¿Qué es un servidor proxy?

Un servidor proxy es un in­te­r­me­dia­rio entre un cliente (por ejemplo, un ordenador) y un servidor de destino, que reenvía las so­li­ci­tu­des y devuelve las re­s­pue­s­tas. Puede uti­li­zar­se para el anonimato, mejorar la seguridad, aplicar re­s­tri­c­cio­nes de acceso o acelerar las co­ne­xio­nes mediante al­ma­ce­na­mie­n­to en caché. Así se entiende mejor qué es un proxy y para qué sirve.

Un servidor proxy (cuya tra­du­c­ción literal es “re­pre­se­n­ta­n­te“) es una interfaz de co­mu­ni­ca­ción en una red que actúa como mediadora entre dos sistemas in­fo­r­má­ti­cos. La tarea básica de un servidor proxy es hacerse cargo, como delegado, de las pe­ti­cio­nes de los clientes en un servidor y de tra­n­s­mi­ti­r­las con la dirección IP adecuada al ordenador de destino. En este tipo de co­mu­ni­ca­ción no existe una conexión directa entre el remitente y el de­s­ti­na­ta­rio. En ocasiones, ni el sistema al que se le hacen las pe­ti­cio­nes ni el ordenador de destino saben que hay un proxy de por medio.

¿Cómo funciona un servidor proxy?

Un servidor proxy actúa como in­te­r­me­dia­rio entre un cliente (por ejemplo, un ordenador o un sma­r­t­pho­ne) y el servidor de destino en Internet.

Cuando un usuario realiza una petición, como abrir una página web, esta no se envía di­re­c­ta­me­n­te al servidor de destino, sino primero al servidor proxy. El proxy procesa la solicitud, puede mo­di­fi­car­la o ana­li­zar­la y luego la reenvía al servidor co­rre­s­po­n­die­n­te. Una vez que la respuesta llega desde el servidor de destino, el proxy la recibe, la procesa de nuevo si es necesario y la envía al usuario.

Algunos se­r­vi­do­res proxy almacenan en caché los co­n­te­ni­dos que se solicitan con fre­cue­n­cia, para ofre­ce­r­los más rápido en pe­ti­cio­nes po­s­te­rio­res y reducir la carga del servidor. Según la co­n­fi­gu­ra­ción, el proxy también puede filtrar el tráfico de red, blo­quea­n­do o re­di­ri­gie­n­do de­te­r­mi­na­das so­li­ci­tu­des. Además, puede sustituir la dirección IP original del usuario por la suya propia, de modo que el servidor de destino solo vea la IP del proxy.

¿Qué di­fe­re­n­cia hay entre un servidor proxy y una VPN?

Un servidor proxy y una VPN (Red Privada Virtual) pueden parecer similares a primera vista, pero se di­fe­re­n­cian tanto en su fu­n­cio­na­mie­n­to como en el nivel de pro­te­c­ción que ofrecen. Mientras que un proxy solo redirige el tráfico de apli­ca­cio­nes concretas o de de­te­r­mi­na­das so­li­ci­tu­des del navegador, una VPN cifra todo el tráfico de Internet del di­s­po­si­ti­vo. Esto permite a la VPN ofrecer mayor pro­te­c­ción de la pri­va­ci­dad y asegurar los datos frente a intentos de in­te­r­ce­p­ta­ción, incluso en redes inseguras.

Otra di­fe­re­n­cia im­po­r­ta­n­te está en la ocu­l­ta­ción de la IP: un servidor proxy úni­ca­me­n­te modifica la IP en so­li­ci­tu­des es­pe­cí­fi­cas, mientras que una VPN sustituye por completo la dirección IP del usuario. Además, las VPN suelen ser más adecuadas para apli­ca­cio­nes críticas de seguridad, ya que protegen contra hackers y programas de vi­gi­la­n­cia. No obstante, esto afecta a la velocidad: las VPN suelen ser más lentas porque cifran todos los datos, mientras que los proxys resultan más rápidos y fáciles de co­n­fi­gu­rar.

¿Cómo co­n­fi­gu­rar un servidor proxy?

La co­n­fi­gu­ra­ción de un servidor proxy depende del sistema operativo o de la apli­ca­ción utilizada.

