16. Shapers ( nuevo 2026)

Los packet shapers (o traffic shapers) son dispositivos o funciones de red que permiten controlar, ordenar y limitar el tráfico que circula por una red de datos. Su objetivo principal es garantizar calidad de servicio (QoS) evitando congestión, priorizando aplicaciones críticas y distribuyendo el ancho de banda de forma eficiente.

A veces se los llama también traffic shaping, traffic policing o administradores de ancho de banda.

¿En que capa trabajan?

NO están en la capa de Aplicación.

Un packet shaper trabaja sobre los paquetes y su tratamiento en tránsito, por lo tanto su lugar correcto es:

  • En el Modelo TCP/IP → Capa de Transporte / Internet / Acceso a red
  • En el Modelo OSI → Capa 3 y Capa 4

En términos prácticos se lo considera en la capa de red / transporte (IP/UDP/TCP).

Porque analiza:

  • IP origen/destino (capa 3)

  • Puertos y protocolos (capa 4)

  • Prioridades, colas y shaping (capa 3 y 4)

Nota: Existen unos  packet shapers con DPI (Deep Packet Inspection) suben parcialmente hacia:

  • Capa 5-7 (Aplicación) para reconocer tráfico (YouTube, Netflix, VPN, etc.)

Pero la función de shaping/cola/prioridad siempre ocurre en Capa 3–4.

¿Qué hacen exactamente?

Un packet shaper:

✔ 1. Controla el ancho de banda

Permite definir cuánto ancho de banda máximo puede utilizar:

    • Un usuario

    • Un servidor

    • Una VLAN

    • Una aplicación (Ej.: YouTube, Netflix, WhatsApp)

    • Un tipo de tráfico (VoIP, navegación, descargas)

✔ 2. Prioriza tráfico importante

Por ejemplo:

    • VoIP, videollamadas, Zoom = alta prioridad

    • Streaming o descargas = baja prioridad

    • Mensajería instantánea = prioridad media

Esto evita que una descarga “coma” el ancho de banda y arruine una llamada de voz o videoconferencia.

✔ 3. Evita congestión

Cuando la red está al límite, el packet shaper:

    • Retrasa paquetes (buffering)

    • Limita velocidad

    • Incluso descarta paquetes no críticos

Esto suaviza picos de tráfico.

✔ 4. Reconoce aplicaciones

Los packet shapers modernos analizan el tráfico mediante:

    • Ports & protocols

    • Deep Packet Inspection (DPI)

Así pueden distinguir:

    • VPN

    • Torrent

    • Facebook

    • TikTok

    • YouTube

    • SSH

    • Juegos online

    • Etc.

Y aplicar reglas específicas.

✔ 5. Cumplimiento y políticas empresariales

Permite bloquear o limitar:

    • Juegos

    • Torrent

    • Streaming

    • Redes sociales

Según las políticas de la organización.


¿¿Cómo identificar aplicaciones si el tráfico está cifrado (TLS/HTTPS/QUIC)??


¿Como lo hacen?

Los equipos modernos utilizan metadatos no cifrados del flujo. No necesitan ver el contenido.

Algunas de las técnicas usadas son  limitación de velocidad (Rate Limit) , Queue Managment (Administración de colas),

Vamos a mencionar someramente 7 técnicas utilizadas.

1. SNI (Server Name Indication) — TLS: 

Cuando un cliente inicia una conexión HTTPS, en el handshake TLS se envía en texto claro el dominio:

www.youtube.com
api.whatsapp.com
video.xx.fbcdn.net

  • Los packet shapers leen ese campo SNI.
  • No rompe cifrado
  • Disponible antes del cifrado TLS
  • 100% legal y estándar
  • Muy útil para YouTube, Netflix, Facebook, WhatsApp

Nota: MikroTik RouterOS v7 también puede leer parcialmente el SNI mediante TLS-Host.

Ejemplo de uso en un firewall (pseudo-regla):

if tls-host contains "googlevideo.com" -> marcar como YouTube

Nota: Técnicas como Encrypted Client Hello pueden ocultar SNI. Clasificación requiere recursos y grandes datasets. DPI puede tener implicancias de privacidad.

2. Análisis del patrón de tráfico (Traffic Behaviour / Heurísticas):

Aunque el paquete esté cifrado, el tamaño, frecuencia y dirección del tráfico revelan mucho. 

Por ejemplo:

  • YouTube/Netflix → ráfagas grandes y constantes
  • WhatsApp → paquetes pequeños y frecuentes
  • Juegos en línea → paquetes muy pequeños y constantes
  • Zoom/Meet → flujo bidireccional sostenido

Muchos packet shapers modernos usan Machine Learning para esto. Usan  modelos matemáticos que determinan cuántos paquetes pueden pasar por intervalo de tiempo.(Token Bucket / Leaky Bucket).

3. IP ranges conocidos de las aplicaciones

Cada servicio grande tiene bloques propios:

  • 142.250.x.x → Google
  • 157.240.x.x → Meta
  • 199.16.x.x → Twitter (X)
  • 23.246.x.x → Netflix
  • 52.x.x.x → Amazon/AWS

Los packet shapers mantienen bases de datos actualizadas (Application Signatures).

Ejemplo MikroTik (no tan sofisticado como Palo Alto, pero sirve):

address-list = youtube
address-list = netflix

Se actualiza desde Internet o manualmente

4. Puerto + protocolo + patrón

Aunque el contenido esté cifrado:

  • QUIC → UDP/443 → YouTube/Google en la mayoría de los casos
  • Interpretación del handshake QUIC
  • Características del flujo (latencia, jitter, tamaño)

5. DNS (cuando no está cifrado)

Incluso si el contenido está cifrado, las consultas DNS no lo están (a menos que uses DoH/DoT).

Un packet shaper puede registrar:

DNS → "youtube.com"

Y luego marcar ese tráfico como video.

6. Deep Packet Inspection (DPI) parcial

La expresión “DPI parcial” aparece mucho hoy en redes porque el cifrado masivo (HTTPS, TLS 1.3, QUIC) impide que los sistemas puedan hacer Deep Packet Inspection completo como antes.

Aunque el baso de datos DPI no puede descifrar TLS, sí puede:

  • Leer el handshake TLS
  • Leer certificados digitales
  • Leer el nombre del emisor del certificado (CN)
  • Leer patrones de QUIC

Ejemplo:

CN=*.whatsapp.net → tráfico WhatsApp
CN=*.googlevideo.com → YouTube

7. Clasificación por comportamiento (Machine Learning / AI)

Equipos de gama alta (Palo Alto, FortiGate, NSX) usan automáticamente:

  • Tiempo entre paquetes
  • Dirección del flujo
  • Ratio de subida/bajada
  • Burst, latencia y jitter
  • Historial de conexiones

Todo cifrado, pero igual identificable.

¿Dónde se usan?

Muchísimos lugares:

  • ISP (proveedores de Internet)
  • Empresas medianas y grandes
  • Universidades y campus WiFi
  • Data centers
  • Redes móviles
  • Redes de hoteles y cafés

¿Es lo mismo que hace un FW?-

La respuesta es NO, aqui va una tabla comparativa:


Productos comerciales

  • Cisco QoS (routers y switches)
  • MikroTik Queue Tree / Simple Queues
  • FortiGate Traffic Shaping
  • Palo Alto QoS Profiles
  • Blue Coat PacketShaper (muy famoso)
  • pfSense Traffic Shaper

Particularmente nos referiremos a la implementación de Shapers con MK.

Implemenación de Shapers con MK.