Puerto 2375: qué lo usa y ¿es seguro cerrarlo?

El puerto 2375 es la API remota del daemon de Docker sobre HTTP sin cifrar. Existe para que otras máquinas puedan controlar Docker, pero como no tiene cifrado ni autenticación, un 2375 abierto es una de las cosas más peligrosas que puedes tener escuchando.

Qué suele escuchar en el puerto 2375

• Daemon de Docker (API remota): Activar explícitamente el socket TCP en el 2375 expone el daemon.
• Malas configuraciones de CI y herramientas: Algunas configuraciones abren el 2375 por comodidad, muchas veces sin darse cuenta del riesgo.

En una Mac, Docker Desktop normalmente se comunica con el daemon a través de un socket Unix local, no por el 2375, así que este puerto suele estar cerrado a menos que algo lo haya activado. El equivalente cifrado y con autenticación es el 2376.

¿Es seguro cerrarlo?

Sí, y por lo general deberías hacerlo. macOS y Docker Desktop no necesitan el 2375 para el uso normal. Si está escuchando, fue una configuración que lo activó explícitamente. Desactiva el socket TCP en los ajustes de tu daemon de Docker para cerrarlo.

¿Es sospechoso?

Este es un puerto donde un listener inesperado es una señal de alarma genuina. Un 2375 abierto y sin autenticación le da a cualquiera que pueda alcanzarlo el control total de Docker, lo que equivale a tener root en la máquina. Ha sido ampliamente abusado para desplegar mineros de criptomonedas y malware. Si ves el 2375 escuchando y no lo configuraste a propósito, trátalo como algo urgente: identifica la fuente y ciérralo.

Cómo ver qué usa el puerto 2375 en macOS

lsof -i :2375

Para comprobar si es accesible desde fuera, escanea la dirección de red del host con un escáner de puertos.

Portie muestra el puerto 2375 con el proceso que lo posee de forma local, y su escáner remoto puede comprobar si un host está exponiendo la API de Docker donde no debería.