• Windows: en Windows, un proxy se configura desde los ajustes de red. Para ello, abre la co­n­fi­gu­ra­ción, ve a Red e Internet y se­le­c­cio­na la sección Proxy. Allí puedes in­tro­du­cir una URL de co­n­fi­gu­ra­ción au­to­má­ti­ca o añadir ma­nua­l­me­n­te un servidor proxy con su dirección IP y puerto.
• macOS: en macOS, la co­n­fi­gu­ra­ción se realiza en Pre­fe­re­n­cias del sistema > Red, donde se activa y ajusta el proxy en las opciones avanzadas.
• Navegador: en los na­ve­ga­do­res web también es posible co­n­fi­gu­rar el proxy desde la sección de ajustes. Esto resulta útil, por ejemplo, para evitar re­s­tri­c­cio­nes de red.
• Di­s­po­si­ti­vos móviles: en sma­r­t­pho­nes o tablets, el proxy se establece en los ajustes de wifi para la red co­rre­s­po­n­die­n­te.
• Entorno em­pre­sa­rial: en empresas o redes de mayor tamaño, un servidor proxy puede co­n­fi­gu­rar­se en un ordenador dedicado o en un firewall, a menudo mediante software es­pe­cí­fi­co como Squid o Microsoft Forefront TMG. Algunos proxys requieren au­te­n­ti­ca­ción con nombre de usuario y co­n­tra­se­ña. Una vez co­n­fi­gu­ra­do, conviene probar la conexión cargando una página web o ve­ri­fi­ca­n­do la IP para ase­gu­rar­se de que el proxy funciona co­rre­c­ta­me­n­te.

Ventajas y de­s­ve­n­ta­jas de los se­r­vi­do­res proxy

Los se­r­vi­do­res proxy ofrecen una amplia gama de ventajas. Una de las más de­s­ta­ca­das es el anonimato, ya que el proxy puede ocultar la dirección IP del usuario y proteger así su identidad en Internet. Además, permiten acelerar las páginas web mediante caché, lo que reduce el tráfico de datos y acelera los tiempos de carga. Un servidor proxy también puede usarse para el balanceo de carga, di­s­tri­bu­ye­n­do las pe­ti­cio­nes entrantes entre varios se­r­vi­do­res para repartir la carga de forma equi­ta­ti­va.

En empresas y centros edu­ca­ti­vos, los proxies se utilizan con fre­cue­n­cia para controlar el acceso a de­te­r­mi­na­das páginas web y filtrar co­n­te­ni­dos no deseados. También permiten sortear bloqueos geo­grá­fi­cos, ya que el proxy puede simular la ubicación del usuario. Otro beneficio es la pro­te­c­ción frente a sitios web dañinos, al poder bloquear tráfico so­s­pe­cho­so.

Sin embargo, también existen algunos in­co­n­ve­nie­n­tes. Los se­r­vi­do­res proxy gratuitos o inseguros pueden suponer un riesgo, ya que es posible que in­te­r­ce­p­ten datos o incluso recopilen in­fo­r­ma­ción personal. A di­fe­re­n­cia de una VPN, muchos proxies no ofrecen cifrado de extremo a extremo, por lo que terceros pueden in­te­r­ce­p­tar el tráfico. Asimismo, un proxy mal co­n­fi­gu­ra­do o con exceso de usuarios puede ra­le­n­ti­zar la velocidad de Internet. Además, algunas páginas web detectan y bloquean di­re­c­cio­nes IP de proxy, lo que restringe el acceso a de­te­r­mi­na­dos co­n­te­ni­dos. Fi­na­l­me­n­te, co­n­fi­gu­rar un servidor proxy propio puede resultar complejo para usuarios sin ex­pe­rie­n­cia.

Ámbito de apli­ca­ción de un servidor proxy

Existen diversos motivos para im­ple­me­n­tar un servidor proxy. Como enlace entre dos partes de la co­mu­ni­ca­ción, este co­m­po­ne­n­te de red puede añadir una serie de funciones adi­cio­na­les.

