¿Te suena alguna de estas escenas? Una partida online no conecta bien y, al buscar, aparece «necesitas abrir un puerto». En la red de la empresa o del centro de estudios te dicen «todos los puertos excepto el 443 están bloqueados». Un manual de programación indica «accede a localhost:3000» ── los números los ves constantemente, pero si alguien te preguntara «¿y ese número qué es exactamente?», la mayoría no sabría responder.
Este artículo explica desde la raíz qué es realmente un «número de puerto». La revelación, en una línea ── la dirección IP, que es la dirección postal de un ordenador, solo lleva el paquete hasta el ordenador de destino (el edificio). Dentro del edificio trabajan varios empleados a la vez, y el número de puerto indica a cuál de esas ventanillas va dirigido el paquete. Si algo de esto te resulta familiar, sigue leyendo.
- Te han dicho que «abras un puerto» para un juego o un servidor casero, pero no sabrías explicar qué estás abriendo
- Has asentido fingiendo entender ante un «el puerto 443 está bloqueado»
- Nunca te has preguntado por qué siempre aparecen el 80 y el 443
- Escribes el «:3000» de
localhost:3000sin saber en realidad qué significa
En este artículo no abusamos de la jerga técnica, para que cualquier principiante pueda seguirlo. Y no nos quedamos en cómo funciona: también tratamos las decisiones prácticas ── si es seguro abrir un puerto y qué hacer cuando el 443 está bloqueado.
| Duda | Dónde se trata |
|---|---|
| ¿Qué es exactamente un número de puerto? | §1 |
| ¿Por qué siempre veo el 80 y el 443? | §2 |
| ¿Qué tiene que ver con el firewall? | §3 |
| ¿Qué se abre al «abrir un puerto»? | §4 |
| ¿Abrir un puerto no es peligroso? | FAQ Q3 |
| ¿Qué es el 3000 de localhost:3000? | FAQ Q4 |
En nuestro artículo sobre HTTPS y en el artículo sobre servidores prometimos que «los números de puerto dan para un artículo entero». Este es ese artículo.
1. La verdadera identidad del número de puerto ── el «número de ventanilla» que continúa la dirección
1-1. La dirección sola no lleva el paquete hasta el empleado
Cuando pides algo en Internet ── por ejemplo, al abrir una página ── esa petición se convierte en un paquete que viaja hasta el ordenador de destino guiado por una dirección llamada dirección IP (cómo funcionan esas direcciones → el artículo sobre direcciones IP). Pero en el edificio de la sede central donde llega el paquete (→ el artículo sobre servidores), trabajan varios empleados a la vez: el que devuelve páginas web, el que guarda el correo, el que atiende la gestión remota. Es la situación que describimos en el artículo del servidor: «una misma máquina puede ser a la vez servidor web y servidor de correo».
Es decir, la dirección sola no basta. El paquete llega hasta el edificio, pero si no indica a qué empleado de dentro va dirigido, acaba sin destinatario.
1-2. Por eso el destino necesita dos datos: la dirección y el número de ventanilla
Imagina un ayuntamiento. Con la dirección llegas hasta el edificio del ayuntamiento. Pero al entrar, encuentras ventanillas numeradas, una por cada tipo de trámite: el certificado de empadronamiento en la ventanilla 3, los impuestos en la 5. En cuál haces cola no lo decide la dirección, sino el trámite que traes.
Los destinos de Internet funcionan con la misma estructura de dos pasos. La dirección IP te lleva hasta el edificio, y la «ventanilla n.º X» hasta el empleado ── ese número de ventanilla es el número de puerto. Los números van del 0 al 65535, y cada ordenador mantiene abiertas solo las ventanillas que su trabajo necesita.
El destino tiene dos partes: dirección + número de ventanilla
Destino del paquete: 203.0.113.7 : 443
└ dirección ┘ └n.º┘
La dirección (IP) … llega hasta el edificio (ordenador)
El n.º de ventanilla (puerto) … llega hasta el empleado de dentro
Dentro del edificio de la sede central
(ventanillas en fila, como en un ayuntamiento)
[ventanilla 80] empleado web (correo postal)
[ventanilla 443] empleado web (caja secreta)
[ventanilla 25] empleado de correo
[ventanilla 22] empleado de gestión remota
Las direcciones, edificios y guardianes de Internet que han aparecido hasta aquí tienen cada uno su propio artículo. Si algo no te queda claro, léelos en paralelo.
- ¿Qué es una dirección IP? ── cómo funciona la dirección en sí
- ¿Qué es un servidor? ── la verdadera identidad de la «sede central» que recibe tus paquetes
- ¿Qué es HTTPS? ── la diferencia entre el correo postal y la caja secreta (HTTP y HTTPS)
- ¿Qué es NAT? ── los pasos concretos para abrir puertos y los tipos de NAT de los juegos
- ¿Qué pasa sin un firewall? ── cómo el guardián filtra el tráfico
2. Los números significan algo ── por qué siempre ves el 80 y el 443
2-1. Las ventanillas más usadas tienen números acordados en todo el mundo
En un ayuntamiento puedes consultar el panel de la entrada: «empadronamiento ── ventanilla 3». Pero los paquetes de Internet se envían a edificios de todo el mundo, y consultar el panel de cada edificio llevaría demasiado tiempo. Por eso, los números de las ventanillas más usadas están acordados de antemano en todo el mundo: «el correo postal de la web va a la ventanilla 80», «la caja secreta de la web va a la 443» ── los mismos números en cualquier edificio. (Los números reservados por este acuerdo se llaman well-known ports.)
