IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

CIS Control 8: Gestión de registros, sin logs estás ciego (y mudo en la investigación)

14/07/2026 2 min de lectura Rubén Espinoza

El octavo Control CIS trata algo que solo se valora cuando ya es tarde: los registros de auditoría (logs). Son la memoria de tu infraestructura, el rastro de quién hizo qué y cuándo. Cuando ocurre un incidente, los registros son a menudo la única forma de reconstruir qué pasó, por dónde entraron y qué tocaron. Sin ellos, estás ciego: sabes que algo salió mal, pero no puedes contar la historia. El problema es que los registros hay que tenerlos antes del incidente; no se pueden generar hacia atrás.

Por qué importan tanto

Los registros sirven para dos momentos. Para detectar: correlacionados, revelan ataques en curso (es la materia prima de un SIEM). Y para investigar: tras un incidente, permiten entender el alcance —qué se comprometió, qué datos se tocaron, si el atacante sigue dentro—. Sin registros adecuados, la respuesta a "¿qué pasó exactamente?" es un encogimiento de hombros, y eso paraliza la respuesta y a menudo obliga a asumir lo peor. La ausencia de logs no solo dificulta: a veces hace imposible saber si una brecha fue de diez registros o de diez mil.

Qué pide en la práctica

  • Generar registros en los sistemas relevantes: accesos, cambios, eventos de seguridad.
  • Centralizarlos: juntarlos en un lugar seguro, en parte para poder analizarlos y en parte para que un atacante no pueda borrar el rastro local. Un log que vive solo en el equipo comprometido es un log que el atacante puede borrar.
  • Conservarlos el tiempo suficiente: muchas brechas se descubren meses después, así que un log que se borra en días no sirve. Aquí importa registrar lo correcto por el tiempo correcto.

El aterrizaje honesto

Hay dos errores opuestos. Uno: no registrar casi nada, y descubrir en plena crisis que no hay pistas. Dos: registrar todo sin criterio, generando un océano de datos inútil, caro de guardar e imposible de revisar. El equilibrio es registrar lo que de verdad ayuda a detectar e investigar, centralizarlo a salvo y conservarlo un plazo sensato. No es el control más vistoso, pero el día de un incidente marca la diferencia entre "sabemos exactamente qué pasó y lo contuvimos" y "no tenemos idea, apaga todo por si acaso".

#ciberseguridad #cis #logs #auditoria

Preguntas frecuentes

¿Por qué centralizar los registros y no dejarlos en cada equipo?

Por dos razones. Primero, para analizarlos y correlacionarlos entre fuentes se necesitan juntos. Segundo, y crucial, porque un atacante que compromete un equipo puede borrar los registros locales para ocultar su rastro. Si esos registros ya se enviaron a un sistema central seguro, la evidencia sobrevive aunque el equipo original sea manipulado. Los logs solo locales son borrables por quien te ataca.

¿Cuánto tiempo debo conservar los registros?

Depende de tus necesidades y de cualquier obligación aplicable, pero un factor decisivo es que muchas brechas se descubren meses después de ocurrir. Conservar los registros solo unos días deja sin pistas justo cuando más se necesitan. Un plazo de varios meses suele ser un mínimo razonable para los registros de seguridad relevantes, equilibrando utilidad y costo de almacenamiento.

¿Registrar todo no es lo más seguro?

No necesariamente: registrar todo sin criterio genera un volumen enorme, caro de almacenar y difícil de analizar, donde lo importante se pierde en el ruido. El objetivo es registrar lo que de verdad ayuda a detectar e investigar (accesos, cambios, eventos de seguridad) y conservarlo bien. Calidad y foco valen más que cantidad indiscriminada. Demasiados registros mal gestionados pueden ser tan inútiles como muy pocos.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)