Herramienta de Verificación de Puertos
Verifica si puertos específicos están abiertos en cualquier IP o dominio
Verificar hasta 20 puertos a la vez
Ingresa una dirección IP y números de puerto, luego haz clic en "Verificar Puertos"
¿Qué es un Verificador de Puertos?
El comprobador de puertos prueba si un puerto específico de un host parece alcanzable. Los puertos representan servicios como HTTP, HTTPS, SSH, SMTP, bases de datos o aplicaciones propias; si un puerto no responde, la causa puede ser estado del servidor, firewall, NAT, DNS, enrutamiento, grupos de seguridad cloud o un servicio enlazado solo a localhost. La herramienta sirve para revisar despliegues, solucionar problemas, monitorear y confirmar si un servicio es visible desde fuera. Un puerto abierto no significa automáticamente que la aplicación esté sana o sea segura, y un puerto cerrado no explica por sí solo la causa exacta. Una evaluación de seguridad requiere revisar protocolo, autenticación, configuración y exposición.
Cómo usar
Cómo usarlo
- Introduce la dirección del servidor objetivo en el campo IP/Dominio
- Introduce los números de puerto a verificar, separados por comas
- O utiliza los botones de relleno rápido para puertos comunes predefinidos
- Haz clic en 'Verificar puertos' y espera los resultados
- Consulta el estado de cada puerto, el tiempo de respuesta y cualquier mensaje de error
Interpretación de red
- Un resultado cerrado o filtrado puede deberse a firewalls, NAT, bloqueo del ISP, enlace de servicio o una dirección de host incorrecta.
- Verifica desde la misma ruta de red que usarán tus usuarios; la visibilidad de puertos internos y externos puede diferir.
Casos de uso
Principio técnico
La verificación de puertos intenta establecer conexiones TCP a puertos específicos en un host destino. Un handshake TCP de tres vías exitoso (SYN, SYN-ACK, ACK) indica que el puerto está abierto y un servicio está escuchando. Si la conexión es rechazada (RST, reset), el puerto está cerrado (sin servicio). Si no hay respuesta (timeout), el puerto puede estar filtrado por un firewall o NAT, o el host puede estar caído. Un verificador de puertos basado en navegador tiene limitaciones fundamentales: el navegador no puede enviar paquetes TCP SYN crudos, por lo que utiliza métodos alternativos. Métodos comunes: 1) HTTP HEAD o GET al puerto y verificación del código de respuesta (funciona para proxies HTTP/HTTPS en puertos inusuales, 80, 8080, etc.); 2) upgrade WebSocket al puerto y verificación del resultado del handshake (funciona para la mayoría de servidores porque WebSocket comienza como HTTP y luego realiza el upgrade); 3) solicitudes de carga de imagen (el navegador obtiene una imagen 1x1 desde http://host:port/ y la conexión o tiene éxito o falla); 4) sondas sin conexión (el navegador intenta obtener favicon, robots.txt o una ruta conocida e infiere a partir de la respuesta). La página utiliza el enfoque WebSocket como sonda principal: 1) construye ws://host:port/ o wss://host:port/, 2) llama a new WebSocket(url), 3) mide el tiempo hasta onopen (abierto) o onerror (cerrado/filtrado). El timeout de 1-3 segundos distingue abierto (inmediato) de cerrado (rechazo rápido) de filtrado (timeout). La página muestra los tres estados junto con la latencia. Rangos de puertos: 0-1023 son conocidos (HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, etc.), 1024-49151 son registrados (usados frecuentemente por aplicaciones como bases de datos y servicios personalizados), 49152-65535 son dinámicos/privados (usados por el SO para conexiones salientes, generalmente puertos de origen). El puerto 0 está reservado (el SO elige un puerto efímero cuando se enlaza a 0). La página permite al usuario elegir un solo puerto, una lista de puertos comunes o un rango personalizado. Una advertencia: una verificación basada en navegador solo ve lo que el navegador puede alcanzar. Al sondear desde detrás de un proxy corporativo o NAT, puedes obtener filtrado para puertos que realmente están abiertos en el destino. La página no es intencionalmente una herramienta de auditoría de seguridad; el usuario debería usar nmap, masscan o ZMap para eso, que se ejecutan en un host con acceso a sockets crudos.
- Handshake TCP de tres vías: SYN, SYN-ACK, ACK = abierto; RST = cerrado; timeout = filtrado o host caído; esta es la interpretación estándar.
