El segundo de los Controles CIS es el gemelo lógico del primero: si el Control 1 es saber qué equipos tienes, el Control 2 es saber qué software corre en ellos. Cada programa instalado —autorizado o no— es una posible puerta de entrada, porque cada uno puede tener vulnerabilidades. El software que nadie inventarió es también el que nadie actualiza, y el que nadie actualiza es el que te van a explotar.
Por qué el software importa tanto como el hardware
Los atacantes rara vez rompen el metal; explotan el software. Una versión vieja de un programa con una vulnerabilidad conocida es una invitación. Y el problema se multiplica con el software que llega sin permiso: el empleado que instaló una utilidad "gratis" de dudosa procedencia, la aplicación que un proveedor dejó, el programa de hace años que ya nadie usa pero sigue instalado, escuchando en la red. Ese software no autorizado (shadow IT) es riesgo puro: no está gestionado, no está parcheado, y a veces ni siquiera es lo que dice ser.
Este control conecta directo con el de gestión de vulnerabilidades: solo puedes parchar lo que sabes que tienes. Un inventario de software es la lista de todo lo que hay que vigilar y mantener al día.
Qué pide en la práctica
- Inventario del software autorizado en la organización: qué programas, qué versiones, para qué se usan. Y mantenerlo actualizado.
- Detectar y atender el software no autorizado. Cuando aparece algo que no debería, se remueve o se autoriza formalmente; no se ignora.
- En niveles más maduros, listas de permitidos (allowlisting): que solo pueda ejecutarse el software aprobado, bloqueando todo lo demás. Es una de las defensas más potentes contra el malware, porque un programa no autorizado simplemente no arranca.
El aterrizaje honesto
Como con el hardware, casi ninguna organización sabe realmente todo lo que tiene instalado hasta que lo revisa, y la lista siempre sorprende: versiones antiguas olvidadas, utilidades que alguien puso, software que se dejó de usar pero nunca se desinstaló. Cada uno es una superficie de ataque que estabas cargando sin saber. El allowlisting suena estricto —y en niveles avanzados lo es—, pero incluso el paso básico de saber qué corre y quitar lo que no debería reduce el riesgo enormemente. Menos software instalado no es solo orden: es menos por donde te pueden atacar.