El cuarto Control CIS ataca uno de los agujeros más subestimados: los equipos y el software vienen configurados de fábrica para ser fáciles de usar, no para ser seguros. Contraseñas por defecto que todo el mundo conoce, servicios y puertos abiertos que no necesitas, funciones activadas "por si acaso", cuentas de ejemplo. El Control 4 pide lo obvio que casi nadie hace: endurecer (hardening) la configuración antes de poner algo en producción, en lugar de dejarlo tal como llegó.
Por qué la configuración por defecto es un riesgo
El fabricante tiene un incentivo comprensible: que su producto funcione a la primera, sin fricción. Por eso lo entrega abierto y permisivo. El problema es que "abierto y permisivo" es exactamente lo que un atacante ama. La contraseña de fábrica de una cámara, un router o un panel de administración es de conocimiento público —hay listas enteras— y es una de las formas más fáciles y comunes de comprometer un dispositivo. Los servicios innecesarios que quedan encendidos son puertas de más. Cada opción por defecto que no revisaste es una decisión de seguridad que tomó alguien que no te conoce y no responde por ti.
Qué pide en la práctica
- Configuraciones seguras de base (baselines): un estándar de cómo debe quedar configurado cada tipo de equipo y software antes de usarse. CIS incluso publica guías de referencia (los CIS Benchmarks) para muchos sistemas.
- Cambiar todas las credenciales por defecto, sin excepción. Es de lo más básico y de lo más ignorado.
- Desactivar servicios, cuentas y funciones innecesarias: menos cosas activas, menos superficie de ataque.
- Gestionar la configuración en el tiempo: que se mantenga segura y no se degrade con cambios improvisados.
El aterrizaje honesto
Este control no requiere comprar nada; requiere disciplina. La mayoría de las brechas por configuración no vienen de un ataque sofisticado, sino de un descuido evitable: la contraseña que nadie cambió, el puerto que quedó abierto, la función que nadie desactivó. Endurecer no es glamoroso y no se ve en una demo, pero cierra puertas que el atacante prueba primero justamente porque sabe que casi nadie las cerró. Es una de las mayores relaciones costo-beneficio de toda la seguridad: esfuerzo modesto, riesgo eliminado. Empezar por cambiar credenciales de fábrica y apagar lo que no usas ya te pone por delante de la mayoría.