{"id":29622,"date":"2026-04-01T09:03:55","date_gmt":"2026-04-01T07:03:55","guid":{"rendered":"https:\/\/contabo.com\/blog\/como-cambiar-el-puerto-ssh-en-linux\/"},"modified":"2026-04-10T14:46:52","modified_gmt":"2026-04-10T12:46:52","slug":"como-cambiar-el-puerto-ssh-en-linux","status":"publish","type":"post","link":"https:\/\/contabo.com\/blog\/es\/como-cambiar-el-puerto-ssh-en-linux\/","title":{"rendered":"C\u00f3mo cambiar el puerto SSH en Linux"},"content":{"rendered":"\n
\"C\u00f3mo<\/figure>\n\n\n\n

Todos los bots en internet saben que SSH funciona en el puerto 22. Es la primera puerta a la que llaman. A los pocos minutos de poner en marcha un servidor Linux nuevo, ver\u00e1s intentos de inicio de sesi\u00f3n desde IPs de las que nunca has o\u00eddo hablar, atacando sin parar el puerto SSH predeterminado con ataques de diccionario. Los registros se llenan r\u00e1pidamente.<\/p>\n\n\n\n

Cambiar el puerto SSH predeterminado no har\u00e1 que tu servidor sea invencible. Quede claro. Pero elimina la gran mayor\u00eda del ruido automatizado de fuerza bruta, y solo eso ya justifica los dos minutos que te lleva hacerlo. Pi\u00e9nsalo como si movieras la puerta principal a una calle lateral por la que los atacantes novatos ni siquiera se molestan en pasar.<\/p>\n\n\n\n

Esta gu\u00eda te lleva paso a paso por todo el proceso: elegir un nuevo puerto, editar sshd_config, actualizar las reglas de tu firewall, reiniciar el servicio y confirmar que todo funciona correctamente. Nada complicado. Solo los comandos que necesitas en un VPS Linux.<\/p>\n\n\n\n

Elegir un nuevo n\u00famero de puerto SSH<\/h2>\n\n\n\n

Antes de tocar cualquier archivo de configuraci\u00f3n, necesitas decidir a qu\u00e9 puerto vas a mover SSH. Elige uno incorrecto y entrar\u00e1s en conflicto con otro servicio. Elige algo obvio y habr\u00e1s perdido el tiempo.<\/p>\n\n\n\n

Aqu\u00ed tienes una referencia r\u00e1pida de puertos SSH comunes y de los puertos bien conocidos que debes evitar absolutamente:<\/p>\n\n\n\n

Puerto<\/strong><\/td>Servicio<\/strong><\/td>Protocolo<\/strong><\/td><\/tr>
20\/21<\/td>FTP<\/td>TCP<\/td><\/tr>
22<\/td>SSH<\/td>TCP<\/td><\/tr>
23<\/td>Telnet<\/td>TCP<\/td><\/tr>
25<\/td>SMTP<\/td>TCP<\/td><\/tr>
53<\/td>DNS<\/td>TCP\/UDP<\/td><\/tr>
80<\/td>HTTP<\/td>TCP<\/td><\/tr>
110<\/td>POP3<\/td>TCP<\/td><\/tr>
143<\/td>IMAP<\/td>TCP<\/td><\/tr>
443<\/td>HTTPS<\/td>TCP<\/td><\/tr>
3306<\/td>MySQL<\/td>TCP<\/td><\/tr>
8080<\/td>HTTP alternativo<\/td>TCP<\/td><\/tr>
8443<\/td>HTTPS alternativo<\/td>TCP<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

El rango de puertos bien conocidos abarca del 0 al 1023. Estos pertenecen a servicios privilegiados, y tu sistema operativo espera que sigan siendo as\u00ed. El rango de puertos registrados, del 1024 al 49151, alberga cosas como bases de datos, servidores de aplicaciones y otro software que ya ha reclamado su espacio.<\/p>\n\n\n\n

Tu mejor opci\u00f3n es el rango de puertos din\u00e1micos o privados: 49152 a 65535. Ah\u00ed no hay nada preasignado. Elige algo aleatorio dentro de ese rango \u2014como 51832 o 62419\u2014 y es poco probable que tengas un conflicto. Evita elecciones \u00abingeniosas\u00bb como 2222 o 2200. Esos son los segundos que los atacantes revisan despu\u00e9s del 22.<\/p>\n\n\n\n

