¿Qué es un número de puerto? ¿No basta con la dirección IP? ── Qué significan el 80 y el 443, y qué es realmente «abrir un puerto»

¿Te suena alguna de estas escenas? Una partida online no conecta bien y, al buscar, aparece «necesitas abrir un puerto». En la red de la empresa o del centro de estudios te dicen «todos los puertos excepto el 443 están bloqueados». Un manual de programación indica «accede a localhost:3000» ── los números los ves constantemente, pero si alguien te preguntara «¿y ese número qué es exactamente?», la mayoría no sabría responder.

Este artículo explica desde la raíz qué es realmente un «número de puerto». La revelación, en una línea ── la dirección IP, que es la dirección postal de un ordenador, solo lleva el paquete hasta el ordenador de destino (el edificio). Dentro del edificio trabajan varios empleados a la vez, y el número de puerto indica a cuál de esas ventanillas va dirigido el paquete. Si algo de esto te resulta familiar, sigue leyendo.

  • Te han dicho que «abras un puerto» para un juego o un servidor casero, pero no sabrías explicar qué estás abriendo
  • Has asentido fingiendo entender ante un «el puerto 443 está bloqueado»
  • Nunca te has preguntado por qué siempre aparecen el 80 y el 443
  • Escribes el «:3000» de localhost:3000 sin saber en realidad qué significa

En este artículo no abusamos de la jerga técnica, para que cualquier principiante pueda seguirlo. Y no nos quedamos en cómo funciona: también tratamos las decisiones prácticas ── si es seguro abrir un puerto y qué hacer cuando el 443 está bloqueado.

DudaDónde se trata
¿Qué es exactamente un número de puerto?§1
¿Por qué siempre veo el 80 y el 443?§2
¿Qué tiene que ver con el firewall?§3
¿Qué se abre al «abrir un puerto»?§4
¿Abrir un puerto no es peligroso?FAQ Q3
¿Qué es el 3000 de localhost:3000?FAQ Q4
💡 Consejo

En nuestro artículo sobre HTTPS y en el artículo sobre servidores prometimos que «los números de puerto dan para un artículo entero». Este es ese artículo.

1. La verdadera identidad del número de puerto ── el «número de ventanilla» que continúa la dirección

1-1. La dirección sola no lleva el paquete hasta el empleado

Cuando pides algo en Internet ── por ejemplo, al abrir una página ── esa petición se convierte en un paquete que viaja hasta el ordenador de destino guiado por una dirección llamada dirección IP (cómo funcionan esas direcciones → el artículo sobre direcciones IP). Pero en el edificio de la sede central donde llega el paquete (→ el artículo sobre servidores), trabajan varios empleados a la vez: el que devuelve páginas web, el que guarda el correo, el que atiende la gestión remota. Es la situación que describimos en el artículo del servidor: «una misma máquina puede ser a la vez servidor web y servidor de correo».

Es decir, la dirección sola no basta. El paquete llega hasta el edificio, pero si no indica a qué empleado de dentro va dirigido, acaba sin destinatario.

1-2. Por eso el destino necesita dos datos: la dirección y el número de ventanilla

Imagina un ayuntamiento. Con la dirección llegas hasta el edificio del ayuntamiento. Pero al entrar, encuentras ventanillas numeradas, una por cada tipo de trámite: el certificado de empadronamiento en la ventanilla 3, los impuestos en la 5. En cuál haces cola no lo decide la dirección, sino el trámite que traes.

Los destinos de Internet funcionan con la misma estructura de dos pasos. La dirección IP te lleva hasta el edificio, y la «ventanilla n.º X» hasta el empleado ── ese número de ventanilla es el número de puerto. Los números van del 0 al 65535, y cada ordenador mantiene abiertas solo las ventanillas que su trabajo necesita.

El destino tiene dos partes: dirección + número de ventanilla

 Destino del paquete: 203.0.113.7 : 443
                      └ dirección ┘ └n.º┘

 La dirección (IP) …             llega hasta el edificio (ordenador)
 El n.º de ventanilla (puerto) … llega hasta el empleado de dentro

 Dentro del edificio de la sede central
 (ventanillas en fila, como en un ayuntamiento)
  [ventanilla  80] empleado web (correo postal)
  [ventanilla 443] empleado web (caja secreta)
  [ventanilla  25] empleado de correo
  [ventanilla  22] empleado de gestión remota
💡 Artículos relacionados

Las direcciones, edificios y guardianes de Internet que han aparecido hasta aquí tienen cada uno su propio artículo. Si algo no te queda claro, léelos en paralelo.

