IT Experts de México
Centro de Operaciones Consultoría y Soporte Hardware y Licenciamiento Cloud Operations Ciberseguridad Herramientas Blog Contáctanos
Ciberseguridad

Controles CIS sin humo: la guía de los 18 que sí ordenan tu seguridad

14/07/2026 4 min de lectura Rubén Espinoza

La ciberseguridad tiene un problema de ruido. Cada semana hay una amenaza nueva, un producto que promete salvarte, un acrónimo que "necesitas urgentemente". Para una empresa que solo quiere protegerse sin volverse experta, el resultado es parálisis: ¿por dónde empiezo? Los Controles CIS existen para responder exactamente esa pregunta, y por eso valen oro. No son un producto ni una moda: son una lista priorizada de qué hacer primero, construida por una comunidad de profesionales a partir de cómo ocurren los ataques de verdad. Esta es la guía, sin humo, de los 18.

Qué son (y qué no son)

Los Controles Críticos de Seguridad CIS —en su versión actual, la v8.1— son un conjunto de 18 controles, cada uno con acciones concretas (llamadas salvaguardas), que una organización puede implementar para reducir de forma real su riesgo. Lo que los distingue de otros marcos es su virtud principal: están priorizados. No te dan una lista infinita de "buenas prácticas" en la que todas pesan igual; te dicen qué mueve más la aguja, en qué orden. Nacieron de una idea sensata: la mayoría de los ataques exitosos explotan un puñado de descuidos comunes, así que enfócate primero en cerrarlos.

Lo que no son: no son una certificación obligatoria ni una ley, no son un producto que compras, y no son "todo o nada". Son una guía práctica y gratuita que puedes adoptar a tu ritmo. Y a diferencia de un vendedor, no tienen nada que venderte.

Los 18 Controles CIS v8.1 en tres bloques: conocer y proteger activos (1-6), defender y vigilar (7-13), y personas, terceros y respuesta (14-18), con los grupos de madurez IG1, IG2 e IG3.
Los 18 controles agrupados, y los grupos de madurez para implementarlos por etapas.

El truco que los hace realistas: los grupos de madurez

Aquí está la genialidad práctica. CIS sabe que una PyME de 20 personas y un banco no pueden hacer lo mismo, así que divide las salvaguardas en tres Grupos de Implementación (IG):

  • IG1 — higiene esencial. Lo mínimo indispensable que toda organización, del tamaño que sea, debería cumplir. Si solo haces IG1, ya cerraste la puerta a la mayoría de los ataques oportunistas.
  • IG2 — organizaciones con más riesgo o que manejan datos más sensibles. Construye sobre IG1.
  • IG3 — entornos críticos y maduros, con recursos y exposición altos.

Esto convierte una lista intimidante en un camino: empiezas por IG1, y subes según tu riesgo real. No es "implántalo todo o fracasa"; es "haz primero lo esencial, luego crece". Esa honestidad es lo que hace a los Controles CIS tan útiles frente a marcos que abruman.

Los 18, en tres bloques

Para navegarlos, los agrupamos por lo que buscan lograr. Cada uno tiene su artículo dedicado:

Conocer y proteger tus activos:

Defender y vigilar:

Personas, terceros y respuesta:

Cómo usar esta guía

No la leas como un examen. Léela como un mapa para ordenar prioridades. Si nunca has hecho nada estructurado, el primer paso no es comprar herramientas: es saber dónde estás, y los Controles CIS son una excelente vara para medirlo. Verás un patrón que se repite en todo este blog: la seguridad no es un producto que instalas, es un conjunto de prácticas ordenadas por prioridad. Los Controles CIS son, quizás, la mejor lista pública de cuáles son esas prioridades y en qué orden atenderlas.

#ciberseguridad #cis #controles #framework

Preguntas frecuentes

¿Los Controles CIS son obligatorios o una certificación?

No son obligatorios por ley ni una certificación que se "apruebe". Son un marco de buenas prácticas voluntario, gratuito y priorizado, mantenido por el Center for Internet Security. Muchas organizaciones los adoptan como guía y algunos marcos regulatorios se apoyan en ellos, pero su valor es práctico: te dicen qué hacer primero para reducir riesgo real, no te imponen un trámite.

¿Una empresa pequeña puede aplicar los Controles CIS?

Sí, y para eso existen los Grupos de Implementación. El IG1 es precisamente la higiene esencial pensada para que cualquier organización, incluidas las pequeñas, la cumpla sin recursos enormes. No hay que implementar los 18 controles al máximo nivel de golpe: se empieza por lo esencial (IG1) y se crece según el riesgo. Es un camino, no un salto.

¿Por dónde empiezo con los Controles CIS?

Por conocer tu punto de partida: una autoevaluación honesta de cuáles salvaguardas de IG1 ya cumples y cuáles no. A partir de ahí, priorizas cerrar las brechas más básicas primero, empezando por los controles fundacionales como el inventario de activos, la gestión de cuentas y la de vulnerabilidades. Comprar herramientas antes de saber qué te falta suele ser gastar mal.

¿Necesitas ayuda con este tema?

El equipo de IT Experts puede evaluar tu infraestructura sin costo.

Hablar con un especialista

Más de Ciberseguridad

Por qué Microsoft Authenticator es tan popular (y cuándo tiene sentido)
Qué es un OTP: el código de 6 dígitos que cambia cada 30 segundos
Tipos de MFA: SMS, correo y app, cuál es más seguro (y por qué)