La diferencia entre el correo postal y la caja secreta ── es decir, entre HTTP y HTTPS ── es el tema de nuestro artículo sobre HTTPS. Las recepciones que aquel artículo llamaba «ventanilla 80» y «ventanilla 443» eran exactamente estos números de puerto.
2-2. Los números principales y los empleados de esas ventanillas
| Número | El empleado de la ventanilla | Nota |
|---|---|---|
| 80 | Empleado web (HTTP ── la recepción del correo postal) | Viaja en un formato que cualquiera puede leer |
| 443 | Empleado web (HTTPS ── la recepción de la caja secreta) | El estándar de facto de la web actual |
| 25 / 587 | Empleado que envía el correo | La ventanilla de envío |
| 110 / 993 etc. | Empleado que recibe el correo | La ventanilla que abre tu buzón |
| 53 | Empleado de consultas (DNS) | La ventanilla de consulta de la «guía telefónica» de nuestro artículo sobre DNS |
| 22 | Empleado de gestión remota (SSH) | La ventanilla que usan los administradores de servidores |
Detrás de gestos cotidianos como «ver una web» o «enviar un correo», cada paquete va dirigido a alguna de las ventanillas de esta tabla.
2-3. Normalmente, el navegador añade el número por ti
«Pero yo nunca he escrito 443 en una URL», pensarás. Y con razón ── porque normalmente el navegador añade el número de forma automática. Si la dirección empieza por https://, el paquete va dirigido a la ventanilla 443; si empieza por http://, a la 80. Aunque nunca pienses en ello, el destino lleva un número cada vez.
También hay momentos en que una persona escribe el número a mano. El ejemplo clásico es el servidor de prácticas que un desarrollador monta dentro de su propio PC. El «:3000» de localhost:3000 es exactamente eso ── un «dirigido a la ventanilla 3000» escrito a mano (qué es realmente localhost da para un artículo entero).
Normalmente, el navegador añade el número por ti
Lo que escribes: https://example.com/
Destino real: el edificio de example.com : ventanilla 443
△
al ver https://, el navegador
añade el 443 automáticamente
Escrito a mano: localhost:3000
└─ «a la ventanilla 3000», a mano
3. Proteger por número ── el guardián mira a qué ventanilla va cada paquete
3-1. Una ventanilla abierta es también una entrada abierta
Las ventanillas son cómodas, pero cada ventanilla que abres es una entrada más al edificio. Los daños masivos de 2003 que contamos en el artículo del firewall ocurrieron precisamente porque paquetes de ataque de todo el mundo llegaron a «ventanillas dejadas abiertas» (la 135 y la 445). Dejar abiertas ventanillas que no usas es lo mismo que olvidar cerrar con llave una puerta que nunca utilizas.
3-2. Por eso el guardián deja pasar o bloquea según el número de destino
Aquí entra el firewall. El guardián (firewall) mira el número de ventanilla al que va dirigido cada paquete y selecciona: «lo que va a la 443 pasa, el resto se bloquea». Cuando en la empresa o el centro de estudios te dicen «todos los puertos excepto el 443 están bloqueados», es esta política en acción. Abrir solo las ventanillas necesarias y mantener cerradas las demás ── la forma básica de proteger un edificio.
El guardián deja pasar o bloquea según el número de ventanilla [paquete a la 443] ──> guardián ──> pasa ──> [ventanilla 443] web (HTTPS) [paquete a la 80] ──> guardián ──> pasa ──> [ventanilla 80] web (HTTP) [paquete a la 135] ──> guardián ──× bloquea (nada para ventanillas sin uso)
«Cerrar un puerto» no significa «perder esa función». Lo que se cierra es la recepción del lado del edificio. Tu PC puede seguir saliendo a preguntar a la ventanilla 443 de otros edificios, así que navegas con normalidad. Cerrar solo molesta cuando hay paquetes que necesitan entrar a tu edificio desde fuera.
4. Qué es realmente «abrir un puerto» ── dejar que los paquetes de fuera lleguen a una ventanilla de dentro
4-1. El router de tu casa bloquea casi todo lo que viene de fuera
En una red doméstica, tus dispositivos viven en el lado interior del router. Lo que el mundo exterior ve es solo el número de centralita (la dirección IP global), así que incluso un paquete dirigido por su nombre a «la ventanilla X de tu PC» se queda parado en el router (este mecanismo de centralita y extensiones → el artículo sobre NAT). En el día a día, esto juega a tu favor, como defensa.
4-2. Abrir un puerto es escribir a mano una línea en el registro del router
Pero hay momentos en que quieres que los paquetes de fuera lleguen hasta dentro de casa ── las conexiones de tus rivales en un juego online, o las visitas a un servidor casero. Para eso sirve «abrir un puerto». Su verdadera identidad es una línea escrita a mano en el registro del router: «cuando llegue un paquete para la ventanilla X, pásalo a este dispositivo». No es una gran obra como agujerear una pared ── solo añades una línea a las reglas de reenvío de la recepción (los pasos concretos y los tipos de NAT de los juegos → el artículo sobre NAT §4).
4-3. El orden para sospechar de los puertos cuando «no conecta»
Cuando algo no conecta, no hace falta sospechar de los puertos de inmediato. Acota el problema en este orden.
- 1Comprueba primero lo básicoDescarta erratas en la URL, una conexión inestable y una avería del otro lado (→ la guía de diagnóstico de el artículo sobre servidores §4).
- 2Busca un número en el mensaje de errorPalabras como «puerto», «443» o «blocked» hacen mucho más probable una causa de puertos.
- 3Determina de qué lado está el problemaEn la red de la empresa o del centro, es configuración del administrador (no puedes abrirlo tú). En casa, si necesitas conexiones desde fuera, es el turno de abrir el puerto.
Y no abras puertos sin motivo. Como vimos en §3, cada ventanilla abierta se convierte en una entrada. Abre solo los números que necesites y ciérralos al terminar ── trátalos como un ayuntamiento que cierra sus ventanillas al final de la jornada.
Resumen ── la esencia en 4 líneas
- Un número de puerto es un número de ventanilla: la dirección (IP) llega hasta el edificio, el número de ventanilla hasta el empleado de dentro ── el destino tiene dos pasos
- Los números habituales están acordados en todo el mundo: el correo postal de la web es el 80, la caja secreta el 443 ── y normalmente el navegador los añade por ti
- Una ventanilla abierta se convierte en entrada: por eso el guardián (firewall) deja pasar o bloquea los paquetes según su número de destino
- Abrir un puerto es una línea en un registro: una instrucción de reenvío que pasa los paquetes de fuera a un dispositivo de casa ── abre solo lo necesario y ciérralo al terminar
Con esto, la historia del destino de un paquete queda conectada de principio a fin: la dirección (dirección IP) → la guía telefónica (DNS) → el edificio y su sede central (servidor) → el número de ventanilla (este artículo). Para recorrer el viaje completo otra vez → el artículo recopilatorio.
FAQ
Q1. ¿En qué se diferencian un número de puerto y una dirección IP?
A. Son pasos distintos del destino. La dirección IP es la dirección que indica el edificio (el ordenador); el número de puerto indica la ventanilla (el empleado) dentro del edificio. En términos de ayuntamiento: la dirección te lleva al edificio, y tu trámite decide si haces cola en la ventanilla 3 o en la 5 ── solo con los dos pasos juntos llega el paquete al empleado correcto.
Q2. ¿Por qué HTTPS usa el puerto 443?
A. Porque un acuerdo mundial lo reservó así de antemano. Como en cualquier edificio se cumple que «la caja secreta de la web (HTTPS) va a la ventanilla 443», el navegador puede enviar los paquetes directamente a la ventanilla correcta sin consultar ningún panel. El número en sí no esconde ningún significado profundo ── basta con recordar «443 = la ventanilla de HTTPS».
Q3. ¿Abrir un puerto no es peligroso?
A. Si limitas qué números abres y durante cuánto tiempo, no hay que tenerle un miedo excesivo. Pero como vimos en §3, una ventanilla abierta es una entrada desde el exterior. Abre solo los números que tu juego o tu servidor necesiten, ciérralos cuando dejen de hacer falta y mantén actualizados los dispositivos de tu casa ── esas tres reglas son lo básico. Si no puedes explicar para qué se abre un número, no lo abras.
Q4. ¿Qué es el 3000 de «localhost:3000»?
A. Un «dirigido a la ventanilla 3000» escrito a mano. Los desarrolladores montan un servidor de prácticas dentro de su propio PC para probar su trabajo (→ el artículo sobre servidores §1-3), y como ese servidor de prácticas espera las peticiones en la ventanilla 3000, al destino se le añade «:3000». Qué es realmente localhost da para un artículo entero, que está previsto para el futuro.
Q5. ¿Cómo compruebo si un puerto está «abierto» o «cerrado»?
A. Empieza por el mensaje de error y por tu administrador. En la red de una empresa o un centro de estudios, qué números pasan depende de la configuración del administrador, así que preguntar al administrador o al soporte técnico es lo más seguro. En casa, la página de configuración de tu router tiene una sección de «reenvío de puertos (port forwarding)» que muestra qué números se pasan a qué dispositivos. Comprobar que no se han abierto ventanillas sin motivo es parte del trabajo del guardián (→ el artículo del firewall).

Deja una respuesta