El control número doce de los CIS apunta a lo que suele ser el rincón más descuidado de la seguridad: la infraestructura de red —routers, switches, firewalls, puntos de acceso—. El problema cultural es que estos equipos se instalan una vez, funcionan, y se olvidan durante años, como si fueran muebles. Pero no son muebles: son computadoras con su software, sus vulnerabilidades y sus configuraciones, y controlan el flujo de toda tu red. El Control 12 pide gestionarlos con la misma seriedad que a cualquier servidor.
Por qué la red olvidada es peligrosa
Comprometer un equipo de red es especialmente valioso para un atacante, porque desde ahí puede ver o desviar el tráfico de todos. Y esos equipos suelen estar llenos de descuidos justamente porque "llevan años funcionando sin tocarlos": firmware viejo con vulnerabilidades conocidas, contraseñas de fábrica nunca cambiadas, configuraciones que se fueron parchando a mano sin documentar, reglas de firewall que envejecieron mal. Cada uno de esos descuidos es una puerta, y están en el equipo con la mejor vista de toda tu red.
Qué pide en la práctica
- Mantener actualizado el firmware de los equipos de red: son software y tienen vulnerabilidades como cualquier otro.
- Configuración segura y documentada: credenciales robustas, servicios de administración protegidos, y un registro de cómo está configurado cada equipo (para saber qué es normal y detectar cambios).
- Arquitectura ordenada: segmentación de la red, gestión centralizada donde sea posible, y separar el acceso administrativo de la red normal.
- Diagramas actualizados: saber cómo está armada tu red, algo que se apoya en entender bien los fundamentos de redes.
El aterrizaje honesto
El enemigo aquí es el "si funciona, no lo toques", una filosofía comprensible para la operación pero peligrosa para la seguridad. Un switch que lleva cinco años sin actualizar funciona, sí, y también acumula cinco años de vulnerabilidades sin parchar. Tratar la infraestructura de red como lo que es —sistemas que requieren mantenimiento continuo, no muebles que se instalan y se olvidan— es un cambio de mentalidad que cierra una de las puertas más valiosas para un atacante y más ignoradas por las organizaciones.