Balanceo de carga y filtrado

Un servidor proxy permite el in­te­r­ca­m­bio de datos entre dos sistemas incluso cuando una conexión directa resulta imposible por di­re­c­cio­nes IP in­co­m­pa­ti­bles; por ejemplo, si un co­m­po­ne­n­te utiliza IPv4 y el otro el nuevo estándar IPv6. Además, los datos que pasan a través de un proxy pueden filtrarse y al­ma­ce­nar­se en caché para bloquear de­te­r­mi­na­dos co­n­te­ni­dos web para los clientes o rechazar au­to­má­ti­ca­me­n­te so­li­ci­tu­des so­s­pe­cho­sas.

Asimismo, en el contexto del balanceo de carga, un servidor proxy puede di­s­tri­buir las so­li­ci­tu­des entrantes entre di­fe­re­n­tes sistemas de destino y ga­ra­n­ti­zar así un uso más eficiente de la red. Además, un proxy actúa como co­m­po­ne­n­te central de un co­r­ta­fue­gos, pro­te­gie­n­do los sistemas frente a ataques pro­ce­de­n­tes de la red pública.

Servidor proxy como caché

Otra de las funciones estándar de un servidor proxy es la caché. Para poder responder con celeridad a las continuas pe­ti­cio­nes de una red local, un proxy ade­cua­da­me­n­te co­n­fi­gu­ra­do guarda de manera temporal una copia de los datos obtenidos por parte del servidor desde Internet en la caché. Los co­n­te­ni­dos web más so­li­ci­ta­dos no tienen que cargarse de nuevo cada vez que se quiera acceder a ellos, sino que estos se entregan di­re­c­ta­me­n­te, lo que ahorra tiempo y ancho de banda.

Control de ancho de banda y di­s­tri­bu­ción de carga

Si se utiliza un proxy para controlar el ancho de banda, este di­s­tri­bui­rá los recursos definidos para los clientes de una red en función de la capacidad de carga. Así se puede tener la seguridad de que las apli­ca­cio­nes no blo­quea­rán el ancho de banda por completo. Debido a su papel de interfaz central, el servidor proxy permite depositar en di­fe­re­n­tes sistemas las pe­ti­cio­nes de clientes que requieren muchos recursos o las re­s­pue­s­tas del servidor, de forma que la carga se pueda di­s­tri­buir de manera uniforme dentro de una misma red in­fo­r­má­ti­ca.

Anonimato

Ya que el servidor proxy impide la conexión directa entre remitente y de­s­ti­na­ta­rio, puede que la dirección IP de un cliente se oculte tras la interfaz de co­mu­ni­ca­ción. Esto permite cierto anonimato, ya que el usuario puede operar de manera externa con la dirección IP y la ubicación del proxy. Aquellos países que tienen una estricta censura en lo referente al uso de Internet o que tienen un acceso re­s­tri­n­gi­do a co­n­te­ni­dos pro­te­gi­dos por derechos de autor recurren en ocasiones a un servidor proxy en el ex­tra­n­je­ro para evitar el bloqueo geo­grá­fi­co.

Tipos de se­r­vi­do­res proxy

Junto a la de­fi­ni­ción de proxy más general, se dan diversas de­no­mi­na­cio­nes para di­fe­re­n­tes tipos de se­r­vi­do­res proxy, re­fe­re­n­tes tanto a la rea­li­za­ción técnica de los co­m­po­ne­n­tes de red como a las di­fe­re­n­cias en cuanto a su apli­ca­ción.

Se­r­vi­do­res proxy directos e inversos

Los se­r­vi­do­res proxy pueden im­ple­me­n­tar­se en dos mo­da­li­da­des pri­n­ci­pa­les. Un forward proxy o proxy directo protege a una red de clientes frente a in­flue­n­cias externas de Internet. Cuando el sistema que se busca proteger es el servidor de destino, por ejemplo un servidor web, se utiliza un reverse proxy o proxy inverso.

