Qué es el Modelo OSI: 7 capas explicadas con ejemplos prácticos

El modelo OSI sigue siendo, más de cuarenta años después de su publicación, el marco de referencia con el que ingenieros de red y analistas de ciberseguridad describen cómo viajan los datos en Internet. Aunque la infraestructura moderna funciona con TCP/IP, conocer las 7 capas del modelo OSI es lo que permite diagnosticar una falla de conectividad, ubicar el origen de un ataque o decidir dónde aplicar un control de seguridad.

En esta guía explicamos qué es el modelo OSI, cómo funciona con un ejemplo concreto, qué hace cada una de sus 7 capas, qué amenazas y controles aplican a cada nivel, y en qué se diferencia del modelo TCP/IP que realmente sustenta Internet hoy.

Tabla de Contenido

⌄

0% leído

• 01 ¿Qué es el modelo OSI?
• 02 ¿Cómo funciona el modelo OSI? Ejemplo práctico
• 03 Las 7 capas del modelo OSI explicadas
• 04 Modelo OSI vs TCP/IP: tabla comparativa
• 05 El modelo OSI en ciberseguridad: defensa por capas
• 06 ¿Existe la "capa 8"? El factor humano
• 07 Preguntas frecuentes

0% completado

¿Qué es el modelo OSI?

El modelo OSI (Open Systems Interconnection) es un marco de referencia conceptual que describe cómo dos sistemas distintos se comunican a través de una red, dividiendo el proceso en siete capas independientes. Fue desarrollado por la Organización Internacional de Normalización (ISO) a finales de los años setenta y publicado oficialmente en 1984 como el estándar ISO 7498. La versión vigente es ISO/IEC 7498-1:1994.

El propósito original fue permitir que equipos de fabricantes distintos pudieran interoperar. Antes del modelo OSI, cada proveedor implementaba sus propios protocolos cerrados, lo que dificultaba conectar redes heterogéneas. La ISO propuso un esquema en capas donde cada nivel cumple una función específica y se comunica solo con la capa inmediatamente superior e inferior.

Hay que aclarar un punto importante: el modelo OSI no es un protocolo ni una tecnología que se implemente literalmente. Es un marco teórico. Internet funciona con el modelo TCP/IP, no con OSI. Sin embargo, OSI sigue siendo el lenguaje común con el que se describen los componentes de red: cuando alguien dice "ataque de capa 7" o "firewall de capa 3" se refiere precisamente al modelo OSI.

Conoce más sobre: Elementos clave de una red empresarial moderna

¿Cómo funciona el modelo OSI? Ejemplo práctico

Cuando dos dispositivos se comunican, los datos atraviesan las 7 capas en orden descendente en el emisor y en orden ascendente en el receptor. Cada capa añade su propia información (encabezado) al paquete antes de pasarlo a la siguiente.

Imagina que envías un correo electrónico desde tu computadora a un compañero de trabajo. Esto es lo que pasa, capa por capa:

1. Capa 7 (Aplicación): tu cliente de correo elige el protocolo SMTP y entrega el mensaje al sistema operativo.
   
   
2. Capa 6 (Presentación): el contenido se codifica, se comprime y, si la conexión es segura, se cifra con TLS.
   
   
3. Capa 5 (Sesión): se establece la sesión de comunicación con el servidor de correo.
   
   
4. Capa 4 (Transporte): el mensaje se segmenta en partes manejables con TCP, que garantizará la entrega ordenada.
   
   
5. Capa 3 (Red): cada segmento se convierte en un paquete con direcciones IP de origen y destino, y se decide la ruta.
   
   
6. Capa 2 (Enlace de datos): los paquetes se empaquetan en tramas con direcciones MAC del siguiente salto.
   
   
7. Capa 1 (Física): las tramas se convierten en bits (señales eléctricas, pulsos ópticos u ondas de radio) y viajan por el medio físico.
   
   

En el destino, el proceso se invierte: los bits vuelven a subir capa por capa hasta que la aplicación de correo del destinatario recibe el mensaje en formato legible. Todo el recorrido suele tardar milisegundos.

Las 7 capas del modelo OSI explicadas

A continuación revisamos cada una de las capas, qué función cumple, qué protocolos o tecnologías operan en ella y qué amenazas y controles de ciberseguridad le corresponden.

Capa 1: Física

La capa física es la base del modelo. Se encarga de la transmisión de bits crudos a través del medio físico: cables de cobre, fibra óptica, ondas de radio o luz infrarroja. No interpreta los datos, solo los convierte en señales eléctricas, ópticas o electromagnéticas y los envía.

1. Función: define las especificaciones físicas como voltajes, frecuencias, tipos de conectores, velocidades de transmisión y modulación de señales.

