Skip to content
Breachfolio
RECURSO · CHULETA

Puertos comunes, los que vale la pena memorizar.

No necesitas los 65.535. Necesitas la veintena larga que aparece constantemente. Aquí están, agrupados por lo que hacen y por qué importan en una auditoría.

30 de mayo de 20266 min de lectura

Los números de puerto son la forma en que una máquina sabe a qué servicio va destinado un paquete. Hay 65.535 por cada protocolo, pero en la práctica un conjunto reducido concentra la inmensa mayoría de lo que te encuentras: leer un resultado de nmap, escribir una regla de firewall o clasificar tráfico. Memoriza estos y la mayoría de los escaneos se vuelven legibles de un vistazo. La lista autorizada la mantiene IANA; esta es la versión corta del que está en el terreno.

Web y acceso remoto

Los puertos que verás en casi cualquier host que haga algo útil:

PuertoServicioPor qué importa
80 / TCPHTTPWeb sin cifrar. Verlo abierto invita a mirar qué se sirve y si debería ser HTTPS en su lugar.
443 / TCPHTTPSWeb cifrada. Hoy es el estándar para cualquier cosa pública; su certificado es en sí mismo una fuente de reconocimiento.
22 / TCPSSHShell remota cifrada en Linux/Unix. Objetivo prioritario para ataques de credenciales; vigila sus registros de autenticación.
3389 / TCPRDPEscritorio Remoto de Windows. Se expone por error con frecuencia y recibe muchísimos ataques; rara vez debería estar en internet.
23 / TCPTelnetShell remota sin cifrar. Prácticamente obsoleto; su presencia ya es un hallazgo por sí misma.

Correo electrónico

PuertoServicioPor qué importa
25 / TCPSMTPTransferencia de correo entre servidores. Una mala configuración habilita relays abiertos y suplantación.
587 / TCPSMTP (envío)Envío de correo desde clientes, con autenticación. La vía de envío moderna.
993 / TCPIMAPSAcceso cifrado al buzón. Lo que usa un cliente de correo para leer el correo de forma segura.
110 / TCPPOP3Recuperación de correo más antigua. Sigue existiendo; prefiere sus variantes cifradas.

Infraestructura y bases de datos

Puertos que revelan lo que una máquina hace de verdad, y que casi nunca deberías ver expuestos a la internet pública:

PuertoServicioPor qué importa
53 / TCP+UDPDNSResolución de nombres. UDP para las consultas, TCP para respuestas grandes y transferencias de zona.
3306 / TCPMySQL/MariaDBBase de datos. Expuesta a internet es un hallazgo crítico clásico.
5432 / TCPPostgreSQLBase de datos. La misma regla: debe estar detrás de la aplicación, nunca de cara al mundo.
445 / TCPSMBCompartición de archivos de Windows. Históricamente el radio de acción de gusanos que arrasaban redes enteras; mantenlo interno.
3389 / TCPRDPRepetido aquí como recordatorio: si está de cara a internet, trátalo como un incidente esperando a suceder.

Cómo memorizarlos de verdad

No intentes memorizar la tabla en frío. Tres hábitos hacen que se te queden:

  • Agrupa por función, no por número. «Web» (80/443), «acceso remoto» (22/3389), «correo» (25/587/993), «almacenes de datos» (3306/5432). Recordar es más fácil por función.
  • Aprende los pares. Muchos servicios vienen en versión en texto plano + cifrada: HTTP/HTTPS (80/443), IMAP/IMAPS. Aprender el par fija los dos.
  • Lee escaneos reales. Lanza nmap contra tus propios hosts de laboratorio y los números se asocian solos a servicios que puedes ver. La repetición en contexto le gana a las tarjetas de memoria.

Bien conocidos, registrados y dinámicos

Los puertos se dividen en tres rangos, y saber cuál es cuál explica buena parte de lo que ves en un escaneo:

  • Puertos bien conocidos (0–1023) están reservados para servicios básicos: todo lo de las tablas de arriba vive aquí. En sistemas tipo Unix, enlazar a uno de estos requiere privilegios elevados, lo cual es en sí una pequeña propiedad de seguridad: un servicio en el puerto 80 lo arrancó algo con permisos de nivel root.
  • Puertos registrados (1024–49151) los asigna IANA a aplicaciones concretas, pero no necesitan privilegios especiales; bases de datos como MySQL (3306) y PostgreSQL (5432) se sitúan aquí.
  • Puertos dinámicos / efímeros (49152–65535) son los que tu máquina elige al azar para el lado cliente de una conexión. Cuando navegas por una web, tu extremo de la conversación está en un puerto efímero; el extremo del servidor está en el 443. Ver muchos puertos de numeración alta en una lista de conexiones es normal, no sospechoso.

Por eso también «el puerto te dice el servicio» es solo una convención. La correspondencia es un valor por defecto que nadie impone: un administrador puede poner SSH en el 2222 o ejecutar un servidor web en el 8080. Un buen escáner no se limita a leer el número de puerto: identifica la huella del servicio que realmente responde, que es para lo que existe nmap -sV.

Cómo usar esto. Mantén esta página abierta junto a una salida de nmap mientras practicas en tu propio laboratorio. El objetivo no es recitar los 65.535 puertos, es leer un escaneo típico sin recurrir a una referencia. Esa fluidez viene del uso, no de la memorización.

Un matiz que conviene interiorizar: un servicio puede ejecutarse en cualquier puerto. Encontrar SSH en el 22 es convención, no una regla; un administrador puede moverlo al 2222 o a cualquier otro sitio, y los atacantes a veces esconden servicios en puertos altos inesperados precisamente porque la gente solo echa un vistazo a los bien conocidos. Los números de aquí son los valores por defecto que te encontrarás con más frecuencia, y saberlos de memoria es justo lo que hace que las excepciones te salten a la vista cuando aparecen.