2. Los números significan algo ── por qué siempre ves el 80 y el 443

2-1. Las ventanillas más usadas tienen números acordados en todo el mundo

En un ayuntamiento puedes consultar el panel de la entrada: «empadronamiento ── ventanilla 3». Pero los paquetes de Internet se envían a edificios de todo el mundo, y consultar el panel de cada edificio llevaría demasiado tiempo. Por eso, los números de las ventanillas más usadas están acordados de antemano en todo el mundo: «el correo postal de la web va a la ventanilla 80», «la caja secreta de la web va a la 443» ── los mismos números en cualquier edificio. (Los números reservados por este acuerdo se llaman well-known ports.)

La diferencia entre el correo postal y la caja secreta ── es decir, entre HTTP y HTTPS ── es el tema de nuestro artículo sobre HTTPS. Las recepciones que aquel artículo llamaba «ventanilla 80» y «ventanilla 443» eran exactamente estos números de puerto.

2-2. Los números principales y los empleados de esas ventanillas

NúmeroEl empleado de la ventanillaNota
80Empleado web (HTTP ── la recepción del correo postal)Viaja en un formato que cualquiera puede leer
443Empleado web (HTTPS ── la recepción de la caja secreta)El estándar de facto de la web actual
25 / 587Empleado que envía el correoLa ventanilla de envío
110 / 993 etc.Empleado que recibe el correoLa ventanilla que abre tu buzón
53Empleado de consultas (DNS)La ventanilla de consulta de la «guía telefónica» de nuestro artículo sobre DNS
22Empleado de gestión remota (SSH)La ventanilla que usan los administradores de servidores

Detrás de gestos cotidianos como «ver una web» o «enviar un correo», cada paquete va dirigido a alguna de las ventanillas de esta tabla.

2-3. Normalmente, el navegador añade el número por ti

«Pero yo nunca he escrito 443 en una URL», pensarás. Y con razón ── porque normalmente el navegador añade el número de forma automática. Si la dirección empieza por https://, el paquete va dirigido a la ventanilla 443; si empieza por http://, a la 80. Aunque nunca pienses en ello, el destino lleva un número cada vez.

También hay momentos en que una persona escribe el número a mano. El ejemplo clásico es el servidor de prácticas que un desarrollador monta dentro de su propio PC. El «:3000» de localhost:3000 es exactamente eso ── un «dirigido a la ventanilla 3000» escrito a mano (qué es realmente localhost da para un artículo entero).

Normalmente, el navegador añade el número por ti

 Lo que escribes:  https://example.com/
 Destino real:     el edificio de example.com : ventanilla 443
                                                △
                                al ver https://, el navegador
                                añade el 443 automáticamente

 Escrito a mano:   localhost:3000
                           └─ «a la ventanilla 3000», a mano

3. Proteger por número ── el guardián mira a qué ventanilla va cada paquete

3-1. Una ventanilla abierta es también una entrada abierta

Las ventanillas son cómodas, pero cada ventanilla que abres es una entrada más al edificio. Los daños masivos de 2003 que contamos en el artículo del firewall ocurrieron precisamente porque paquetes de ataque de todo el mundo llegaron a «ventanillas dejadas abiertas» (la 135 y la 445). Dejar abiertas ventanillas que no usas es lo mismo que olvidar cerrar con llave una puerta que nunca utilizas.

3-2. Por eso el guardián deja pasar o bloquea según el número de destino

Aquí entra el firewall. El guardián (firewall) mira el número de ventanilla al que va dirigido cada paquete y selecciona: «lo que va a la 443 pasa, el resto se bloquea». Cuando en la empresa o el centro de estudios te dicen «todos los puertos excepto el 443 están bloqueados», es esta política en acción. Abrir solo las ventanillas necesarias y mantener cerradas las demás ── la forma básica de proteger un edificio.

El guardián deja pasar o bloquea según el número de ventanilla

 [paquete a la 443] ──> guardián ──> pasa ──> [ventanilla 443] web (HTTPS)
 [paquete a la  80] ──> guardián ──> pasa ──> [ventanilla  80] web (HTTP)
 [paquete a la 135] ──> guardián ──×  bloquea  (nada para ventanillas sin uso)
⚠️ Trampa habitual

«Cerrar un puerto» no significa «perder esa función». Lo que se cierra es la recepción del lado del edificio. Tu PC puede seguir saliendo a preguntar a la ventanilla 443 de otros edificios, así que navegas con normalidad. Cerrar solo molesta cuando hay paquetes que necesitan entrar a tu edificio desde fuera.

4. Qué es realmente «abrir un puerto» ── dejar que los paquetes de fuera lleguen a una ventanilla de dentro

4-1. El router de tu casa bloquea casi todo lo que viene de fuera

En una red doméstica, tus dispositivos viven en el lado interior del router. Lo que el mundo exterior ve es solo el número de centralita (la dirección IP global), así que incluso un paquete dirigido por su nombre a «la ventanilla X de tu PC» se queda parado en el router (este mecanismo de centralita y extensiones → el artículo sobre NAT). En el día a día, esto juega a tu favor, como defensa.