2. Tecnologías y estándares: Ethernet (parte física), USB, Bluetooth, Wi-Fi (parte de radio), fibra óptica, RJ-45, niveles de tensión.

3. Amenazas típicas: sabotaje físico (corte de cables), intervención de líneas (wiretapping), interferencia electromagnética, robo de hardware.

4. Controles defensivos: control de acceso físico a racks y centros de datos, monitoreo ambiental, cableado blindado, fibra óptica para tramos sensibles, redundancia de medios. El monitoreo de TI integral incluye también la salud de la capa física (estado de puertos, enlaces caídos, errores de transmisión).

Capa 2: Enlace de datos

La capa de enlace de datos agrupa los bits en estructuras llamadas tramas y gestiona la comunicación entre dos nodos conectados directamente. Es la capa donde aparecen las direcciones MAC, identificadores únicos de cada interfaz de red.

1. Función: control de acceso al medio, detección y corrección de errores de transmisión, control de flujo entre nodos adyacentes.

2. Tecnologías y protocolos: Ethernet (parte lógica), PPP, switches, VLAN, ARP, STP (Spanning Tree Protocol).

3. Amenazas típicas: ARP spoofing (envenenamiento de tabla ARP), MAC flooding contra switches, ataques de VLAN hopping, suplantación de identidad a nivel MAC.

4. Controles defensivos: segmentación con VLAN bien configuradas, port security en switches, DHCP snooping, Dynamic ARP Inspection, control de acceso por dirección MAC en redes pequeñas.

Capa 3: Red

La capa de red es responsable de mover paquetes entre redes distintas. Aquí entran en juego las direcciones IP y el enrutamiento. Mientras la capa 2 mueve tramas entre dispositivos directamente conectados, la capa 3 mueve paquetes a través de múltiples saltos y redes intermedias hasta su destino final.

1. Función: direccionamiento lógico (IP), enrutamiento entre redes, fragmentación y reensamblado de paquetes.

2. Protocolos: IP (IPv4 e IPv6), ICMP, ARP, OSPF, BGP, routers, firewalls de capa 3.

3. Amenazas típicas: IP spoofing, ataques DDoS volumétricos (UDP flood, ICMP flood), envenenamiento de rutas BGP, escaneo de red.

4. Controles defensivos: firewalls perimetrales con reglas de filtrado por IP, listas de control de acceso (ACL) en routers, segmentación de red, sistemas de detección de intrusos (IDS). El firewall empresarial es el control de referencia para defensa en esta capa.

Podría interesarte leer: ¿Qué es una red DMZ y cómo proteger tu empresa?

Capa 4: Transporte

La capa de transporte garantiza la comunicación extremo a extremo entre dos aplicaciones, sin importar cuántas redes intermedias atraviesen los datos. Es la capa donde se decide si la entrega debe ser confiable y ordenada (TCP) o rápida pero sin garantías (UDP).

1. Función: segmentación de datos, control de flujo, control de errores, multiplexación de conexiones mediante puertos.

2. Protocolos: TCP (orientado a conexión, con confirmación), UDP (sin conexión, sin confirmación), SCTP. TLS opera entre la capa 4 y la capa 7 según la interpretación.

3. Amenazas típicas: SYN flood (explota el saludo TCP de tres vías), TCP session hijacking, ataques de reset, escaneo de puertos.

4. Controles defensivos: firewalls con inspección de estado (stateful), SYN cookies para mitigar SYN floods, rate limiting por puerto, IPS para detectar patrones anómalos. Los firewalls modernos inspeccionan tráfico tanto en capa 3 como en capa 4.

Capa 5: Sesión

La capa de sesión establece, gestiona y termina las sesiones de comunicación entre aplicaciones. Una sesión es el contexto sostenido en el que se intercambian datos relacionados entre dos extremos, como una llamada VoIP o una conexión a un servidor de bases de datos.

1. Función: apertura y cierre ordenado de sesiones, sincronización del diálogo, restablecimiento de conexiones interrumpidas, gestión de tokens de autenticación de sesión.

2. Protocolos: NetBIOS, RPC, PPTP, SOCKS, SIP (para sesiones VoIP).

3. Amenazas típicas: session hijacking (robo de cookies o tokens), session fixation, ataques de replay.

4. Controles defensivos: uso de tokens de sesión seguros con expiración corta, regeneración de identificadores tras autenticación, cookies con flags Secure y HttpOnly, autenticación multifactor (MFA).

Capa 6: Presentación

La capa de presentación prepara los datos para que la capa de aplicación los entienda. Traduce entre el formato interno de la red y el formato que la aplicación espera, y se encarga del cifrado y la compresión.