C\u00f3mo cambiar el puerto SSH predeterminado<\/h2>\n\n\n\n

Ya tienes tu n\u00famero de puerto. Ahora vamos a cambiarlo de verdad. El proceso es el mismo tanto si est\u00e1s en Ubuntu, Debian, CentOS o cualquier otra distribuci\u00f3n Linux convencional. Son cinco pasos, y deber\u00edas dejar tu sesi\u00f3n SSH actual abierta durante todo el proceso. Si algo sale mal, esa sesi\u00f3n abierta es tu salvavidas.<\/p>\n\n\n\n

Con\u00e9ctate a tu servidor a trav\u00e9s de SSH<\/h3>\n\n\n\n

Abre una terminal. En macOS o Linux, viene integrada en el sistema. En Windows, descarga PuTTY o usa el cliente OpenSSH integrado si est\u00e1s en Windows 10 o superior. Ejecuta el comando de inicio de sesi\u00f3n SSH:<\/p>\n\n\n\n

ssh username@server_ip<\/code><\/pre>\n\n\n\n
Introduce tu contrase\u00f1a cuando se te pida. Si ya has configurado la autenticaci\u00f3n con clave SSH (y deber\u00edas hacerlo), iniciar\u00e1 sesi\u00f3n directamente. En cualquier caso, obt\u00e9n una shell de root o aseg\u00farate de que puedes ejecutar sudo. Necesitar\u00e1s privilegios elevados para todo lo que sigue.<\/p>\n\n\n\n
Edita el archivo sshd_config<\/h3>\n\n\n\n
El comportamiento del demonio SSH est\u00e1 controlado por un \u00fanico archivo de configuraci\u00f3n. \u00c1brelo:<\/p>\n\n\n\n
sudo nano \/etc\/ssh\/sshd_config<\/code><\/pre>\n\n\n\n
Despl\u00e1zate hasta que encuentres la l\u00ednea que dice #Port 22. El s\u00edmbolo de almohadilla significa que est\u00e1 comentada, y SSH est\u00e1 usando impl\u00edcitamente el puerto predeterminado 22. Elimina # y cambia 22 por el n\u00famero de puerto que hayas elegido:<\/p>\n\n\n\n
Port 51832<\/code><\/pre>\n\n\n\n
Eso es todo en cuanto al archivo de configuraci\u00f3n de SSH. Guarda y sal de nano con Ctrl+X, luego Y y despu\u00e9s Enter. En algunos sistemas Ubuntu m\u00e1s recientes (22.10+), SSH puede usar en su lugar una configuraci\u00f3n basada en sockets. Si el cambio en sshd_config no se mantiene, revisa los archivos de anulaci\u00f3n en \/etc\/ssh\/sshd_config.d\/ o la configuraci\u00f3n de activaci\u00f3n de sockets de systemd.<\/p>\n\n\n\n
Actualiza las reglas del firewall para el nuevo puerto<\/h3>\n\n\n\n
Aqu\u00ed es donde la gente se bloquea a s\u00ed misma. Le has indicado a SSH que escuche en un nuevo puerto, pero tu firewall sigue permitiendo tr\u00e1fico solo en el 22. Si reinicias SSH ahora, est\u00e1s acabado. Te quedar\u00e1s bloqueado fuera. Fin del juego.<\/p>\n\n\n\n
Si est\u00e1s usando UFW (el est\u00e1ndar en Ubuntu y Debian), permite primero tu nuevo puerto:<\/p>\n\n\n\n
sudo ufw allow 51832\/tcp<\/code><\/pre>\n\n\n\n
Recarga para aplicar los cambios:<\/p>\n\n\n\n
sudo ufw reload<\/code><\/pre>\n\n\n\n
Verifica que las reglas del firewall UFW est\u00e9n en su lugar:<\/p>\n\n\n\n
sudo ufw status<\/code><\/pre>\n\n\n\n
Deber\u00edas ver tu nuevo puerto listado como ALLOW. Si est\u00e1s usando firewalld<\/strong> (com\u00fan en CentOS\/RHEL), el equivalente es:<\/p>\n\n\n\n
sudo firewall-cmd --permanent --add-port=51832\/tcp && sudo firewall-cmd --reload<\/code><\/pre>\n\n\n\n
Si nunca has configurado ninguna regla de firewall y ufw status muestra \u00abinactive\u00bb, puedes omitir este paso. Pero probablemente deber\u00edas solucionar eso pronto. Ejecutar un servidor sin firewall es buscar problemas.<\/p>\n\n\n\n
Reinicia el servicio SSH<\/h3>\n\n\n\n
Ahora aplica la nueva configuraci\u00f3n reiniciando el demonio SSH. En cualquier distribuci\u00f3n moderna que use systemd:<\/p>\n\n\n\n
sudo systemctl restart sshd<\/code><\/pre>\n\n\n\n
En sistemas m\u00e1s antiguos que todav\u00eda usan SysVinit:<\/p>\n\n\n\n
sudo service ssh restart<\/code><\/pre>\n\n\n\n
Comprueba que el reinicio se haya realizado correctamente:<\/p>\n\n\n\n
sudo systemctl status sshd<\/code><\/pre>\n\n\n\n
Deber\u00edas ver \u00abactive (running)\u00bb sin errores. Si fall\u00f3, tienes un error tipogr\u00e1fico en sshd_config. Vuelve atr\u00e1s y arr\u00e9glalo. Tu sesi\u00f3n actual sigue activa, as\u00ed que a\u00fan puedes hacer cambios.<\/p>\n\n\n\n
