lo hace. Una DMZ reduce el riesgo, pero no puede detener todos los ataques por sí sola.

5. Las DMZ pueden tener dificultades con tecnologías más nuevas

Los diseños tradicionales de DMZ pueden no encajar bien con los servicios en la nube o los modelos de redes modernos, limitando su utilidad.

En febrero de 2026, la Agencia de Seguridad Cibernética e Infraestructura de EE. UU. (CISA) emitió nuevas directrices para los operadores de infraestructura crítica tras un ciberataque a la red eléctrica de Polonia.10 El consejo enfatiza la segmentación estricta de la red y otros controles para ayudar a contener las amenazas en las redes de tecnología operativa (OT).11

Aplicaciones de las DMZ

1. Servicios en la nube

Algunos servicios en la nube emplean una estrategia de seguridad híbrida en la que se establece una DMZ entre la red local de la empresa y su red lógica. Esta estrategia se emplea comúnmente cuando los servicios de la empresa se ejecutan parcialmente en local y parcialmente a través de una red lógica.

AWS y Google Cloud incluyen soluciones integradas de firewall como servicio. Por ejemplo, AWS proporciona el AWS Network Firewall (un servicio de firewall con estado gestionado para VPC).12 El Cloud Next-Generation Firewall de Google Cloud incluye un servicio de filtrado de URL para el control de tráfico basado en dominios y admite políticas de firewall jerárquicas para una segmentación de red granular 13 .14

2. Redes domésticas

Una DMZ también puede ser útil para redes domésticas que utilizan configuraciones de LAN y routers de banda ancha. Varios routers domésticos incluyen opciones de DMZ o configuraciones de host DMZ. Estas opciones permiten a los usuarios conectar solo un dispositivo a Internet.

3. Sistemas de control industrial (ICS)

Las DMZ pueden proporcionar una solución a los problemas de seguridad asociados con los ICS.

La mayoría del equipo de tecnología operativa (OT) que se conecta a Internet no está tan bien diseñado para mitigar ataques como los dispositivos de TI. Una DMZ puede mejorar la segmentación de la red OT, haciendo más difícil que malware, virus u otras amenazas de red se infiltren.

Las organizaciones están reemplazando los perímetros de red planos con modelos de Confianza Cero que utilizan microsegmentación y controles de acceso granulares.15 La reciente guía global para redes OT (liderada por el NCSC del Reino Unido con la colaboración de CISA) enfatiza la reducción de conexiones expuestas y la aplicación de segmentación estricta de la red en los límites operativos 16 .17

4. Alojamiento web y de correo electrónico

Los servicios de cara al público, como los servidores web, generalmente se implementan dentro de una DMZ para proporcionar a los usuarios externos acceso a recursos esenciales mientras se mantiene la seguridad de la red interna.

5. Sistemas de detección y prevención de intrusiones (IDS/IPS)

Algunas arquitecturas de seguridad colocan sensores IDS/IPS en la DMZ para inspeccionar el tráfico entrante y saliente en busca de comportamiento malicioso antes de que llegue a la red interna.

6. Acceso de socios y proveedores

Las organizaciones que proporcionan acceso de red a socios o proveedores de terceros a menudo utilizan una DMZ para alojar servicios compartidos (por ejemplo, APIs, portales SFTP). Esto limita la exposición de la red interna en caso de que el acceso de la parte externa se vea comprometido.

7. Pasarelas de acceso remoto

Los concentradores VPN, las pasarelas de escritorio remoto o los brokers de infraestructura de escritorio virtual (VDI) a menudo se implementan en una DMZ para permitir el acceso remoto seguro a los sistemas internos sin exponerlos directamente a Internet.

Cita esta investigación

Elige el formato que se ajuste al lugar donde vas a publicar. Pegar la versión con enlace en tu CMS conserva el enlace de retroceso.

Cem Dilmegani (2026) - "Zona Desmilitarizada (DMZ): Ejemplos y Arquitectura". Publicado en línea en AIMultiple.com. Recuperado el 6 de Marzo de 2026, de: https://aimultiple.com/dmz [Recurso en línea]

Dilmegani, C. (2026, 6 de Marzo). Zona Desmilitarizada (DMZ): Ejemplos y Arquitectura. AIMultiple. https://aimultiple.com/dmz

@misc{dilmegani2026,
  author = {Dilmegani, Cem},
  title  = {{Zona Desmilitarizada (DMZ): Ejemplos y Arquitectura}},
  year   = {2026},
  month  = mar,
  howpublished    = {\url{https://aimultiple.com/dmz}},
  note   = {AIMultiple. Recuperado el 6 de Marzo de 2026}
}
Cem Dilmegani
Cem Dilmegani
Analista principal
Cem ha sido el analista principal de AIMultiple desde 2017. AIMultiple informa a cientos de miles de empresas (según similarWeb), incluyendo el 55% de las empresas Fortune 500 cada mes. El trabajo de Cem ha sido citado por importantes publicaciones globales como Business Insider, Forbes, Washington Post, firmas globales como Deloitte, HPE y ONG como el Foro Económico Mundial y organizaciones supranacionales como la Comisión Europea. Puede consultar más empresas y recursos de renombre que citan a AIMultiple. A lo largo de su carrera, Cem se desempeñó como consultor, comprador y emprendedor tecnológico. Asesoró a empresas en sus decisiones tecnológicas en McKinsey & Company y Altman Solon durante más de una década. También publicó un informe de McKinsey sobre digitalización. Lideró la estrategia y adquisición de tecnología de una empresa de telecomunicaciones, reportando directamente al CEO. Asimismo, lideró el crecimiento comercial de la empresa de tecnología avanzada Hypatos, que alcanzó ingresos recurrentes anuales de siete cifras y una valoración de nueve cifras partiendo de cero en tan solo dos años. El trabajo de Cem en Hypatos fue reseñado por importantes publicaciones tecnológicas como TechCrunch y Business Insider. Cem participa regularmente como ponente en conferencias internacionales de tecnología. Se graduó en ingeniería informática por la Universidad de Bogazici y posee un MBA de la Columbia Business School.
Ver perfil completo

Sé el primero en comentar

Tu dirección de correo electrónico no será publicada. Todos los campos son obligatorios. Los comentarios se dejan en su idioma original.

0/450