¿Cómo decide IANA qué puertos reciben número asignado?

RFC 6335 (Cotton, Eggert, Touch, Westerlund y Cheshire, 2011) define tres procedimientos por rango. Los System Ports (0–1023) requieren IETF Review o IESG Approval — el registro suele acompañar a un RFC publicado, razón por la que cada entrada de este rango remite a un documento standards-track. Los User Ports (1024–49151) aceptan envíos de Expert Review: el solicitante documenta el protocolo, el experto IANA verifica conflictos y asigna. Los Dynamic and/or Private Ports (49152–65535) no son asignados por IANA; los sistemas operativos eligen de este rango cuando una aplicación abre una conexión saliente sin especificar puerto de origen. Muchos servicios de terceros se enlazan en el rango User (Redis 6379, PostgreSQL 5432, MySQL 3306) — sus números son orientativos; nada en la capa de protocolo obliga al servidor a usarlos.

Escaner de Puertos Online Gratis

Q: ¿Cuál es la diferencia entre filtrado y cerrado?

Ambos estados indican que el servicio no está alcanzable, pero la firma a nivel de paquete difiere. Un puerto cerrado devuelve un flag TCP RST de inmediato — RFC 9293 §3.10.7 lo especifica como la respuesta del kernel cuando no hay socket escuchando en el puerto sondeado. El host está vivo; simplemente no está ejecutando ese servicio. Filtrado significa que el sondeo no recibió respuesta dentro del timeout. Tres condiciones distintas producen ese mismo silencio: un firewall stateful descartó el paquete SYN, la ruta al host está rota aguas arriba o el host está offline. El escáner no puede distinguir entre ellas sin TCP traceroute o ICMP echo. Filtrado es una señal de 'algo se interpone entre ti y el servicio', no un veredicto confirmado de firewall.

Q: ¿Es legal escanear puertos?

Escanear tu propia infraestructura o sistemas para los que tienes permiso escrito es legal en todas partes. Escanear hosts de terceros sin autorización ocupa una zona gris que varía por jurisdicción. En Estados Unidos, Moulton v. VC3, Inc. (USDC ND Ga 2000) dictaminó que un escaneo de puertos y test de throughput sin autorización contra los servidores de VC3 — en ausencia de daños superiores al umbral CFAA de 5.000 dólares — no violaba 18 USC §1030 ni la Georgia Computer Systems Protection Act. El tribunal consideró la actividad imprudente pero el requisito estatutario de daños no cumplido. Ese precedente aplica a hechos similares a Moulton; tribunales de otros circuitos han decidido distinto. En Alemania, §202c StGB ('Hacker-Paragraph', enmienda 2007) criminaliza la preparación de interceptación de datos y se ha interpretado que cubre herramientas de escaneo no autorizadas. La autorización por escrito es el único principio operativo seguro, sea cual sea la jurisdicción.

Q: ¿Por qué un puerto aparece abierto en esta herramienta pero cerrado al escanearlo desde dentro de la red?

Los escáneres alojados en cloud golpean tu perímetro como lo ve internet — a través del security group público, balanceador o gateway NAT. Los escaneos internos corren después de ese perímetro y sólo ven el firewall del host (iptables, Windows Firewall). Un puerto puede estar abierto en el perímetro (el security group permite 22/tcp) pero bloqueado en el host (iptables lo descarta). El caso contrario también es común: el host escucha pero el perímetro bloquea. El veredicto en el que confías depende del modelo de amenaza: los escaneos externos responden '¿qué alcanza internet?', los internos responden '¿qué alcanzaría una caja interna comprometida?'. Ambas vistas son útiles; ninguna está mal.

Q: ¿En qué se diferencia el sondeo HTTP de nmap?

