Cuando una instancia EC2 no responde al intentar acceder por su IP pública, el primer sospechoso es casi siempre el grupo de seguridad. Aquí vas a ver cómo diagnosticar y resolver ese bloqueo editando las reglas de entrada en AWS, una habilidad clave para tu certificación y tu trabajo diario con redes en la nube.

Por qué tu instancia EC2 no responde en la IP pública

Imagina que un compañero te escribe diciendo que no puede entrar al servidor que desplegaste ayer. Vas a la consola de EC2, copias la IP pública, la pegas en el navegador con http:// adelante, y el sitio simplemente no carga. Tarda, gira, y nada.

Antes de pensar en problemas del sistema operativo o del servidor web, conviene revisar la capa de red. El Security Group asociado a la instancia funciona como un firewall virtual y, si no tiene una regla que permita tráfico HTTP entrante, ningún navegador va a poder llegar al servicio.

¿Qué es un Security Group en AWS? Es un firewall virtual que controla el tráfico de entrada y salida de una instancia EC2. Filtra por protocolo, puerto y origen, y permite o bloquea conexiones según las reglas que tú definas.

Cómo editar las reglas de entrada de un grupo de seguridad

El flujo para resolver el bloqueo es directo y se hace completamente desde la consola de AWS.

1. Entra al servicio EC2 y selecciona la instancia pública afectada.
2. Abre la pestaña Security y haz clic en el grupo de seguridad asociado.
3. Edita las reglas de entrada (inbound rules) y agrega una nueva.
4. Elige tipo HTTP, lo que autocompleta protocolo TCP y puerto 80.
5. Define el bloque CIDR de origen y guarda la regla.

Una vez guardada, vuelves al navegador, recargas la IP pública con http:// y el servidor responde. El problema no estaba en el servicio, estaba en que nadie tenía permiso para tocar la puerta.

Qué es el bloque CIDR y cómo elegirlo

El bloque CIDR es la notación que define qué rango de direcciones IP puede conectarse a tu instancia. Si eliges 0.0.0.0/0 estás abriendo el puerto a todo Internet, lo cual sirve para pruebas rápidas pero es poco recomendable en producción.

La práctica recomendada es ser restrictivo: usar el rango de IPs de tu oficina, de tu VPN o de un servicio específico. Esa granularidad reduce la superficie de ataque sin sacrificar funcionalidad.

¿0.0.0.0/0 es seguro? No para entornos productivos. Permite conexiones desde cualquier IP del mundo. Úsalo solo para pruebas y reemplázalo por bloques CIDR específicos en cuanto puedas.

Cuál es la diferencia entre Security Groups y Network ACLs

Ambos actúan como cortafuegos virtuales dentro de AWS, pero operan en niveles distintos y conviene tenerlos claros para la certificación.

• Los Security Groups se aplican a nivel de instancia y son stateful, es decir, recuerdan las conexiones permitidas y dejan pasar la respuesta automáticamente.
• Las Network ACLs se aplican a nivel de subred y son stateless, lo que obliga a definir reglas explícitas tanto de entrada como de salida.
• Los Security Groups solo permiten reglas de allow, mientras que las ACLs permiten reglas de allow y deny.

Esta combinación te da granularidad real: puedes filtrar tráfico amplio en la subred y luego ajustar permisos finos por instancia. Así proteges tus recursos de cómputo en capas, que es la lógica detrás de cualquier arquitectura segura en la nube.

Y ahora cuéntame, ¿en qué escenarios usarías un Security Group y en cuáles preferirías una Network ACL?