IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Qué logra (y qué no) el IPS de un firewall

14/07/2026 4 min de lectura Rubén Espinoza

Dentro de un firewall de nueva generación vive una función que la gente nombra con respeto y entiende a medias: el IPS (sistema de prevención de intrusiones). Se le atribuye a veces una omnipotencia que no tiene, y otras se le ignora por completo. La verdad, como casi siempre, está en el medio: el IPS es una capa de defensa real y valiosa, con límites muy concretos que conviene conocer.

Qué es y qué hace

Mientras el firewall base decide si una conexión pasa (por puerto y dirección), el IPS inspecciona el contenido del tráfico que sí pasa, buscando patrones de ataque conocidos —las llamadas firmas— y bloqueándolos en el acto. Piensa en un exploit dirigido a una vulnerabilidad conocida de un servidor web: el firewall dejaría pasar la conexión al puerto 443, pero el IPS reconoce la forma del ataque dentro de esa conexión y la corta antes de que llegue. Bloquea exploits conocidos, escaneos, y ciertos patrones de malware en tránsito. Es una capa de músculo real en el perímetro.

Qué NO logra (y por qué importa saberlo)

Aquí está lo que evita depositar una fe ciega en el IPS:

  • Depende de firmas. El IPS reconoce lo que ya conoce. Un ataque genuinamente nuevo —un día cero— se le escapa hasta que existe una firma para él. Es reactivo por naturaleza.
  • No ve dentro del cifrado sin inspección TLS. Si el ataque viaja por HTTPS y no estás descifrando, el IPS mira un sobre cerrado.
  • Genera falsos positivos. Sin afinar, bloquea tráfico legítimo que "se parece" a un ataque; con demasiada tolerancia, deja pasar cosas. Vive de un tuning cuidadoso.
  • No es el endpoint. El IPS del perímetro no ve lo que ya se ejecuta en una laptop dentro de la red. No reemplaza al EDR; lo complementa.

Detección vs. prevención: IDS e IPS

Vale distinguir dos modos que se confunden. Un IDS (sistema de detección) observa el tráfico y alerta cuando ve un patrón de ataque, pero no lo bloquea; un IPS (prevención) sí lo corta en el acto. La diferencia no es solo semántica: en la práctica, muchos equipos arrancan una función nueva en modo detección —solo alertando— durante un tiempo, para afinarla observando qué bloquearía sin arriesgarse a cortar tráfico legítimo en producción. Una vez que los falsos positivos están bajo control, la pasan a modo prevención. Saltarse ese rodaje —activar el bloqueo agresivo el primer día— es la receta para que "el firewall nuevo tumbó una aplicación crítica" y para que alguien, frustrado, termine apagando el IPS por completo.

Una capa, no la muralla

La forma correcta de pensar el IPS es como una capa de una defensa en profundidad, no como la barrera definitiva. Atrapa una franja importante de ataques conocidos en el camino —lo cual es muy valioso, porque muchísimos ataques reutilizan exploits viejos contra sistemas sin parchar—, pero se apoya en que existan otras capas: parcheo para cerrar las vulnerabilidades de raíz, EDR en el endpoint, e identidad. Y para que el IPS sirva de verdad, hay que mirar lo que bloquea: sus alertas, revisadas en un NOC o correlacionadas en FortiAnalyzer, cuentan la historia de qué te están intentando y qué está funcionando.

La idea que se queda

El IPS bloquea ataques conocidos inspeccionando el contenido del tráfico —una capa real y útil, sobre todo contra exploits reutilizados—, pero depende de firmas (no ve el día cero), no atraviesa el cifrado sin inspección TLS, necesita tuning y no reemplaza al endpoint. Entenderlo como una capa, no como la muralla, es lo que lo vuelve útil en serio. Parte del perímetro moderno.

#ips #prevención de intrusiones #firmas #día cero #fortinet #ciberseguridad

Preguntas frecuentes

¿Qué es un IPS y qué hace?

Un IPS (sistema de prevención de intrusiones) inspecciona el contenido del tráfico que pasa por el firewall buscando patrones de ataque conocidos, llamados firmas, y los bloquea en el acto. A diferencia del firewall base, que decide si una conexión pasa por puerto y dirección, el IPS reconoce la forma de un ataque dentro de una conexión permitida, como un exploit dirigido a una vulnerabilidad conocida, y lo corta. Es especialmente útil contra exploits reutilizados contra sistemas sin parchar.

¿El IPS protege contra ataques de día cero?

No de forma directa. El IPS depende de firmas, es decir, reconoce lo que ya conoce, así que un ataque genuinamente nuevo (un día cero) se le escapa hasta que existe una firma para él. Es reactivo por naturaleza. Por eso se apoya en otras capas: parcheo para cerrar las vulnerabilidades de raíz, EDR en el endpoint e identidad. El IPS es una capa de defensa en profundidad, valiosa contra lo conocido, no una barrera definitiva.

¿El IPS reemplaza al antivirus o al EDR del endpoint?

No, los complementa. El IPS del perímetro inspecciona el tráfico en tránsito, pero no ve lo que ya se ejecuta dentro de una laptop en la red, ni atraviesa el tráfico cifrado sin inspección TLS. El EDR vive en el endpoint y observa el comportamiento del equipo. Son capas distintas de una defensa en profundidad: el IPS atrapa ataques conocidos en el camino, el EDR detecta y responde en el dispositivo.

Los nombres y logotipos de marcas mencionados en este artículo son propiedad de sus respectivos titulares. Su mención tiene fines informativos y no implica patrocinio ni afiliación más allá de las relaciones de partner que IT Experts de México declara explícitamente.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

NGFW vs firewall tradicional (y el verdadero costo de la inspección TLS)
Reglas de firewall que envejecen mal: cómo auditar un policy set
VPN de acceso remoto vs ZTNA: acceso a la red vs a la aplicación