El escaneo por defecto de nmap (-sS, SYN scan) construye paquetes IP en crudo y lee los flags TCP directamente. Puede completar un handshake medio-abierto — recibido SYN/ACK, enviado RST en respuesta — sin que la capa de aplicación se entere del intento de conexión. Los logs de aplicación permanecen limpios. Cloudflare Workers no expone sockets en crudo, así que esta herramienta emite conexiones HTTP/HTTPS completas desde sus POPs edge: el handshake se completa, la aplicación registra la conexión y cualquier regla de rate-limit o fail2ban se dispara como lo haría para un cliente real. El trade-off es fidelidad a lo que ve un cliente externo real frente a sigilo — imposible desde este runtime. Para chequeos amplios de alcanzabilidad el sondeo HTTP basta; para inspección profunda de protocolo, nmap desde un host que controles sigue siendo la herramienta correcta.

Escanear Puertos Abiertos Online — Test de Servicios

El escaneo de puertos consulta un host para descubrir qué servicios TCP están alcanzables desde la internet pública. Cada sondeo recibe uno de tres veredictos: abierto (un servicio completa el handshake), cerrado (el host rechaza activamente con un TCP RST según RFC 9293 §3.10.7) o filtrado (sin respuesta dentro del timeout, normalmente porque un firewall descartó el SYN silenciosamente). El IANA Service Name and Transport Protocol Port Number Registry, regido por RFC 6335 (Cotton, Eggert, Touch, Westerlund y Cheshire, 2011), divide el espacio de 16 bits en System Ports (0–1023, sólo IETF Review), User Ports (1024–49151, revisión por experto) y Dynamic Ports (49152–65535, sin asignar). Esta herramienta envía sondeos HTTP/HTTPS desde un servidor edge de Cloudflare: detecta liveness del socket pero no identifica qué software responde — banner-grabbing y detección de versión son pasos aparte. El escaneo UDP es fundamentalmente más difícil porque UDP (RFC 768) no lleva estado de conexión; el cierre se señaliza con un ICMP destination-unreachable (RFC 792), y la ausencia de respuesta deja abierto y filtrado indistinguibles. La autorización importa: escanea sólo sistemas que posees o tienes permiso escrito para probar.

Cómo escanear puertos

Introduce el host objetivo (dominio o IP). Deja vacío el campo de puertos personalizados para escanear los 17 comunes por defecto, o lista hasta 5 puertos separados por coma.
Cada puerto se sondea vía handshake HTTP/HTTPS desde un servidor edge de Cloudflare. Abierto responde con SYN/ACK, cerrado con TCP RST, filtrado sin respuesta.
Revisa los puertos abiertos frente al inventario de servicios esperado — cualquier abierto inesperado merece revisión del firewall.
Cierra puertos innecesarios en el firewall, redespliega y vuelve a escanear para confirmar el estado esperado.

Casos de uso comunes

Auditar un servidor cloud recién desplegado antes de apuntar DNS, para confirmar que sólo los servicios deseados están expuestos.
Verificar que un cambio en security-group o iptables realmente bloqueó el puerto que debía.
Comprobar qué servicios expone un dispositivo IoT o edge desde una red residencial o de oficina.
Confirmar que los puertos publicados de un contenedor Docker casan con el firewall del host y la política de security-group.

Preguntas frecuentes

¿Cuál es la diferencia entre filtrado y cerrado?

Cerrado devuelve un flag TCP RST (RFC 9293 §3.10.7) — el host dice 'no hay servicio aquí'. Filtrado significa sin respuesta: descarte de firewall, ruta rota o host offline comparten esa firma.

¿Es legal escanear puertos?

Escanear sistemas que posees o para los que tienes permiso escrito es legal en todas partes. Sin autorización, la jurisdicción importa — Moulton v. VC3 (USDC ND Ga 2000) dictaminó que un escaneo no autorizado, en ausencia de daños superiores al umbral CFAA, no viola §1030; el §202c StGB alemán criminaliza la preparación de interceptación de datos. Pide autorización por escrito.

¿Por qué un puerto aparece abierto en esta herramienta pero cerrado al escanearlo desde dentro de la red?

Los escáneres en cloud golpean el perímetro (security group, balanceador, NAT). Los escaneos internos sólo ven el firewall del host (iptables, Windows Firewall). Un puerto puede estar abierto en una capa y bloqueado en otra; ambas vistas son válidas para distintos modelos de amenaza.

¿En qué se diferencia el sondeo HTTP de nmap?