• Proxy directo (pro­te­c­ción del cliente): cuando un servidor proxy se instala como interfaz entre una red privada (LAN) e Internet, los di­s­po­si­ti­vos locales pueden aislarse de las amenazas de la red pública. Las so­li­ci­tu­des que parten de la LAN son recibidas por el proxy y re­en­via­das al servidor de destino en Internet uti­li­za­n­do la IP del proxy como dirección de origen. Las re­s­pue­s­tas también regresan a través del proxy antes de llegar al cliente. De este modo, el servidor proxy actúa como instancia de control. Los sistemas de seguridad no tienen que in­s­ta­lar­se en cada cliente de la red, sino que pueden ge­s­tio­nar­se de forma ce­n­tra­li­za­da en un número reducido de se­r­vi­do­res proxy.

• Proxy inverso (pro­te­c­ción del servidor): también los se­r­vi­do­res web pueden reforzar su seguridad al situar un servidor proxy como capa in­te­r­me­dia ante los accesos desde Internet. Así, los clientes externos no se conectan di­re­c­ta­me­n­te con el servidor de destino. En su lugar, las so­li­ci­tu­des llegan primero al proxy, que las analiza según reglas de seguridad pre­de­fi­ni­das y, si no presentan riesgos, las reenvía al servidor en segundo plano.

Se­r­vi­do­res proxy de apli­ca­ción y de circuito

Té­c­ni­ca­me­n­te, algunos se­r­vi­do­res proxy se im­ple­me­n­tan de manera que puedan analizar los paquetes de datos que tienen que reenviar. Por el contrario, otros tipos de im­ple­me­n­ta­cio­nes del proxy no permiten el acceso a los paquetes de datos. Sin embargo, las funciones de filtrado se pueden llevar a cabo, en este caso, tomando como base la dirección IP del remitente y del puerto referido.

• Servidor proxy de apli­ca­ción: un servidor proxy de apli­ca­ción se asienta sobre la capa de apli­ca­ción (capa 7) del modelo de re­fe­re­n­cia OSI (Open System In­te­r­co­n­ne­c­tion). Este tipo de servidor proxy, de­no­mi­na­do también filtro de apli­ca­ción, cuenta así con funciones para analizar los paquetes de datos y para blo­quear­los, mo­di­fi­car­los o re­en­viar­los siguiendo reglas pre­de­fi­ni­das.

• Servidor proxy de circuito: el servidor proxy de circuito trabaja en la capa de tra­n­s­po­r­te (capa 4) del modelo de re­fe­re­n­cia OSI y entre sus funciones no se encuentra el análisis de los paquetes de datos. Por lo general, este tipo de proxy se utiliza como módulo de filtrado de co­r­ta­fue­gos y permite filtrar los paquetes de datos a través de puertos y de di­re­c­cio­nes IP. Al contrario de lo que ocurre con el servidor proxy de apli­ca­ción, el de circuito no puede ejercer ningún tipo de in­flue­n­cia en la co­mu­ni­ca­ción. En su lugar, el filtrado está basado en permitir o bloquear co­m­ple­ta­me­n­te el tráfico.

Se­r­vi­do­res proxy dedicados y genéricos

La cla­si­fi­ca­ción a partir de los términos “dedicado” y “genérico” depende de si un servidor proxy solo es apto para un protocolo de co­mu­ni­ca­ción (proxy dedicado) o si la interfaz de red opera como elemento de contacto para todos los pro­to­co­los de co­mu­ni­ca­ción (proxy genérico).

• Proxy dedicado: como su nombre indica, un servidor proxy dedicado está co­n­fi­gu­ra­do para un de­te­r­mi­na­do protocolo de co­mu­ni­ca­ción. Por este motivo, di­fe­re­n­tes se­r­vi­do­res proxy dedicados funcionan ge­ne­ra­l­me­n­te en paralelo para los diversos pro­to­co­los como HTTP, FTP o SMTP.

• Proxy genérico: al contrario de lo que ocurre en los se­r­vi­do­res proxy dedicados, un servidor proxy genérico no es un servidor es­pe­cia­li­za­do y, por lo tanto, no se utiliza para más de un protocolo de co­mu­ni­ca­ción.

En la práctica, los se­r­vi­do­res proxy de apli­ca­ción actúan como se­r­vi­do­res dedicados, mientras que los genéricos, por su parte, se usan como se­r­vi­do­res proxy de circuito, por lo que a menudo estos términos se usan como sinónimos.