Aitana Security Lab | Enterprise Vulnerability Assessment Platform

¿Por qué importa el modelo OSI en seguridad?

El modelo OSI divide las comunicaciones de red en 7 capas abstraídas. Cada capa tiene sus propios protocolos, y por tanto sus propias vulnerabilidades y mecanismos de defensa. Entender en qué capa ocurre un ataque te permite seleccionar el control correcto.

Modelo OSI (teórico)

7 capas. ISO/IEC 7498. Marco conceptual para entender protocolos y ubicar controles de seguridad.

Modelo TCP/IP (práctico)

4 capas: Acceso red, Internet, Transporte, Aplicación. El que realmente usa Internet. OSI se usa para explicar; TCP/IP para implementar.

Las 7 Capas: Ataques y Defensas

Aplicación(Application)

Protocolos

HTTP, DNS, SMTP, FTP, SNMP

Ataques típicos

XSS, SQLi, DNS poisoning, phishing

Defensas

WAF, Input validation, DNSSEC

Presentación(Presentation)

Protocolos

TLS, SSL, JPEG, MPEG, ASCII

Ataques típicos

SSL stripping, BEAST, POODLE

Defensas

TLS 1.3, HSTS, Certificate pinning

Sesión(Session)

Protocolos

NetBIOS, RPC, SQL sessions

Ataques típicos

Session hijacking, replay attacks

Defensas

Session tokens, MFA, idle timeout

Transporte(Transport)

Protocolos

TCP, UDP, SCTP

Ataques típicos

SYN flood, port scanning, TCP hijacking

Defensas

Firewall stateful, rate limiting, IPS

Red(Network)

Protocolos

IP, ICMP, IPsec, BGP, OSPF

Ataques típicos

IP spoofing, ICMP flood, BGP hijacking

Defensas

IPsec, ACLs, RPKI, uRPF

Enlace de Datos(Data Link)

Protocolos

Ethernet, ARP, MAC, VLAN, 802.11

Ataques típicos

ARP poisoning/spoofing, MAC flooding

Defensas

Dynamic ARP Inspection, port security

Física(Physical)

Protocolos

Cables, señales eléctricas, WiFi, fibra

Ataques típicos

Wiretapping, jamming, evil twin

Defensas

Cable shielding, físico, WPA3

TCP Three-Way Handshake y SYN Flood

Handshake normal:

Cliente → Servidor: SYN (seq=x)

Servidor → Cliente: SYN-ACK (seq=y, ack=x+1)

Cliente → Servidor: ACK (ack=y+1)

✅ Conexión establecida

SYN Flood (DoS):

Atacante → Servidor: SYN (IP falsa)

Servidor → IP falsa: SYN-ACK (nunca responde)

Atacante → Servidor: SYN (otra IP falsa)

... × 1.000.000

❌ Tabla de conexiones llena → DoS

Defensa: SYN cookies, rate limiting por IP

ARP Spoofing — Capa 2

ARP no tiene autenticación. Un atacante en la misma LAN puede enviar respuestas ARP falsas para asociar su MAC con la IP del gateway, interceptando todo el tráfico (Man-in-the-Middle en capa 2).

# Ver tabla ARP

arp -n

192.168.1.1 00:aa:bb:cc:dd:ee ← gateway real

# Tras ARP spoofing

192.168.1.1 11:22:33:44:55:66 ← MAC del atacante!

Defensa: Dynamic ARP Inspection (DAI) en switches managed; 802.1X para autenticar dispositivos en capa 2.

DNS Poisoning — Capa 7

DNS (puerto 53/UDP) tampoco tiene autenticación por defecto. Un atacante puede envenenar el caché DNS para redirigir un dominio legítimo a una IP maliciosa.

Ataque DNS Cache Poisoning

Inundar el resolver con respuestas falsas para banco.com → IP atacante, antes de que llegue la legítima (Kaminsky attack, 2008).

Defensa: DNSSEC

Firma criptográfica de registros DNS. DoH (DNS over HTTPS) y DoT (DNS over TLS) cifran las consultas contra eavesdropping.

Defensa en Profundidad por Capas

Nunca depender de un solo control — aplicar defensa en capas (Defense in Depth).

Capa 7: WAF + validación de input + HTTPS estricto + DNSSEC.

Capa 4: Firewall stateful con reglas de mínimo privilegio.

Capa 3: IPsec para tráfico interno sensible; RPKI para rutas BGP.

Capa 2: Dynamic ARP Inspection + 802.1X en switches empresariales.

Capa 1: Seguridad física de cableado; deshabilitar puertos físicos no usados.

Siguiente Paso

Aprende a implementar el principio de mínimo privilegio y Zero Trust

Mínimo Privilegio y Zero Trust →

Modelo OSI y TCP/IP en Seguridad

¿Por qué importa el modelo OSI en seguridad?

Las 7 Capas: Ataques y Defensas

TCP Three-Way Handshake y SYN Flood

ARP Spoofing — Capa 2

DNS Poisoning — Capa 7

Defensa en Profundidad por Capas

Siguiente Paso