IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 1: Inventario de activos, no puedes proteger lo que no sabes que tienes

14/07/2026 3 min de lectura Rubén Espinoza

Es revelador que el primero de los 18 Controles CIS no sea una tecnología deslumbrante, sino la tarea más humilde de todas: saber qué equipos tienes conectados a tu red. Servidores, computadoras, laptops, celulares, impresoras, cámaras, dispositivos de red. El Control 1 pide un inventario de activos de hardware actualizado, y ocupa el primer lugar por una razón de hierro: no puedes proteger lo que no sabes que existe.

Por qué es el número uno

Piénsalo desde el lado del atacante. Su forma más fácil de entrar no es venciendo tu mejor defensa: es encontrando el equipo que no sabías que estaba ahí. La laptop vieja que alguien reconectó, el servidor de pruebas que quedó olvidado, el dispositivo que un proveedor instaló y nadie registró, esa cámara IP con la contraseña de fábrica. Cada activo que no está en tu inventario es un punto ciego, y los puntos ciegos no reciben parches, ni configuración segura, ni monitoreo, porque nadie sabe que hay que dárselos. El atacante busca exactamente eso.

Por eso todos los demás controles dependen de este. ¿Cómo vas a parchar lo que no sabes que tienes? ¿Cómo vas a configurarlo con seguridad? El inventario es el cimiento sobre el que se para todo lo demás.

Qué pide en la práctica

  • Un inventario completo y actualizado de todos los dispositivos conectados, con datos útiles: qué es, quién lo usa, dónde está, su dirección de red.
  • Descubrimiento activo. No basta con una lista escrita a mano que envejece; se usan herramientas que descubren lo que hay en la red, para atrapar lo que se conecta sin avisar.
  • Atender lo no autorizado. Cuando aparece un equipo desconocido, hay un proceso: identificarlo y, o bien incorporarlo formalmente, o bien retirarlo. Un dispositivo no autorizado en la red es una alerta, no un detalle.

El aterrizaje honesto

La mayoría de las empresas creen que saben qué tienen, y casi ninguna acierta cuando lo verifica. Aparecen equipos fantasma, dispositivos que nadie recuerda, cosas conectadas "temporalmente" hace tres años. Ese descubrimiento incómodo es el valor del control: cada sorpresa que encuentras es un riesgo que estabas corriendo a ciegas. No necesitas empezar con una plataforma cara; puedes empezar con una hoja de cálculo honesta y disciplina, y madurar hacia el descubrimiento automático. Lo desarrollamos en inventario de activos de TI: no es glamoroso, pero es el primer paso que hace posibles todos los demás.

#ciberseguridad #cis #inventario #activos

Preguntas frecuentes

¿Un inventario en hoja de cálculo es suficiente?

Para empezar, sí es infinitamente mejor que nada, y para organizaciones pequeñas puede bastar un tiempo. Su límite es que envejece: la gente conecta y desconecta equipos sin actualizarla. Por eso el control recomienda avanzar hacia el descubrimiento automático, que detecta lo que aparece en la red sin depender de que alguien lo anote. Empieza por la hoja, madura hacia la herramienta.

¿Por qué importa tanto un equipo "olvidado" si nadie lo usa?

Precisamente porque nadie lo cuida. Un equipo olvidado no recibe parches, mantiene configuraciones y contraseñas viejas, y no está monitoreado, así que un atacante puede comprometerlo sin que nadie lo note y usarlo como puerta de entrada al resto de la red. Los activos sin dueño ni vigilancia son de los vectores más aprovechados. Que "nadie lo use" no significa que nadie lo pueda usar en tu contra.

¿Esto incluye celulares y dispositivos personales?

Todo lo que se conecta a tu red o accede a tus recursos cuenta, incluidos móviles, dispositivos de red, impresoras y equipos de terceros. Los dispositivos personales que acceden a datos de la empresa entran en la conversación y suelen gestionarse con políticas específicas. La regla es simple: si puede tocar tus datos o tu red, debe estar en tu radar.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)