El decimoctavo y último Control CIS es el que cierra el círculo, y tiene una lógica valiente: la única forma de saber de verdad si tus defensas funcionan es ponerlas a prueba contra un ataque real. Las pruebas de penetración (pentesting) consisten en contratar a alguien —un profesional ético— para que intente entrar en tus sistemas como lo haría un atacante, y te reporte todos los huecos que encontró. Es atacarte tú mismo, en condiciones controladas, para descubrir tus debilidades antes de que las descubra alguien con malas intenciones.
Por qué va al final (y por qué importa)
El pentesting es el control 18 por una razón de fondo: no tiene mucho sentido contratar un ataque simulado si aún no has hecho lo básico —te dirá lo que ya sabías, que te falta todo—. Primero implementas los controles fundamentales; luego pruebas si de verdad funcionan como crees. Y ese "como crees" es la clave: hay una distancia enorme entre pensar que estás protegido y comprobarlo. Un pentest cierra esa distancia con evidencia. Encuentra las combinaciones de descuidos que ninguna revisión teórica ve, los huecos reales que un atacante aprovecharía. Es la diferencia entre creer que tu cerradura es buena y contratar a un cerrajero para que intente abrirla —lo desarrollamos en pentesting sin miedo.
Qué pide en la práctica
- Pruebas de penetración periódicas realizadas por profesionales, con un alcance definido y las reglas claras.
- Probar lo que importa: sistemas expuestos, aplicaciones críticas, y a veces el factor humano (ingeniería social) según el alcance.
- Y lo más importante: actuar sobre los hallazgos. Un pentest cuyos hallazgos no se corrigen es dinero tirado. El valor no está en el reporte, sino en cerrar lo que reveló.
El aterrizaje honesto
Dos advertencias. Una: el pentesting es para organizaciones que ya tienen una base; si nunca has hecho lo elemental, empieza por ahí, no por pagar un ataque que solo confirmará lo obvio. Dos: un pentest es una foto de un momento, no una garantía permanente —tu entorno cambia, y por eso se repite periódicamente—. Bien usado, es la validación honesta de todo el trabajo anterior: la prueba de que los otros 17 controles no solo están en papel, sino que aguantan. Cerrar la lista de los CIS con "y ahora, compruébalo de verdad" es una lección en sí misma: en seguridad, lo que no se prueba, no se sabe. Y ahora que recorriste los 18, el siguiente paso no es hacerlos todos de golpe, sino saber dónde estás y avanzar por prioridad.