IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 2: Inventario de software, el programa que no sabías que corría

14/07/2026 3 min de lectura Rubén Espinoza

El segundo de los Controles CIS es el gemelo lógico del primero: si el Control 1 es saber qué equipos tienes, el Control 2 es saber qué software corre en ellos. Cada programa instalado —autorizado o no— es una posible puerta de entrada, porque cada uno puede tener vulnerabilidades. El software que nadie inventarió es también el que nadie actualiza, y el que nadie actualiza es el que te van a explotar.

Por qué el software importa tanto como el hardware

Los atacantes rara vez rompen el metal; explotan el software. Una versión vieja de un programa con una vulnerabilidad conocida es una invitación. Y el problema se multiplica con el software que llega sin permiso: el empleado que instaló una utilidad "gratis" de dudosa procedencia, la aplicación que un proveedor dejó, el programa de hace años que ya nadie usa pero sigue instalado, escuchando en la red. Ese software no autorizado (shadow IT) es riesgo puro: no está gestionado, no está parcheado, y a veces ni siquiera es lo que dice ser.

Este control conecta directo con el de gestión de vulnerabilidades: solo puedes parchar lo que sabes que tienes. Un inventario de software es la lista de todo lo que hay que vigilar y mantener al día.

Qué pide en la práctica

  • Inventario del software autorizado en la organización: qué programas, qué versiones, para qué se usan. Y mantenerlo actualizado.
  • Detectar y atender el software no autorizado. Cuando aparece algo que no debería, se remueve o se autoriza formalmente; no se ignora.
  • En niveles más maduros, listas de permitidos (allowlisting): que solo pueda ejecutarse el software aprobado, bloqueando todo lo demás. Es una de las defensas más potentes contra el malware, porque un programa no autorizado simplemente no arranca.

El aterrizaje honesto

Como con el hardware, casi ninguna organización sabe realmente todo lo que tiene instalado hasta que lo revisa, y la lista siempre sorprende: versiones antiguas olvidadas, utilidades que alguien puso, software que se dejó de usar pero nunca se desinstaló. Cada uno es una superficie de ataque que estabas cargando sin saber. El allowlisting suena estricto —y en niveles avanzados lo es—, pero incluso el paso básico de saber qué corre y quitar lo que no debería reduce el riesgo enormemente. Menos software instalado no es solo orden: es menos por donde te pueden atacar.

#ciberseguridad #cis #software #inventario

Preguntas frecuentes

¿Qué es el allowlisting de aplicaciones?

Es una defensa donde solo el software explícitamente aprobado puede ejecutarse, y todo lo demás se bloquea por defecto. Es lo contrario del enfoque tradicional de "bloquear lo malo conocido": aquí se permite solo lo bueno conocido. Es muy efectivo contra el malware, porque un programa no autorizado ni siquiera arranca, aunque requiere disciplina para gestionar la lista de lo permitido.

¿Por qué es un riesgo el software que ya no usamos pero sigue instalado?

Porque sigue presente en el equipo, con sus vulnerabilidades, pero nadie lo mantiene ni lo parcha, ya que se asume que "no se usa". Un atacante puede explotar esa versión vieja y abandonada para entrar. Desinstalar lo que ya no se necesita reduce la superficie de ataque: lo que no está instalado no se puede explotar. El software muerto es un riesgo vivo.

¿Cómo detecto software no autorizado sin revisar equipo por equipo?

Existen herramientas de gestión y descubrimiento que reportan automáticamente qué software está instalado en los equipos de la red, integrándose a menudo con el inventario de activos. Para empezar, muchas plataformas de gestión de endpoints ya ofrecen esta visibilidad. Revisar a mano no escala; el objetivo es tener un inventario que se actualice solo y alerte cuando aparece algo nuevo.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)