Fundamentos · Módulo 2 de 6

Capas OSI y TCP/IP

"Las capas" es lo primero que suena intimidante en ciberseguridad. En realidad es solo un modelo para ordenar todo lo que pasa cuando dos dispositivos se comunican, dividido en niveles de responsabilidad.

Por qué existe esto

Cuando mandás un mensaje de WhatsApp, en el medio pasan un montón de cosas: tu app arma el mensaje, tu sistema operativo lo prepara para viajar, tu router lo saca de tu casa, viaja por cables y antenas, y llega al otro lado donde el proceso se hace al revés. El modelo OSI divide todo ese proceso en 7 capas, cada una con un trabajo específico, para que sea más fácil de entender, diseñar y también de atacar o defender.

Analogía

Es como enviar un paquete de Amazon: alguien empaqueta el producto (capa de aplicación), alguien más lo mete en una caja con relleno (presentación), otro le pone una etiqueta con la dirección (sesión/transporte), lo suben a un camión (red), el camión usa rutas específicas (enlace), y finalmente rueda sobre el asfalto (física). Cada nivel no necesita saber cómo funciona el otro, solo entregarle su parte correctamente.

Las 7 capas, de arriba hacia abajo

Capa 7

Aplicación

Lo que el usuario ve: el navegador, WhatsApp, el mail. Protocolos: HTTP, DNS, SMTP.

Capa 6

Presentación

Traduce y formatea datos: cifrado (SSL/TLS), compresión, codificación de caracteres.

Capa 5

Sesión

Abre, mantiene y cierra la "conversación" entre dos dispositivos.

Capa 4

Transporte

Garantiza que los datos lleguen completos y en orden. Acá viven TCP y UDP, y los puertos.

Capa 3

Red

Decide la ruta entre origen y destino usando direcciones IP. Acá vive el routing.

Capa 2

Enlace de datos

Comunicación entre dispositivos en la misma red local, usando direcciones MAC. Acá vive ARP.

Capa 1

Física

Los cables, el wifi, la electricidad y la luz que realmente transportan los bits.

El modelo que realmente vas a usar: TCP/IP

En la práctica, el mundo real usa una versión simplificada de 4 capas llamada TCP/IP: Aplicación (junta las capas 5-7 de OSI), Transporte (TCP/UDP), Internet (IP, equivalente a la capa 3), y Acceso a la red (equivalente a las capas 1-2). OSI es el modelo "de estudio" que todos citan; TCP/IP es el que realmente corre por debajo de internet.

TCP vs UDP: la diferencia que sí importa

TCP es como una llamada telefónica: confirma que el otro lado escuchó cada palabra antes de seguir. Es lento pero confiable — se usa para cargar una página web o mandar un mail. UDP es como gritar en un evento: mandás el mensaje sin esperar confirmación. Es rápido pero puede perderse algo — se usa para videollamadas o juegos online, donde llegar rápido importa más que llegar perfecto.

Por qué esto importa para Red Team

Casi todas las herramientas de escaneo (como Nmap, que vas a usar en el módulo de Escaneo) trabajan directamente sobre las capas 3 y 4: mandan paquetes TCP/UDP a distintos puertos para ver qué responde. Entender estas capas es entender qué está haciendo la herramienta por dentro, no solo copiar el comando.

Por qué esto importa para Blue Team

Cuando revisás una alerta de tu SIEM que dice "tráfico anómalo en capa 4", necesitás saber que eso significa algo raro en puertos o conexiones TCP/UDP — no en el contenido del mensaje (eso sería capa 7). Saber en qué capa ocurre algo te dice inmediatamente qué herramienta usar para investigarlo.

LAB GUIADO · viendo las capas en acción
1

Abrí cualquier página web en tu navegador.

2

Fijate que la dirección empieza con https:// — esa "s" de "secure" es la capa de Presentación cifrando tu conexión (TLS).

3

Abrí la terminal y escribí ping google.com. Eso manda paquetes usando la capa de Red (IP) para verificar que hay una ruta hacia ese destino.

4

Cada línea de respuesta te muestra un tiempo en milisegundos: es literalmente el tiempo que tardan tus bits en viajar por la capa Física hasta el servidor de Google y volver.

Ponete a prueba

1. ¿En qué capa viven las direcciones IP?

2. La diferencia principal entre TCP y UDP es...

3. ARP pertenece a...