El default de nmap (-sS) construye paquetes SYN en crudo y lee los flags TCP directamente sin completar el handshake. Esta herramienta corre en Cloudflare Workers y usa fetch() en lugar de la cloudflare:sockets connect() API; en ambos casos el runtime no puede construir paquetes IP en crudo, así que la aplicación registra cada sondeo.

¿Cómo asigna IANA los números de puerto?

RFC 6335 divide el espacio de 16 bits en System (0–1023, IETF Review), User (1024–49151, Expert Review) y Dynamic (49152–65535, elegido por el SO, sin asignar). Los números de binding de servicio son orientativos; la capa de protocolo no los exige.

Cómo interpretan el silencio los port scans — TCP RST, sin respuesta y sondeos HTTP

El handshake TCP es una interacción request-response definida en RFC 9293 (Eddy, Ed., 2022, que obsoleta el RFC 793 original de 1981). Cuando un sondeo llega a un puerto cerrado, el kernel responde con un flag RST — el host está vivo, simplemente no ejecuta nada en ese puerto. Cuando el sondeo golpea un puerto abierto, la pila devuelve SYN/ACK y el escáner cierra sin enviar datos. Cuando no llega nada, tres causas comparten una misma firma a nivel de paquete: un firewall stateful descartó el SYN, la ruta al host está rota o el host es inalcanzable. El escáner indica filtrado en los tres casos, porque la evidencia es idéntica. El sondeo HTTP difiere del SYN scan en crudo. El default de nmap envía un único SYN y lee los flags TCP directamente, completando el handshake sólo en -sT (connect scan). Esta herramienta corre dentro de Cloudflare Workers y usa la API fetch() en lugar de la más reciente cloudflare:sockets connect(); en ambos casos el runtime no puede construir paquetes IP en crudo, así que los handshakes siempre se completan y la aplicación registra cada sondeo. El trade-off es corrección — el resultado es exactamente lo que ve un cliente HTTP público desde tu edge — a costa de sigilo. Para servicios que no hablan HTTP (Redis, MySQL, banners SSH en crudo), el sondeo aún indica apertura vía el handshake TCP pero no puede identificar el protocolo.

17 puertos comunes escaneados por defecto (HTTP, HTTPS, SSH, FTP, SMTP, DNS, MySQL, PostgreSQL, Redis, etc.)
Selección personalizada hasta 5 puertos separados por coma (1–65535)
Estado abierto / cerrado / filtrado según semántica RFC 9293 §3.10.7
Pista de servicio desde el IANA Service Name and Transport Protocol Port Number Registry
Tabla de resultados con código de colores
Sondeo HTTP/HTTPS sobre Cloudflare Workers (no SYN scan en crudo)

Gratis. Sin registro. Las tools de navegador (subred, JWT, fuerza de contraseña) corren localmente; las de consulta usan APIs públicas (Cloudflare DoH, RDAP, registros de certs). Detalle por herramienta en /es/methodology/.

Fuentes (5)

Cotton, M., Eggert, L., Touch, J., Westerlund, M., & Cheshire, S. (2011). Internet Assigned Numbers Authority (IANA) Procedures for the Management of the Service Name and Transport Protocol Port Number Registry. RFC 6335, IETF.
Eddy, W. (Ed.) (2022). Transmission Control Protocol (TCP). RFC 9293, IETF (obsoletes RFC 793).
Postel, J. (1980). User Datagram Protocol. RFC 768, IETF.
Postel, J. (1981). Internet Control Message Protocol. RFC 792, IETF.
Internet Assigned Numbers Authority (IANA) (live). Service Name and Transport Protocol Port Number Registry. iana.org/assignments/service-names-port-numbers.

Son los RFCs del IETF, las publicaciones del NIST y los estándares del W3C que la herramienta implementa o consulta. Localízalos en el IETF Datatracker (datatracker.ietf.org) o en el organismo correspondiente.

Guías relacionadas

Escaneo de puertos — Legalidad, ética y uso seguroCuándo el escaneo de puertos es legal, cuándo es delito y cómo usar scanners con responsabilidad — con desglose por jurisdicción y comparación de herramientas.

Por Marco B. · Última verificación junio 2026 — corre en tu navegador