Dentro de un firewall de nueva generación vive una función que la gente nombra con respeto y entiende a medias: el IPS (sistema de prevención de intrusiones). Se le atribuye a veces una omnipotencia que no tiene, y otras se le ignora por completo. La verdad, como casi siempre, está en el medio: el IPS es una capa de defensa real y valiosa, con límites muy concretos que conviene conocer.
Qué es y qué hace
Mientras el firewall base decide si una conexión pasa (por puerto y dirección), el IPS inspecciona el contenido del tráfico que sí pasa, buscando patrones de ataque conocidos —las llamadas firmas— y bloqueándolos en el acto. Piensa en un exploit dirigido a una vulnerabilidad conocida de un servidor web: el firewall dejaría pasar la conexión al puerto 443, pero el IPS reconoce la forma del ataque dentro de esa conexión y la corta antes de que llegue. Bloquea exploits conocidos, escaneos, y ciertos patrones de malware en tránsito. Es una capa de músculo real en el perímetro.
Qué NO logra (y por qué importa saberlo)
Aquí está lo que evita depositar una fe ciega en el IPS:
- Depende de firmas. El IPS reconoce lo que ya conoce. Un ataque genuinamente nuevo —un día cero— se le escapa hasta que existe una firma para él. Es reactivo por naturaleza.
- No ve dentro del cifrado sin inspección TLS. Si el ataque viaja por HTTPS y no estás descifrando, el IPS mira un sobre cerrado.
- Genera falsos positivos. Sin afinar, bloquea tráfico legítimo que "se parece" a un ataque; con demasiada tolerancia, deja pasar cosas. Vive de un tuning cuidadoso.
- No es el endpoint. El IPS del perímetro no ve lo que ya se ejecuta en una laptop dentro de la red. No reemplaza al EDR; lo complementa.
Detección vs. prevención: IDS e IPS
Vale distinguir dos modos que se confunden. Un IDS (sistema de detección) observa el tráfico y alerta cuando ve un patrón de ataque, pero no lo bloquea; un IPS (prevención) sí lo corta en el acto. La diferencia no es solo semántica: en la práctica, muchos equipos arrancan una función nueva en modo detección —solo alertando— durante un tiempo, para afinarla observando qué bloquearía sin arriesgarse a cortar tráfico legítimo en producción. Una vez que los falsos positivos están bajo control, la pasan a modo prevención. Saltarse ese rodaje —activar el bloqueo agresivo el primer día— es la receta para que "el firewall nuevo tumbó una aplicación crítica" y para que alguien, frustrado, termine apagando el IPS por completo.
Una capa, no la muralla
La forma correcta de pensar el IPS es como una capa de una defensa en profundidad, no como la barrera definitiva. Atrapa una franja importante de ataques conocidos en el camino —lo cual es muy valioso, porque muchísimos ataques reutilizan exploits viejos contra sistemas sin parchar—, pero se apoya en que existan otras capas: parcheo para cerrar las vulnerabilidades de raíz, EDR en el endpoint, e identidad. Y para que el IPS sirva de verdad, hay que mirar lo que bloquea: sus alertas, revisadas en un NOC o correlacionadas en FortiAnalyzer, cuentan la historia de qué te están intentando y qué está funcionando.
La idea que se queda
El IPS bloquea ataques conocidos inspeccionando el contenido del tráfico —una capa real y útil, sobre todo contra exploits reutilizados—, pero depende de firmas (no ve el día cero), no atraviesa el cifrado sin inspección TLS, necesita tuning y no reemplaza al endpoint. Entenderlo como una capa, no como la muralla, es lo que lo vuelve útil en serio. Parte del perímetro moderno.