Curso completo ciberseguridad gratis Controles CIS. Control 7.3

 Estimados amigos de Inseguros !!!

Seguimos con el control 7 de los CIS, gestión continua de vulnerabilidades, y hoy toca el 7.3: realizar escaneos automáticos de vulnerabilidades internas y externas. Esto es de los controles que más rápido te ponen delante la realidad, porque aquí ya no vale “yo creo que”. Aquí es “yo sé”.

Y lo primero que quiero dejar claro: el escaneo no es el objetivo. El objetivo es que no se te acumulen vulnerabilidades como basura debajo de la alfombra. El escaneo es el radar. Si no tienes radar, vuelas a ciegas. Y en ciberseguridad, volar a ciegas es cuestión de tiempo que te la pegues.

Qué significa interno y externo en la práctica

Externo es lo que ve Internet. Tus IPs públicas, tus dominios, tus aplicaciones publicadas, tus VPNs, tus portales, tus servicios expuestos. Si algo está publicado, tarde o temprano lo van a tocar. No porque te tengan manía, sino porque hay bots, hay búsquedas masivas, hay scanners automáticos y hay gente viviendo de encontrar puertas abiertas.

Interno es tu red y tus segmentos. Y aquí hay un error típico: “como es interno, ya está protegido”. No. Interno significa que cuando alguien entra (por phishing, por credenciales, por VPN, por un proveedor…), el siguiente paso es moverse dentro. Y si dentro tienes servicios viejos, SMB mal, TLS viejo, máquinas sin parches, y credenciales rodando… pues ya sabes.

Por eso el 7.3 te obliga a escanear los dos mundos.

Automático significa programado

No es “paso un escáner cuando me acuerdo”.
Es programarlo con frecuencia.
Y la frecuencia depende de tu operación, pero tiene que existir.

Además, tienes que definir alcance. No vale escanear “lo que sea” una vez al año. Lo suyo es que el inventario mande: lo que está en inventario se escanea, lo nuevo se incorpora, y lo crítico tiene más frecuencia o más profundidad.

Herramientas típicas

Aquí la gente suele usar scanners clásicos: Tenable/Nessus, Qualys, Rapid7, OpenVAS, etc. Y está bien, porque cubren mucho y te dan una foto bastante buena. Pero cuidado: un escáner no sustituye a un programa. Si no tienes 7.1 y 7.2, el 7.3 solo te va a dar un informe que te deprime.

También hay que entender limitaciones: hay cosas que el escáner no ve bien sin credenciales (escaneo autenticado), y hay cosas que no debería tocar sin cuidado (equipos industriales, sistemas sensibles, horarios de producción). Por eso, el escaneo automático tiene que estar gobernado: qué se escanea, cómo, con qué ventanas, y con qué permisos.

Una práctica que funciona muy bien es combinar escaneo externo desde fuera (para ver lo que ve un atacante) con escaneo interno autenticado (para ver lo que realmente hay instalado). Ahí es donde sacas oro: versiones, parches faltantes, configuraciones débiles, y exposición real.

Y ojo con cloud

Hoy “interno” y “externo” no es solo red física. En cloud tienes recursos que nacen y mueren en horas. Máquinas, contenedores, servicios gestionados. Si no estás integrando inventario cloud y escaneo (o evaluación de postura), vas tarde. Aquí entran herramientas de CSPM y evaluaciones nativas del proveedor, pero el concepto CIS sigue siendo el mismo: automatiza la detección.

El 7.3, bien hecho, te ayuda a tener un mapa continuo de riesgo técnico. Y cuando lo conectas con tu proceso de remediación (7.2), ya puedes operar con prioridades, con SLAs, con métricas, y con mejora continua. Eso es lo que hace que un programa de gestión de vulnerabilidades sea sostenible.

Si quieres aprender a montar escaneos automáticos internos y externos con mentalidad de empresa (alcance, autenticación, ventanas, priorización y conexión con remediación), pásate por www.seguridadsi.com y mira los cursos de ciberseguridad online para profesionales que tenemos en la academia. Esto es justo lo que marca la diferencia entre “paso un Nessus” y “tengo un programa que funciona”.

Gracias por leerme !!!