ToolActToolAct

Herramienta de Verificación de Puertos

Verifica si puertos específicos están abiertos en cualquier IP o dominio

Relleno Rápido:

Verificar hasta 20 puertos a la vez

Ingresa una dirección IP y números de puerto, luego haz clic en "Verificar Puertos"

¿Qué es un Verificador de Puertos?

El comprobador de puertos prueba si un puerto específico de un host parece alcanzable. Los puertos representan servicios como HTTP, HTTPS, SSH, SMTP, bases de datos o aplicaciones propias; si un puerto no responde, la causa puede ser estado del servidor, firewall, NAT, DNS, enrutamiento, grupos de seguridad cloud o un servicio enlazado solo a localhost. La herramienta sirve para revisar despliegues, solucionar problemas, monitorear y confirmar si un servicio es visible desde fuera. Un puerto abierto no significa automáticamente que la aplicación esté sana o sea segura, y un puerto cerrado no explica por sí solo la causa exacta. Una evaluación de seguridad requiere revisar protocolo, autenticación, configuración y exposición.

Cómo usar

Cómo usarlo

  1. Introduce la dirección del servidor objetivo en el campo IP/Dominio
  2. Introduce los números de puerto a verificar, separados por comas
  3. O utiliza los botones de relleno rápido para puertos comunes predefinidos
  4. Haz clic en 'Verificar puertos' y espera los resultados
  5. Consulta el estado de cada puerto, el tiempo de respuesta y cualquier mensaje de error

Interpretación de red

  • Un resultado cerrado o filtrado puede deberse a firewalls, NAT, bloqueo del ISP, enlace de servicio o una dirección de host incorrecta.
  • Verifica desde la misma ruta de red que usarán tus usuarios; la visibilidad de puertos internos y externos puede diferir.

Casos de uso

Verificar si los puertos de servicio comunes están abiertosIntroduce un host o IP y una lista de puertos, luego ejecuta una sonda TCP backend que reporta el estado abierto o cerrado, el tiempo de respuesta y cualquier error. Solo se envían el host y los puertos que escribiste; la página no registra, reproduce ni comparte la consulta con otros servicios. Los preajustes cubren Web, SSH/base de datos, correo y puertos de servicios mixtos comunes.
Escanear una lista pequeña de puertos personalizados de forma seguraEl analizador acepta valores separados por comas, espacios y comas chinas, conserva solo puertos válidos del 1 al 65535, elimina duplicados y limita cada solicitud a 20 puertos. Esto mantiene las verificaciones ad hoc enfocadas en lugar de convertir la página en un escáner amplio. Usa la columna de tiempos para separar respuestas RST rápidas (cerrado) de timeouts de varios segundos (filtrado).
Copiar resultados para entrega a operacionesTras una verificación, los recuentos de abiertos y cerrados aparecen sobre una tabla que puede copiarse como texto separado por tabulaciones. Es útil para verificación de firewalls, solución de problemas en despliegues, notas de soporte y confirmar si un servicio recién expuesto es alcanzable. Compara el resultado con registros DNS, paneles de hosting y reglas de firewall antes de cerrar un incidente.
Confirmar cambios en grupos de seguridad o firewalls en la nubeDespués de actualizar un grupo de seguridad de AWS, NSG de Azure o regla de iptables, ejecuta la misma lista de puertos desde fuera de la VPC para confirmar que la regla realmente abrió el camino. El estado abierto desde esta página solo confirma alcanzabilidad TCP, no salud de la aplicación, autenticación ni si el listener es el servicio previsto y no un marcador de posición predeterminado.
Distinguir puertos filtrados de los realmente cerradosUn resultado filtrado suele significar que un firewall descarta silenciosamente los paquetes SYN en lugar de responder con RST, por lo que el host podría estar ejecutando el servicio. Usa la columna de tiempos para comparar los retrasos de respuesta con puertos conocidos como abiertos en el mismo host; un timeout lento en el puerto 5432 junto a un RST rápido en el puerto 3306 es una señal fuerte de filtrado.

Principio técnico

La verificación de puertos intenta establecer conexiones TCP a puertos específicos en un host destino. Un handshake TCP de tres vías exitoso (SYN, SYN-ACK, ACK) indica que el puerto está abierto y un servicio está escuchando. Si la conexión es rechazada (RST, reset), el puerto está cerrado (sin servicio). Si no hay respuesta (timeout), el puerto puede estar filtrado por un firewall o NAT, o el host puede estar caído. Un verificador de puertos basado en navegador tiene limitaciones fundamentales: el navegador no puede enviar paquetes TCP SYN crudos, por lo que utiliza métodos alternativos. Métodos comunes: 1) HTTP HEAD o GET al puerto y verificación del código de respuesta (funciona para proxies HTTP/HTTPS en puertos inusuales, 80, 8080, etc.); 2) upgrade WebSocket al puerto y verificación del resultado del handshake (funciona para la mayoría de servidores porque WebSocket comienza como HTTP y luego realiza el upgrade); 3) solicitudes de carga de imagen (el navegador obtiene una imagen 1x1 desde http://host:port/ y la conexión o tiene éxito o falla); 4) sondas sin conexión (el navegador intenta obtener favicon, robots.txt o una ruta conocida e infiere a partir de la respuesta). La página utiliza el enfoque WebSocket como sonda principal: 1) construye ws://host:port/ o wss://host:port/, 2) llama a new WebSocket(url), 3) mide el tiempo hasta onopen (abierto) o onerror (cerrado/filtrado). El timeout de 1-3 segundos distingue abierto (inmediato) de cerrado (rechazo rápido) de filtrado (timeout). La página muestra los tres estados junto con la latencia. Rangos de puertos: 0-1023 son conocidos (HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, etc.), 1024-49151 son registrados (usados frecuentemente por aplicaciones como bases de datos y servicios personalizados), 49152-65535 son dinámicos/privados (usados por el SO para conexiones salientes, generalmente puertos de origen). El puerto 0 está reservado (el SO elige un puerto efímero cuando se enlaza a 0). La página permite al usuario elegir un solo puerto, una lista de puertos comunes o un rango personalizado. Una advertencia: una verificación basada en navegador solo ve lo que el navegador puede alcanzar. Al sondear desde detrás de un proxy corporativo o NAT, puedes obtener filtrado para puertos que realmente están abiertos en el destino. La página no es intencionalmente una herramienta de auditoría de seguridad; el usuario debería usar nmap, masscan o ZMap para eso, que se ejecutan en un host con acceso a sockets crudos.

