El séptimo Control CIS ataca lo que, año tras año, es de los vectores de intrusión más usados: las vulnerabilidades sin parchar. Todo software tiene fallas que se van descubriendo con el tiempo, y cada una es una posible entrada. El atacante no necesita que todo esté vulnerable; le basta una falla conocida sin corregir. El Control 7 pide convertir la gestión de vulnerabilidades en un proceso continuo —no un evento anual—: encontrarlas, priorizarlas y taparlas antes de que alguien las use.
Por qué "continuo" es la palabra clave
Se descubren vulnerabilidades nuevas constantemente. Una revisión "de vez en cuando" deja ventanas enormes en las que estás expuesto sin saberlo. Y hay un dato que ordena las prioridades: la explotación de vulnerabilidades conocidas es, según los análisis del sector, uno de los principales caminos de entrada —lo desarrollamos en el parche que no se aplicó—. Lo frustrante es que casi siempre se trata de fallas ya conocidas y con parche disponible: no un ataque genial, sino un parche que nadie aplicó a tiempo.
Qué pide en la práctica
- Escaneo regular de vulnerabilidades: herramientas que revisan tus sistemas buscando fallas conocidas, de forma continua.
- Un proceso de parcheo para sistemas operativos y aplicaciones, que aplique las correcciones en un plazo razonable según la gravedad.
- Priorización: no todas las vulnerabilidades son iguales. Se atienden primero las más críticas y las que ya se están explotando, usando referencias como la puntuación CVSS.
El aterrizaje honesto
El obstáculo real no suele ser técnico, sino de disciplina y de miedo: parchar puede romper cosas, así que se pospone... hasta que la falta de parche rompe algo peor. La respuesta no es dejar de parchar, sino hacerlo con método —probar y desplegar por etapas— para no tener que elegir entre estar seguro y estar estable. Este control depende del inventario de software (Control 2): solo parchas lo que sabes que tienes. Un buen punto de partida es un diagnóstico de tu parcheo actual.