Verifica que el nuevo puerto SSH est\u00e9 activo<\/h3>\n\n\n\n
No des nada por sentado: verifica que el reinicio funcion\u00f3. Hay dos cosas que debes comprobar: que el puerto est\u00e9 abierto y que realmente puedas conectarte a trav\u00e9s de \u00e9l.<\/p>\n\n\n\n
Comprueba el puerto con ss o netstat<\/h4>\n\n\n\n
El comando ss es el reemplazo moderno de netstat en Linux. Ejecuta:<\/p>\n\n\n\n
ss -tuln | grep 51832<\/code><\/pre>\n\n\n\n
Deber\u00edas ver una entrada LISTEN en tu puerto. Si prefieres el m\u00e9todo m\u00e1s antiguo con netstat:<\/p>\n\n\n\n
netstat -tuln | grep 51832<\/code><\/pre>\n\n\n\n
El mismo resultado, herramienta diferente. Si no aparece nada, SSH no est\u00e1 escuchando en ese puerto. Vuelve al archivo sshd_config y revisa bien tu cambio.<\/p>\n\n\n\n
Inicia sesi\u00f3n usando el nuevo puerto SSH<\/h4>\n\n\n\n
Abre una ventana de terminal nueva. No cierres tu sesi\u00f3n actual. Prueba la conexi\u00f3n usando el par\u00e1metro -p:<\/p>\n\n\n\n
ssh -p 51832 username@server_ip<\/code><\/pre>\n\n\n\n
Si obtienes una shell, todo funciona correctamente. El cambio del puerto SSH funcion\u00f3. Si la conexi\u00f3n se queda colgada o es rechazada, algo est\u00e1 mal con tus reglas del firewall o con la edici\u00f3n de sshd_config. Tu sesi\u00f3n anterior sigue abierta, as\u00ed que ve a solucionar el problema.<\/p>\n\n\n\n
Una vez que hayas confirmado que el nuevo puerto funciona, puedes eliminar opcionalmente la regla del puerto 22 de tu firewall:<\/p>\n\n\n\n
sudo ufw deny 22\/tcp && sudo ufw reload<\/code><\/pre>\n\n\n\n
Haz esto solo despu\u00e9s de estar 100 % seguro de que el nuevo puerto est\u00e1 funcionando. No hay forma de deshacerlo si te quedas bloqueado fuera.<\/p>\n\n\n\n
Preguntas frecuentes sobre el cambio de puerto SSH<\/h2>\n\n\n\n
\u00bfPor qu\u00e9 cambiar el puerto SSH predeterminado?<\/strong> 
Los ataques automatizados de fuerza bruta contra SSH apuntan al puerto 22 de forma predeterminada. Miles de bots escanean rangos completos de direcciones IP buscando esa puerta abierta. Moverlo a un puerto no est\u00e1ndar no detiene a un atacante decidido que ejecute un an\u00e1lisis completo de puertos, pero elimina el \u00abruido\u00bb automatizado. Tus registros de autenticaci\u00f3n se vuelven m\u00e1s tranquilos. Tu fail2ban deja de trabajar en exceso. Es una higiene b\u00e1sica de seguridad combinada con medidas adecuadas como la autenticaci\u00f3n con clave SSH y deshabilitar el inicio de sesi\u00f3n de root.<\/p> <\/div> 
\u00bfCu\u00e1l es el mejor puerto para SSH?<\/strong> 
Cualquiera en el rango de 49152 a 65535 que puedas recordar. Evita puertos \u00abcreativos\u00bb como 2222, 8022 o 443 (que entra en conflicto con HTTPS). El n\u00famero de puerto SSH que elijas no importa mucho siempre que no sea un puerto bien conocido, que no est\u00e9 siendo usado por otro servicio en tu servidor y que no sea algo que un atacante adivinar\u00eda en su segundo intento. Un n\u00famero aleatorio es bueno. An\u00f3talo en un lugar seguro.<\/p> <\/div> 
\u00bfCambiar el puerto SSH afecta al rendimiento?<\/strong> 
No. Cero impacto. Est\u00e1s cambiando qu\u00e9 puerta numerada atiende el demonio SSH, no c\u00f3mo procesa las conexiones. El cifrado, el protocolo de enlace y la transferencia de datos funcionan exactamente igual independientemente del puerto. El rendimiento de tu servidor Linux se mantiene exactamente igual. Lo \u00fanico que cambia es el punto de entrada y el hecho de que tu servidor deja de aparecer en an\u00e1lisis de puertos poco exhaustivos que apuntan al puerto SSH predeterminado.<\/p> <\/div> <\/div>\n","protected":false},"excerpt":{"rendered":"