  • Handshake TCP de tres vías: SYN, SYN-ACK, ACK = abierto; RST = cerrado; timeout = filtrado o host caído; esta es la interpretación estándar.
  • Métodos alternativos del navegador: sondas HTTP HEAD/GET (puertos inusuales), upgrade WebSocket (la mayoría de servidores), carga de imagen, favicon/robots.txt; la página usa WebSocket como método principal.
  • Rangos de puertos: 0-1023 conocidos (HTTP 80, HTTPS 443, SSH 22), 1024-49151 registrados, 49152-65535 dinámicos; el puerto 0 está reservado.
  • El timeout distingue estados: inmediato = abierto, rechazo rápido = cerrado, sin respuesta = filtrado; la página usa un timeout de 1-3 segundos.
  • Limitaciones del navegador: no puede enviar SYN crudos, por lo que no puede hacer un escaneo TCP completo (SYN scan, FIN scan, NULL scan, XMAS scan); la página es aproximada.
  • No es una herramienta de seguridad: para pruebas de penetración, usa nmap, masscan o ZMap en un host con acceso a sockets crudos; la página es una verificación rápida, no una auditoría de seguridad.
  • Puertos comunes: HTTP 80, HTTPS 443, SSH 22, FTP 21, SMTP 25, DNS 53, POP3 110, IMAP 143, MySQL 3306, PostgreSQL 5432, Redis 6379, MongoDB 27017.

Ejemplos

Accesibilidad del servidor web

Host:      example.com
Puertos:   80 (HTTP), 443 (HTTPS)
Resultado: ambos abiertos, el servidor web responde
Uso:       confirmar que un sitio público es accesible desde Internet; una respuesta 200/301 significa que la pila está sana

Prueba de acceso SSH

Host:      server.example.com
Puerto:    22 (SSH)
Resultado: abierto, el servicio SSH acepta conexiones
Uso:       verificar que el bastión o jump host es accesible antes del login con clave; combinar con verificación de credenciales en el cliente SSH

Exposición de puerto de base de datos

Host:      db.example.com
Puerto:    3306 (MySQL)
Resultado: cerrado, MySQL no está expuesto externamente
Uso:       buena postura de seguridad; las bases de datos solo deberían ser accesibles desde la red de la aplicación, no desde Internet pública

Preguntas frecuentes

¿Cómo funciona la comprobación de puertos?

Los navegadores no pueden abrir sockets TCP arbitrarios a hosts remotos, así que esta herramienta lanza la comprobación desde nuestro backend. Intentamos una conexión TCP (o una sonda HTTP para puertos de aplicación como 80/443) e informamos del éxito, el fallo y el tiempo de respuesta. Tu IP no se muestra al objetivo: el que aparece es nuestro servidor.

¿Qué significa «open» frente a «closed» frente a «filtered»?

Open: el puerto acepta conexiones. Closed: el host respondió con TCP RST (rechazando). Filtered: no hay respuesta (un firewall descartó el SYN). Solo «open» significa que un servicio es alcanzable. Closed y filtered significan inalcanzable, pero por motivos distintos.

¿Puedo comprobar puertos en mi router doméstico?

Sí: introduce tu IP pública y el número de puerto. Útil para confirmar que un servidor de juegos, NAS o servicio autoalojado está realmente expuesto a internet. Ten en cuenta que los ISP residenciales suelen bloquear puertos entrantes (25, 80, 443) independientemente de tu firewall.

¿Funciona la comprobación con UDP?

En la mayoría de las versiones, solo TCP. UDP no tiene conexión; la ausencia de respuesta no significa necesariamente que esté cerrado. Para comprobar servicios UDP necesitas sondas a nivel de aplicación (por ejemplo, una consulta DNS para el puerto 53/udp), que es lo que hace nmap en modo de detección de servicios.

¿Y los puertos de la LAN local (192.168.x.x)?

Nuestro backend no puede llegar a tu LAN privada. Usa el comando `nc -zv host puerto` desde un dispositivo dentro de tu red, o ejecuta un escáner de puertos desde otro dispositivo de la LAN.

¿Es legal ejecutarlo contra cualquier host?

Escanear puertos suele ser legal en hosts de tu propiedad. Escanear hosts ajenos puede vulnerar leyes de uso indebido de sistemas informáticos, condiciones de servicio y políticas de los ISP, según la jurisdicción. No lo uses para escanear oportunistamente IP arbitrarias.

¿Por qué los puertos 22 / 3389 / 25 siempre aparecen como cerrados?

Muchos ISP y proveedores en la nube bloquean por defecto los puertos típicos de ataques. Los grupos de seguridad de la nube (AWS, Azure, GCP) también bloquean por defecto. Si esperas que un puerto esté abierto, verifica el firewall, el NAT/redirección de puertos y las reglas del grupo de seguridad en cada salto.