En el complejo mundo de la ciberseguridad, el término "hardening" (o "bastionado" en español) es un elemento fundamental para la protección de los sistemas de información en cualquier plataforma. Hardening es un conjunto de procesos, actividades y técnicas destinadas a reducir la superficie de ataque de un sistema, minimizando sus vulnerabilities y fortaleciendo su resistencia frente a posibles ciberataques. A continuación, presentamos una tabla que resume las principales funciones de hardening clasificadas por grupos de dispositivos y sistemas, destacando las medidas más cruciales en cada ámbito, sus riesgos asociados, nivel de dificultad y herramientas o guías de referencia. La tabla se puede clasificar haciendo clic en la cabecera de cada columna.
Nº | Grupo | Función Principal | Descripción Breve | Riesgos Mitigados | Nivel Dificultad | Programas / Guías / Herramientas |
---|---|---|---|---|---|---|
1 | Estaciones de Trabajo | Configuración Segura SO | Políticas de contraseñas, mínimo privilegio, desactivación de servicios, cifrado. | Acceso no autorizado, escalada de privilegios, malware, robo de datos. | Medio | CIS Benchmarks, NIST SP 800-70, Microsoft Security Baselines. |
2 | Estaciones de Trabajo | Gestión de Aplicaciones | Software autorizado, actualizaciones, listas blancas. | Malware a través de software, vulnerabilidades, ejecución de código no deseado. | Medio | AppLocker (Windows), Gestores de paquetes, Políticas de seguridad. |
3 | Estaciones de Trabajo | Protección Antimalware | Antivirus/Antimalware actualizados, firewall personal. | Infecciones por virus, ransomware, spyware, troyanos. | Bajo | Soluciones EDR/XDR, Windows Defender, Antivirus comerciales. |
4 | Estaciones de Trabajo | Actualizaciones y Parches | Sistema robusto para aplicar parches de SO y software. | Explotación de vulnerabilidades conocidas. | Bajo/Medio | WSUS, SCCM, Gestores de parches de terceros, SANS Critical Controls. |
5 | Servidores | Hardening SO Servidor | Medidas estrictas adaptadas a roles (web, BD, etc.). | Compromiso del servidor, interrupción de servicios, robo de datos. | Alto | CIS Benchmarks (Server), NIST SP 800-123, Guías de hardening específicas del SO. |
6 | Servidores | Control de Acceso y Auditoría | MFA, registro detallado, monitorización. | Acceso no autorizado, falta de trazabilidad, detección tardía de incidentes. | Medio | Sistemas SIEM, Soluciones PAM, Configuración de Logs (Syslog, Event Viewer). |
7 | Servidores | Configuración Segura de Servicios | Asegurar SSH, RDP, etc., limitando accesos. | Explotación de servicios, acceso remoto no seguro. | Medio/Alto | SANS Institute Guides, OWASP Proactive Controls. |
8 | Móviles | Gestión de Dispositivos (MDM/EMM) | Políticas centralizadas, borrado remoto, control de apps. | Pérdida/robo de dispositivos, fuga de datos corporativos. | Medio | Microsoft Intune, VMware Workspace ONE, MobileIron, NIST SP 800-124. |
9 | Móviles | Bloqueo y Cifrado | Contraseñas/biometría robustas, cifrado de almacenamiento. | Acceso no autorizado a datos en reposo. | Bajo | Configuraciones nativas de iOS/Android, Políticas MDM. |
10 | Móviles | Control de Aplicaciones y Permisos | Tiendas oficiales, revisión de permisos. | Malware móvil, fuga de datos por apps maliciosas. | Bajo | OWASP MSTG, Recomendaciones de Google/Apple. |
11 | Redes | Segmentación de Red | División lógica para limitar impacto y controlar flujo. | Movimiento lateral de atacantes, propagación de malware. | Alto | VLANs, Firewalls internos, CIS Benchmarks (Network), NIST SP 800-41. |
12 | Redes | Configuración Segura Dispositivos Red | Hardening de routers, switches, firewalls. | Compromiso de la infraestructura de red, intercepción de tráfico. | Medio/Alto | Guías de fabricantes (Cisco, Juniper, etc.), CIS Benchmarks. |
13 | Redes | Filtrado de Tráfico y Firewalls | Control de tráfico, IPS. | Ataques externos, tráfico malicioso interno/externo. | Medio | Firewalls NGFW, Sistemas IPS/IDS (Snort, Suricata). |
14 | Radio Comunicaciones | Cifrado de Comunicaciones | Uso de algoritmos robustos (WPA3, AES). | Escucha (eavesdropping), intercepción de datos sensibles. | Medio | Estándares IEEE 802.11i, ETSI, Guías de seguridad para 4G/5G. |
15 | Radio Comunicaciones | Control de Acceso y Autenticación | Autenticación para acceso a la red de radio. | Acceso no autorizado a la red, suplantación de identidad. | Medio | RADIUS, TACACS+, 802.1X, Guías de la ITU. |
16 | Radio Comunicaciones | Configuración Segura | Parámetros seguros, mínimo privilegio, actualización. | Explotación de vulnerabilidades, configuración errónea. | Medio/Alto | Guías de fabricantes, NIST Wireless Security. |
17 | IoT | Cambio Credenciales Predeterminadas | Modificar contraseñas de fábrica. | Acceso fácil para atacantes (botnets). | Bajo | OWASP IoT Project. |
18 | IoT | Segmentación de Red para IoT | Aislar dispositivos IoT en red separada. | Pivote hacia redes corporativas, compromiso de otros sistemas. | Medio | VLANs, Firewalls. |
19 | IoT | Actualizaciones de Firmware | Proceso para actualizar firmware regularmente. | Explotación de vulnerabilidades en firmware. | Medio/Alto | ENISA IoT Security, Guías de fabricantes. |
20 | IoT | Desactivar Interfaces/Servicios Innecesarios | Reducir superficie de ataque. | Puntos de entrada adicionales para atacantes. | Bajo/Medio | OWASP IoT Top 10. |
Es importante destacar que el hardening no es un evento único, sino un proceso continuo que requiere revisiones y actualizaciones periódicas para adaptarse a las nuevas amenazas y vulnerabilidades que surgen constantemente. La implementación efectiva de estas medidas de hardening es esencial para construir una postura de ciberseguridad robusta y resiliente en cualquier organización.