La mayoría de las redes de pequeñas y medianas empresas en Argentina funcionan como una red plana: todos los dispositivos —computadoras, servidores, cámaras de seguridad, impresoras, teléfonos IP y sistemas de control— comparten el mismo segmento de red. Esta arquitectura, simple de configurar, es uno de los mayores riesgos de seguridad que puede tener una organización.
Cuando un atacante o un malware logra entrar a cualquier dispositivo de una red plana, tiene acceso directo a todos los demás. En cambio, una red correctamente segmentada con VLANs contiene el problema y limita el daño.
¿Qué es una red plana y por qué es un problema?
Una red plana (flat network) es aquella en la que todos los hosts pertenecen al mismo dominio de broadcast y pueden comunicarse entre sí sin restricciones. En una PyME típica, esto significa que la cámara IP del estacionamiento está en el mismo segmento que el servidor de contabilidad.
Los problemas concretos de una red plana son:
- Propagación lateral de malware: un ransomware que infecta una PC de usuario puede escanear y atacar directamente servidores críticos sin encontrar barreras.
- Tráfico de broadcast excesivo: en redes grandes, el tráfico de broadcast (ARP, DHCP, NetBIOS) consume ancho de banda y genera latencia innecesaria.
- Imposibilidad de aplicar políticas diferenciadas: no se pueden aplicar reglas distintas para usuarios, servidores, dispositivos IoT e invitados si todos están en el mismo segmento.
- Auditoría y cumplimiento: normativas como PCI-DSS, HIPAA o ISO 27001 requieren segmentación de red como control obligatorio para proteger datos sensibles.
¿Qué es una VLAN?
Una VLAN (Virtual Local Area Network) es una red lógica creada sobre la infraestructura física de switches. Permite agrupar dispositivos en segmentos independientes aunque estén conectados al mismo switch físico. Cada VLAN es un dominio de broadcast separado: el tráfico de una VLAN no llega automáticamente a las otras.
Las VLANs se implementan en los switches mediante el estándar IEEE 802.1Q, que agrega una etiqueta de 4 bytes a cada trama Ethernet identificando a qué VLAN pertenece. Esta etiqueta viaja en los enlaces troncales (trunk) entre switches y es transparente para los dispositivos finales.
Segmentación práctica: ¿cuántas VLANs y para qué?
El número y tipo de VLANs depende de cada organización, pero un esquema mínimo recomendado para una empresa mediana incluye:
| VLAN | Propósito | Dispositivos típicos | Acceso a otras VLANs |
|---|---|---|---|
| VLAN 10 — Servidores | Infraestructura crítica | Servidores de aplicación, base de datos, virtualización | Controlado por firewall |
| VLAN 20 — Usuarios | Equipos de trabajo | PCs, notebooks, impresoras de red | Solo puertos necesarios hacia Servidores |
| VLAN 30 — Administración | Gestión de infraestructura | Interfaces de gestión de switches, routers, UPS, firewalls | Muy restringido, solo desde red de admins |
| VLAN 40 — VoIP | Telefonía IP | Teléfonos IP, softphones | Solo hacia PBX/Asterisk |
| VLAN 50 — IoT / Cámaras | Dispositivos embebidos | Cámaras IP, sensores, controladoras | Sin acceso a otras VLANs |
| VLAN 60 — Invitados / WiFi | Acceso a internet para visitas | Dispositivos móviles de visitantes | Solo internet, nada interno |
Enrutamiento inter-VLAN: cómo se comunican los segmentos
Las VLANs son dominios aislados por defecto. Para que dispositivos de diferentes VLANs puedan comunicarse de forma controlada, se necesita enrutamiento inter-VLAN. Existen tres métodos:
Router-on-a-Stick
Un router físico conectado al switch mediante un enlace troncal (trunk). El router tiene subinterfaces lógicas, una por cada VLAN. Es económico y simple, adecuado para redes pequeñas. La limitación es el cuello de botella que genera el router si el tráfico inter-VLAN es alto.
Switch de capa 3 (L3 Switch)
Un switch que incorpora capacidades de enrutamiento en el propio hardware. Es la solución más usada en redes medianas y grandes: el enrutamiento ocurre a velocidad de hardware (wire speed), sin cuello de botella. Switches como el Cisco Catalyst 3650, HP ProCurve 2920 o Mikrotik CRS326 son opciones habituales en este segmento.