1. Función: traducción de formatos (por ejemplo, ASCII a EBCDIC), compresión y descompresión, cifrado y descifrado.

2. Protocolos y formatos: SSL/TLS (debate académico sobre si pertenece a capa 6 o capa 4), JPEG, GIF, MPEG, ASCII, MIME.

3. Amenazas típicas: ataques contra implementaciones débiles de TLS (POODLE, BEAST, Heartbleed en su momento), uso de cifrados obsoletos como SSLv3 o RC4, downgrade attacks.

4. Controles defensivos: uso de TLS 1.3, desactivación de protocolos y cifrados obsoletos, validación estricta de certificados, HSTS para forzar HTTPS, inventario actualizado de certificados.

Capa 7: Aplicación

La capa de aplicación es la más cercana al usuario. Es la única capa que interactúa directamente con las aplicaciones de software, aunque no es la aplicación en sí: es el conjunto de protocolos y servicios que las aplicaciones usan para comunicarse a través de la red.

1. Función: proporcionar la interfaz entre las aplicaciones de usuario y los servicios de red, gestionando solicitudes de alto nivel.

2. Protocolos: HTTP y HTTPS (web), SMTP, POP3 e IMAP (correo), FTP y SFTP (transferencia de archivos), DNS (resolución de nombres), SSH (acceso remoto seguro), DHCP.

3. Amenazas típicas: phishing, inyección SQL, cross-site scripting (XSS), ataques DDoS de capa 7 (HTTP flood), explotación de vulnerabilidades en aplicaciones web, ransomware distribuido vía correo o web.

4. Controles defensivos: Web Application Firewall (WAF), validación y sanitización de entradas, autenticación robusta y MFA, capacitación contra phishing, gestión de parches en aplicaciones, detección y respuesta gestionada con plataformas como Wazuh en un SOC.

Modelo OSI vs TCP/IP: tabla comparativa

El modelo OSI tiene 7 capas y es teórico. El modelo TCP/IP tiene 4 capas y es el que efectivamente sustenta Internet. La principal diferencia es que TCP/IP agrupa varias capas de OSI en capas más amplias y prácticas.

En la práctica, los profesionales de redes usan ambos modelos según el contexto: OSI cuando se necesita precisión conceptual y TCP/IP cuando se trabaja con la infraestructura real.

El modelo OSI en ciberseguridad: defensa por capas

Más allá de la teoría, el modelo OSI es una herramienta operativa para los equipos de ciberseguridad. La estrategia de defensa en profundidad se construye precisamente alrededor de las capas: cada nivel del modelo debe tener controles propios, porque un atacante que vulnere una capa puede seguir siendo detenido por la siguiente.

Un Security Operations Center (SOC) monitorea simultáneamente todas las capas. Los logs de firewalls perimetrales muestran tráfico de capas 3 y 4, los IDS y NDR detectan patrones anómalos en capas 4 a 7, los EDR vigilan endpoints y aplicaciones (capa 7), y los SIEM correlacionan eventos para reconstruir cadenas de ataque que recorren múltiples capas.

En la práctica, muchos incidentes empiezan en capa 7 (un phishing recibido por correo), escalan a capa 4 o 3 cuando el atacante establece conexión con su infraestructura de comando y control, y terminan afectando capa 2 o incluso capa 1 cuando hay movimiento lateral dentro de la red. Por eso el monitoreo no puede limitarse a una sola capa.

¿Existe la "capa 8"? El factor humano

En la jerga técnica se usa el término "capa 8" como referencia informal al factor humano. No forma parte del modelo OSI oficial, pero refleja una realidad operativa: la mayoría de los incidentes de seguridad no se originan en una falla técnica, sino en una decisión humana. Una contraseña reutilizada, un clic en un enlace de phishing, un error de configuración o la falta de parcheo son problemas de "capa 8".

Esta capa imaginaria es un recordatorio útil: por mucha tecnología que se despliegue en las capas 1 a 7, la concientización, la capacitación y los procesos siguen siendo controles críticos.

Tu defensa no puede estar solo en una capa

Un SOC monitorea las 7 capas del modelo OSI 24/7 para detectar amenazas antes de que escalen. Habla con nuestro equipo y conoce cómo aplicarlo en tu empresa.

Conoce TecnetSOC

Conclusión

El modelo OSI cumplió cuarenta años como referencia conceptual y sigue vigente. No porque Internet se implemente literalmente con sus 7 capas (no lo hace), sino porque ofrece el lenguaje común que permite a ingenieros, administradores y analistas de seguridad razonar sobre cómo se mueven los datos y dónde proteger lo que importa.

Para una empresa, entender el modelo OSI no es un ejercicio académico: es la base para diseñar una arquitectura de defensa por capas, decidir qué herramientas de seguridad implementar en cada nivel y diagnosticar incidentes con precisión. Si tu organización necesita visibilidad y respuesta sobre todas las capas, un SOC as a Service integra monitoreo, detección y respuesta en una sola operación 24/7.