Hace unos días, en una conversación interna a raíz de un vídeo en el que se analizaba un equipo de red utilizando una plataforma profesional de generación de tráfico capaz de simular condiciones extremas de operación, surgió la siguiente pregunta: ¿tiene sentido validar la seguridad de un equipo bajo estrés de carga?
La respuesta corta es sí.
Más allá del rendimiento: validar resiliencia y seguridad
La validación de infraestructuras de red mediante generación de tráfico no es un concepto nuevo, pero sí está ganando protagonismo en un contexto donde la resiliencia y la seguridad operativa son cada vez más críticas.
Cuando se habla de herramientas de generación de tráfico, muchas veces se piensa únicamente en pruebas de rendimiento o benchmarking. Sin embargo, las plataformas modernas van mucho más allá: permiten validar cómo se comporta la seguridad de una infraestructura cuando se encuentra bajo estrés.
No se trata únicamente de medir cuántos gigabits soporta un firewall o un switch, sino de responder preguntas mucho más relevantes para un entorno corporativo como:
- ¿Qué ocurre cuando miles de usuarios acceden simultáneamente a aplicaciones corporativas?
- ¿Cómo responde el firewall cuando la red está saturada y recibe tráfico malicioso?
- ¿Existe degradación en los mecanismos de inspección de seguridad bajo estrés?
- ¿Cuál es el punto de fallo real de una topología de red?
Este enfoque combina rendimiento y ciberseguridad dentro de un mismo escenario de validación.
Keysight CyPerf
Uno de los productos más conocidos actualmente es CyPerf de Keysight, precisamente la solución utilizada en el vídeo que originó la conversación.
Estamos hablando de una plataforma diseñada para validar y certificar equipamiento de red antes de su salida al mercado.
Su capacidad es enorme: puede generar tráfico a velocidades de terabits simulando aplicaciones reales como Netflix, Zoom o Microsoft Teams, mientras introduce simultáneamente ataques DDoS, escaneos de puertos, movimientos laterales o exfiltración de datos.
Y aquí aparece uno de los aspectos más interesantes de este tipo de soluciones: los ataques se “camuflan” dentro de tráfico legítimo para comprobar si los dispositivos de seguridad sacrifican inspección y protección cuando la carga aumenta.
Es decir, no se busca únicamente comprobar si, por ejemplo, un firewall aguanta cierto volumen de tráfico, sino validar si sigue siendo seguro cuando la infraestructura empieza a acercarse a sus límites.
CyPerf dispone además de una versión Community Edition gratuita con limitaciones importantes, pero suficiente para laboratorios pequeños o pruebas iniciales. Eso sí: sin interfaz gráfica y con funcionalidades reducidas frente a la versión Enterprise.
El problema, evidentemente, es el coste. Las configuraciones avanzadas basadas en hardware dedicado pueden superar ampliamente el millón de dólares.
Soluciones Open Source
La parte más interesante para muchas organizaciones probablemente no esté en las soluciones comerciales, sino en el ecosistema Open Source.
Existen herramientas gratuitas extremadamente potentes que permiten construir escenarios de validación sin inversiones millonarias:
- TRex de Cisco, posiblemente una de las herramientas más potentes de generación de tráfico.
- iPerf3, el estándar de facto para pruebas de ancho de banda.
- Batfish, especialmente interesante para análisis de configuraciones y topologías de red.
- GNS3, ampliamente utilizado en simulación de redes.
- Ostinato, orientado a generación avanzada de paquetes.
- Pktgen-DPDK, pensado para escenarios de muy alto rendimiento.
A estas se añaden otras herramientas más orientadas a aplicaciones y servicios concretos: Apache JMeter, Locust, o Hping3.
La principal diferencia frente a las plataformas comerciales no es únicamente el interfaz o el soporte, sino el esfuerzo técnico necesario para integrarlas, automatizarlas y convertirlas en entornos de validación realmente útiles.
Auditorías de seguridad y resiliencia bajo carga
Probablemente aquí es donde existe una oportunidad más interesante desde el punto de vista de la ciberseguridad.
Una auditoría basada en generación de tráfico no tendría como objetivo medir “velocidad”, sino validar resiliencia operativa y seguridad bajo condiciones extremas.
Por ejemplo:
- simular cientos o miles de usuarios trabajando simultáneamente,
- generar tráfico de aplicaciones corporativas,
- introducir ataques controlados,
- medir degradación de servicios,
- analizar comportamiento de firewalls,
- identificar cuellos de botella,
- determinar puntos de fallo.
Los KPI derivados de este tipo de ejercicios podrían aportar muchísimo valor:
- latencia bajo carga,
- sesiones concurrentes soportadas,
- capacidad de inspección del firewall,
- tasa de bloqueo de ataques,
- degradación progresiva del servicio,
- comportamiento frente a DDoS,
- capacidad de recuperación.
Sin embargo, también podrían tener una contrapartida. Una prueba mal diseñada puede tumbar completamente la infraestructura analizada.
Por eso estas validaciones suelen realizarse en laboratorios o entornos controlados, o bien mediante incrementos graduales de carga con umbrales muy definidos.
¿Tiene sentido utilizar estas soluciones en auditorías?
Desde un punto de vista técnico, claramente sí.
Las herramientas de pruebas de carga permiten identificar errores de configuración, problemas de segmentación, cuellos de botella y degradaciones de seguridad que difícilmente aparecen en auditorías convencionales.
Sin embargo, también es cierto que:
- las soluciones comerciales son extremadamente costosas,
- las herramientas Open Source requieren especialización,
- las pruebas pueden impactar seriamente los sistemas en producción,
- y el valor real depende mucho de la capacidad de interpretar correctamente los resultados.
En estas circunstancias, quizá el enfoque más razonable no pase por replicar los enormes laboratorios de fabricantes, sino por construir herramientas con capacidades acotadas orientadas a:
- validación de políticas y configuraciones de firewalls,
- pruebas de resiliencia segmentadas,
- análisis de cuellos de botella,
- simulaciones controladas de estrés,
- o auditorías de degradación progresiva de servicios.
Porque al final, en ciberseguridad, la pregunta no reside solo en verificar si un sistema funciona correctamente, sino también en analizar cómo se comporta cuando empieza a dejar de hacerlo