Todos los bots en internet saben que SSH funciona en el puerto 22. Es la primera puerta a la que llaman. A los pocos minutos de poner en marcha un servidor Linux nuevo, ver\u00e1s intentos de inicio de sesi\u00f3n desde IPs de las que nunca has o\u00eddo hablar, atacando sin parar el puerto SSH predeterminado […]<\/p>\n","protected":false},"author":44,"featured_media":28875,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"_uag_custom_page_level_css":"","site-sidebar-layout":"default","site-content-layout":"","ast-site-content-layout":"default","site-content-style":"default","site-sidebar-style":"default","ast-global-header-display":"","ast-banner-title-visibility":"","ast-main-header-display":"","ast-hfb-above-header-display":"","ast-hfb-below-header-display":"","ast-hfb-mobile-header-display":"","site-post-title":"","ast-breadcrumbs-content":"","ast-featured-img":"","footer-sml-layout":"","theme-transparent-header-meta":"","adv-header-id-meta":"","stick-header-meta":"","header-above-stick-meta":"","header-main-stick-meta":"","header-below-stick-meta":"","astra-migrate-meta-layouts":"set","ast-page-background-enabled":"default","ast-page-background-meta":{"desktop":{"background-color":"var(--ast-global-color-4)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"ast-content-background-meta":{"desktop":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"tablet":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""},"mobile":{"background-color":"var(--ast-global-color-5)","background-image":"","background-repeat":"repeat","background-position":"center center","background-size":"auto","background-attachment":"scroll","background-type":"","background-media":"","overlay-type":"","overlay-color":"","overlay-opacity":"","overlay-gradient":""}},"footnotes":""},"categories":[1988],"tags":[],"ppma_author":[3402],"class_list":["post-29622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tutoriales"],"uagb_featured_image_src":{"full":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false],"thumbnail":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server-150x150.webp",150,150,true],"medium":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server-600x315.webp",600,315,true],"medium_large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server-768x403.webp",768,403,true],"large":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false],"1536x1536":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false],"2048x2048":["https:\/\/contabo.com\/blog\/wp-content\/uploads\/2026\/03\/blog-head_how2-change-the-ssh-port-on-a-linux-server.webp",1200,630,false]},"uagb_author_info":{"display_name":"Milan Ivanovic","author_link":"https:\/\/contabo.com\/blog\/es\/author\/milan\/"},"uagb_comment_info":0,"uagb_excerpt":"Todos los bots en internet saben que SSH funciona en el puerto 22. Es la primera puerta a la que llaman. A los pocos minutos de poner en marcha un servidor Linux nuevo, ver\u00e1s intentos de inicio de sesi\u00f3n desde IPs de las que nunca has o\u00eddo hablar, atacando sin parar el puerto SSH predeterminado…","authors":[{"term_id":3402,"user_id":0,"is_guest":1,"slug":"contabro","display_name":"ContaBro","avatar_url":"https:\/\/secure.gravatar.com\/avatar\/?s=96&d=mm&r=g","0":null,"1":"","2":"","3":"","4":"","5":"","6":"","7":"","8":""}],"_links":{"self":[{"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/posts\/29622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/users\/44"}],"replies":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/comments?post=29622"}],"version-history":[{"count":26,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/posts\/29622\/revisions"}],"predecessor-version":[{"id":29898,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/posts\/29622\/revisions\/29898"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/media\/28875"}],"wp:attachment":[{"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/media?parent=29622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/categories?post=29622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/tags?post=29622"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/contabo.com\/blog\/es\/wp-json\/wp\/v2\/ppma_author?post=29622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}