4-2. Abrir un puerto es escribir a mano una línea en el registro del router

Pero hay momentos en que quieres que los paquetes de fuera lleguen hasta dentro de casa ── las conexiones de tus rivales en un juego online, o las visitas a un servidor casero. Para eso sirve «abrir un puerto». Su verdadera identidad es una línea escrita a mano en el registro del router: «cuando llegue un paquete para la ventanilla X, pásalo a este dispositivo». No es una gran obra como agujerear una pared ── solo añades una línea a las reglas de reenvío de la recepción (los pasos concretos y los tipos de NAT de los juegos → el artículo sobre NAT §4).

4-3. El orden para sospechar de los puertos cuando «no conecta»

Cuando algo no conecta, no hace falta sospechar de los puertos de inmediato. Acota el problema en este orden.

  1. 1Comprueba primero lo básicoDescarta erratas en la URL, una conexión inestable y una avería del otro lado (→ la guía de diagnóstico de el artículo sobre servidores §4).
  2. 2Busca un número en el mensaje de errorPalabras como «puerto», «443» o «blocked» hacen mucho más probable una causa de puertos.
  3. 3Determina de qué lado está el problemaEn la red de la empresa o del centro, es configuración del administrador (no puedes abrirlo tú). En casa, si necesitas conexiones desde fuera, es el turno de abrir el puerto.

Y no abras puertos sin motivo. Como vimos en §3, cada ventanilla abierta se convierte en una entrada. Abre solo los números que necesites y ciérralos al terminar ── trátalos como un ayuntamiento que cierra sus ventanillas al final de la jornada.

Resumen ── la esencia en 4 líneas

  • Un número de puerto es un número de ventanilla: la dirección (IP) llega hasta el edificio, el número de ventanilla hasta el empleado de dentro ── el destino tiene dos pasos
  • Los números habituales están acordados en todo el mundo: el correo postal de la web es el 80, la caja secreta el 443 ── y normalmente el navegador los añade por ti
  • Una ventanilla abierta se convierte en entrada: por eso el guardián (firewall) deja pasar o bloquea los paquetes según su número de destino
  • Abrir un puerto es una línea en un registro: una instrucción de reenvío que pasa los paquetes de fuera a un dispositivo de casa ── abre solo lo necesario y ciérralo al terminar

Con esto, la historia del destino de un paquete queda conectada de principio a fin: la dirección (dirección IP) → la guía telefónica (DNS) → el edificio y su sede central (servidor) → el número de ventanilla (este artículo). Para recorrer el viaje completo otra vez → el artículo recopilatorio.

FAQ

Q1. ¿En qué se diferencian un número de puerto y una dirección IP?

A. Son pasos distintos del destino. La dirección IP es la dirección que indica el edificio (el ordenador); el número de puerto indica la ventanilla (el empleado) dentro del edificio. En términos de ayuntamiento: la dirección te lleva al edificio, y tu trámite decide si haces cola en la ventanilla 3 o en la 5 ── solo con los dos pasos juntos llega el paquete al empleado correcto.

Q2. ¿Por qué HTTPS usa el puerto 443?

A. Porque un acuerdo mundial lo reservó así de antemano. Como en cualquier edificio se cumple que «la caja secreta de la web (HTTPS) va a la ventanilla 443», el navegador puede enviar los paquetes directamente a la ventanilla correcta sin consultar ningún panel. El número en sí no esconde ningún significado profundo ── basta con recordar «443 = la ventanilla de HTTPS».

Q3. ¿Abrir un puerto no es peligroso?

A. Si limitas qué números abres y durante cuánto tiempo, no hay que tenerle un miedo excesivo. Pero como vimos en §3, una ventanilla abierta es una entrada desde el exterior. Abre solo los números que tu juego o tu servidor necesiten, ciérralos cuando dejen de hacer falta y mantén actualizados los dispositivos de tu casa ── esas tres reglas son lo básico. Si no puedes explicar para qué se abre un número, no lo abras.

Q4. ¿Qué es el 3000 de «localhost:3000»?

A. Un «dirigido a la ventanilla 3000» escrito a mano. Los desarrolladores montan un servidor de prácticas dentro de su propio PC para probar su trabajo (→ el artículo sobre servidores §1-3), y como ese servidor de prácticas espera las peticiones en la ventanilla 3000, al destino se le añade «:3000». Qué es realmente localhost da para un artículo entero, que está previsto para el futuro.

Q5. ¿Cómo compruebo si un puerto está «abierto» o «cerrado»?

A. Empieza por el mensaje de error y por tu administrador. En la red de una empresa o un centro de estudios, qué números pasan depende de la configuración del administrador, así que preguntar al administrador o al soporte técnico es lo más seguro. En casa, la página de configuración de tu router tiene una sección de «reenvío de puertos (port forwarding)» que muestra qué números se pasan a qué dispositivos. Comprobar que no se han abierto ventanillas sin motivo es parte del trabajo del guardián (→ el artículo del firewall).

Comments

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *