Seamos sinceros: Internet se diseñó en una época en la que la gente confiaba en los demás. Qué tiempos aquellos, ¿verdad? Hoy en día, enviar datos sin protección por la red es como enviar una postal con tu número de tarjeta de crédito y esperar que el cartero sea honesto. Spoiler: no lo es.

Aquí entra en juego IPSec (Internet Protocol Security). No es una herramienta mágica, es un conjunto de protocolos (sí, son varios amigos trabajando juntos) que añaden una capa de blindaje a tus comunicaciones IP. Si estás estudiando para el Security+, abre bien los ojos, porque esto cae en el examen sí o sí.

¿Qué demonios es IPSec y dónde vive?

IPSec trabaja en la Capa 3 del Modelo OSI (Capa de Red / Network Layer). Esto es importante. No protege tu aplicación (como SSL/TLS), protege el paquete IP entero.

Imagina que quieres enviar una carta secreta.

• TLS (HTTPS) es escribir la carta en código secreto.
• IPSec es meter la carta en un camión blindado.

Su misión principal es garantizar tres cosas básicas de la tríada CIA:

1. Confidencialidad (Confidentiality): Que nadie lea tus datos (cifrado).
2. Integridad (Integrity): Que nadie haya modificado los datos por el camino (hashing).
3. Autenticación (Authentication): Que los datos vengan de quien dicen venir.

Si tu red no usa IPSec o algo equivalente para comunicaciones sensibles, básicamente estás gritando tus secretos en una plaza llena de gente. Tú verás.

Los Protocolos: La sopa de letras (AH vs. ESP)

IPSec no trabaja solo. Tiene dos «agentes» principales que deciden cómo proteger tus datos. Tienes que saber diferenciarlos porque confundirlos es pecado capital (y fallo de examen).

1. AH (Authentication Header)

El «Cabecera de Autenticación». Este es el amigo que te garantiza que el paquete es auténtico y no ha sido modificado.

• Lo que hace: Firma digitalmente el paquete.
• Lo que NO hace: Cifrar los datos.
• La metáfora: Es como enviar una postal en una bolsa transparente precintada. Todo el mundo puede leer lo que pone («Hola mamá»), pero si alguien rompe el precinto para cambiar «Mamá» por «Jefe», se nota.
• ¿Uso? Poco común hoy en día por sí solo, porque no ofrece confidencialidad.

2. ESP (Encapsulating Security Payload)

La «Carga de Seguridad Encapsulada». Este es el peso pesado.

• Lo que hace: Cifra la carga útil (payload) y también la autentica.
• La metáfora: Es el camión blindado. Nadie ve lo que hay dentro y nadie puede tocarlo.
• ¿Uso? El estándar de facto para las VPNs.

Dato técnico: Puedes usar AH y ESP juntos, pero suele ser redundante y consume recursos a lo tonto. ESP ya hace casi todo el trabajo sucio.

El Negociador: IKE y SA

Antes de empezar a enviar datos blindados, los dos dispositivos (tu ordenador y el servidor, o dos routers) tienen que ponerse de acuerdo. «Oye, ¿qué cifrado usamos? ¿AES o 3DES (puaj)? ¿Qué claves usamos?».

Esto lo hace el protocolo IKE (Internet Key Exchange). Crea una Asociación de Seguridad (Security Association o SA). Básicamente, es el apretón de manos secreto antes de empezar a hablar de negocios.

Modos de Operación: ¿Te disfraces o te escondes?

Aquí es donde la gente se lía, así que atento. IPSec puede funcionar de dos formas: Modo Transporte y Modo Túnel.

Modo Transporte (Transport Mode)

• Qué protege: Solo la carga útil (payload) del paquete IP. La cabecera original IP se mantiene visible.
• Escenario: Comunicación Host-to-Host (de extremo a extremo). Por ejemplo, dos servidores hablando entre sí dentro de una misma red local para que nadie haga sniffing.
• El problema: Como la cabecera IP original es visible, un atacante sabe quién habla con quién, aunque no sepa qué dicen.

Modo Túnel (Tunnel Mode)

• Qué protege: Todo el paquete IP original. Se cifra todo (cabecera + datos) y se mete dentro de un nuevo paquete IP.
• Escenario: Gateway-to-Gateway o VPNs.
• Funcionamiento: Imagina que coges tu carta (con remitente y destinatario), la metes en otro sobre más grande y en el sobre grande pones la dirección de la oficina de correos central.
• Ventaja: Si alguien intercepta el paquete en Internet, solo ve que va de un Gateway VPN a otro. No sabe qué hay dentro ni quién es el destinatario final real en la red interna.

Ejemplo Práctico: Tu VPN del trabajo

Seguramente usas una VPN para conectarte a la oficina y parecer que estás trabajando mientras estás en pijama. Eso es, casi seguro, IPSec en Modo Túnel con ESP.

1. Inicias la VPN: Tu PC (cliente) habla con el Firewall de la oficina.
2. IKE (Fase 1 y 2): Negocian las claves y el cifrado. Se caen bien.
3. Túnel Arriba: Todo lo que envías se cifra, se le pone una cabecera nueva, y viaja por Internet.
4. Llegada: El Firewall de la oficina recibe el paquete, le quita la capa externa (desencapsula), descifra lo de dentro y envía el paquete original al servidor de archivos.

El atacante en medio (Man-in-the-Middle) solo ve basura cifrada moviéndose de tu IP a la IP de la oficina. Mala suerte, hacker.

Checklist de Buenas Prácticas (Para no liarla)

Si vas a configurar IPSec, no seas esa persona que deja las llaves puestas:

• Evita algoritmos obsoletos: Nada de DES o 3DES. Usa AES (Advanced Encryption Standard). Si usas DES en 2025, te mereces que te hackeen.
• Hashing fuerte: Usa SHA-256 o superior. MD5 está más roto que una promesa electoral.
• IKEv2 sobre IKEv1: La versión 2 es más rápida, más segura y gestiona mejor cuando se te corta el Wi-Fi.
• PFS (Perfect Forward Secrecy): Actívalo. Esto asegura que si te roban una clave privada hoy, no puedan descifrar las conversaciones de la semana pasada. Es como quemar las cartas después de leerlas.

Conclusión

IPSec es el cemento de la seguridad en redes. Puede parecer denso, con sus siglas y sus modos, pero al final se reduce a una cosa: confianza cero en el medio de transporte.

Ya sea en modo transporte (ligero, para redes internas) o modo túnel (la bestia de carga de las VPNs), su trabajo es asegurar que tus datos lleguen íntegros y privados. Porque, recuerda: en Internet, si no estás cifrado, estás desnudo. Y a nadie le gusta pasar frío.