- Métodos alternativos del navegador: sondas HTTP HEAD/GET (puertos inusuales), upgrade WebSocket (la mayoría de servidores), carga de imagen, favicon/robots.txt; la página usa WebSocket como método principal.
- Rangos de puertos: 0-1023 conocidos (HTTP 80, HTTPS 443, SSH 22), 1024-49151 registrados, 49152-65535 dinámicos; el puerto 0 está reservado.
- El timeout distingue estados: inmediato = abierto, rechazo rápido = cerrado, sin respuesta = filtrado; la página usa un timeout de 1-3 segundos.
- Limitaciones del navegador: no puede enviar SYN crudos, por lo que no puede hacer un escaneo TCP completo (SYN scan, FIN scan, NULL scan, XMAS scan); la página es aproximada.
- No es una herramienta de seguridad: para pruebas de penetración, usa nmap, masscan o ZMap en un host con acceso a sockets crudos; la página es una verificación rápida, no una auditoría de seguridad.
- Puertos comunes: HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, MySQL 3306, PostgreSQL 5432, Redis 6379, MongoDB 27017.
Ejemplos
Accesibilidad del servidor web
Host: example.com
Puertos: 80 (HTTP), 443 (HTTPS)
Resultado: ambos abiertos, el servidor web responde
Uso: confirmar que un sitio público es accesible desde Internet; una respuesta 200/301 significa que la pila está sanaPrueba de acceso SSH
Host: server.example.com
Puerto: 22 (SSH)
Resultado: abierto, el servicio SSH acepta conexiones
Uso: verificar que el bastión o jump host es accesible antes del login con clave; combinar con verificación de credenciales en el cliente SSHExposición de puerto de base de datos
Host: db.example.com
Puerto: 3306 (MySQL)
Resultado: cerrado, MySQL no está expuesto externamente
Uso: buena postura de seguridad; las bases de datos solo deberían ser accesibles desde la red de la aplicación, no desde Internet públicaPreguntas frecuentes
¿Cómo funciona la comprobación de puertos?
Los navegadores no pueden abrir sockets TCP arbitrarios a hosts remotos, así que esta herramienta lanza la comprobación desde nuestro backend. Intentamos una conexión TCP (o una sonda HTTP para puertos de aplicación como 80/443) e informamos del éxito, el fallo y el tiempo de respuesta. Tu IP no se muestra al objetivo: el que aparece es nuestro servidor.
¿Qué significa «open» frente a «closed» frente a «filtered»?
Open: el puerto acepta conexiones. Closed: el host respondió con TCP RST (rechazando). Filtered: no hay respuesta (un firewall descartó el SYN). Solo «open» significa que un servicio es alcanzable. Closed y filtered significan inalcanzable, pero por motivos distintos.
¿Puedo comprobar puertos en mi router doméstico?
Sí: introduce tu IP pública y el número de puerto. Útil para confirmar que un servidor de juegos, NAS o servicio autoalojado está realmente expuesto a internet. Ten en cuenta que los ISP residenciales suelen bloquear puertos entrantes (25, 80, 443) independientemente de tu firewall.
¿Funciona la comprobación con UDP?
En la mayoría de las versiones, solo TCP. UDP no tiene conexión; la ausencia de respuesta no significa necesariamente que esté cerrado. Para comprobar servicios UDP necesitas sondas a nivel de aplicación (por ejemplo, una consulta DNS para el puerto 53/udp), que es lo que hace nmap en modo de detección de servicios.
¿Y los puertos de la LAN local (192.168.x.x)?
Nuestro backend no puede llegar a tu LAN privada. Usa el comando `nc -zv host puerto` desde un dispositivo dentro de tu red, o ejecuta un escáner de puertos desde otro dispositivo de la LAN.
¿Es legal ejecutarlo contra cualquier host?
Escanear puertos suele ser legal en hosts de tu propiedad. Escanear hosts ajenos puede vulnerar leyes de uso indebido de sistemas informáticos, condiciones de servicio y políticas de los ISP, según la jurisdicción. No lo uses para escanear oportunistamente IP arbitrarias.
¿Por qué los puertos 22 / 3389 / 25 siempre aparecen como cerrados?
Muchos ISP y proveedores en la nube bloquean por defecto los puertos típicos de ataques. Los grupos de seguridad de la nube (AWS, Azure, GCP) también bloquean por defecto. Si esperas que un puerto esté abierto, verifica el firewall, el NAT/redirección de puertos y las reglas del grupo de seguridad en cada salto.