Firewall como gateway inter-VLAN
El firewall actúa como router entre VLANs y aplica políticas de seguridad en cada flujo de tráfico. Es el método más seguro porque permite definir reglas granulares (por ejemplo, "la VLAN de usuarios solo puede acceder al servidor web en el puerto 443, no a la base de datos"). Fortinet, pfSense y Sophos son las plataformas más frecuentes en este rol.
Configuración básica: ejemplo con switches administrables
Para implementar VLANs se necesitan switches administrables (managed switches). Los no administrables (unmanaged) no soportan 802.1Q. Un esquema típico de configuración en un switch Cisco/HP/Mikrotik implica:
- Crear las VLANs con su ID y nombre en la base de datos del switch.
- Puertos de acceso (access ports): cada puerto que conecta a un dispositivo final se configura en la VLAN correspondiente. El dispositivo no "sabe" que está en una VLAN.
- Puertos troncales (trunk ports): los enlaces entre switches y entre el switch y el router/firewall se configuran como trunk, permitiendo el tráfico de múltiples VLANs etiquetado con 802.1Q.
- DHCP por VLAN: cada segmento tiene su propio pool de direcciones IP, administrado desde el servidor DHCP o el propio switch L3.
- VLAN de gestión: siempre separada de las VLANs de usuario, con acceso restringido solo desde la red de administradores.
VLANs en WiFi: redes inalámbricas segmentadas
La segmentación aplica igual a las redes WiFi. Un controlador de acceso inalámbrico (Wireless Controller) o un AP con soporte para múltiples SSIDs puede mapear cada SSID a una VLAN diferente:
- SSID corporativo → VLAN de usuarios (autenticado con 802.1X o WPA3-Enterprise).
- SSID de invitados → VLAN de invitados con acceso solo a internet y portal cautivo.
- SSID de dispositivos IoT → VLAN IoT aislada, sin acceso a la red corporativa.
Esta configuración es especialmente importante en organizaciones donde conviven empleados, visitas y dispositivos industriales o médicos en el mismo espacio físico.
Casos reales donde la segmentación marcó la diferencia
Hospital: en un establecimiento de salud con el que trabajamos, las terminales de historia clínica electrónica, las cámaras IP del estacionamiento y las PCs administrativas compartían la misma red. Implementamos 5 VLANs con enrutamiento inter-VLAN via firewall Fortinet. Cuando meses después una PC administrativa fue infectada con ransomware, el malware quedó contenido en la VLAN de usuarios: no pudo alcanzar los servidores de historia clínica ni la red de cámaras.
Municipio: una municipalidad del conurbano bonaerense tenía todos sus sistemas —expediente electrónico, sistema de gestión tributaria, wifi de acceso público y cámaras de monitoreo urbano— en una única red /16. Rediseñamos la arquitectura en 8 VLANs con switch L3 central. El resultado fue una reducción del 60% en el tráfico de broadcast y la capacidad de cumplir con los requisitos de la auditoría de seguridad provincial.
Errores comunes al implementar VLANs
- VLAN 1 como VLAN de usuario: la VLAN 1 es la VLAN nativa por defecto en la mayoría de los switches. Usarla para tráfico de usuario la expone a ataques de VLAN hopping. Siempre cambiar la VLAN nativa a una ID no utilizada.
- No filtrar el tráfico inter-VLAN: crear VLANs sin definir políticas de acceso entre ellas no aporta seguridad real. El enrutamiento inter-VLAN debe pasar por un firewall con reglas explícitas.
- Olvidar los dispositivos de gestión: dejar la interfaz de gestión del switch en la VLAN de usuarios permite que cualquier empleado intente acceder a la administración del switch.
- VLANs sin documentación: con el tiempo, sin un diagrama actualizado, nadie sabe qué está en cada VLAN. Documentar la arquitectura desde el día uno es parte del proyecto.
Conclusión
Segmentar la red no es un lujo reservado para grandes empresas — es una práctica de seguridad básica que cualquier organización con más de 20 dispositivos debería implementar. Las VLANs limitan el radio de impacto de un incidente, mejoran el rendimiento de la red, facilitan el cumplimiento normativo y permiten aplicar políticas de acceso diferenciadas por tipo de dispositivo y usuario. El costo de implementación es bajo comparado con el costo de un incidente en una red plana.
¿Necesitás asesoramiento técnico?
Nuestro equipo puede analizar tu infraestructura y diseñar la mejor solución para tu organización.
Solicitar una consulta técnica