Estimados amigos de Inseguros !!!
El CIS 9.3 (Tema 9: email y navegadores) se centra en algo muy concreto: filtrar URLs en la navegación web. Lo que toda la vida se ha llamado “proxy” o “content filtering”, pero llevado al mundo actual: políticas por identidad, categorías dinámicas, inspección TLS cuando aplica y telemetría para detectar anomalías.
La base del control es sencilla: debe existir una manera corporativa de permitir y bloquear navegación hacia URLs. Se puede hacer “a mano” con listas, pero eso no escala. Lo razonable es apoyarse en feeds de inteligencia (suscripción) que categorizan dominios/URLs y marcan reputación: phishing, malware, newly-registered, command & control, contenido no permitido, etc. A partir de ahí, se construyen políticas con whitelist y blacklist, pero siempre gobernadas: excepciones justificadas, revisiones periódicas y trazabilidad.
Hoy prácticamente cualquier UTM perimetral trae URL filtering / content filtering. Y si se quiere subir un nivel, aparecen soluciones más modernas tipo Secure Web Gateway (SWG) / SSE: Zscaler, Netskope, Cloudflare Gateway, Prisma, etc. La diferencia práctica no es solo “bloquear páginas”, sino aplicar control por contexto: por usuario, por grupo, por dispositivo, por postura del equipo, por ubicación o por nivel de riesgo. Eso es lo que empieza a encajar con un enfoque Zero Trust.
Un punto técnico clave del 9.3 es la inspección TLS. Sin inspección, se bloquea por reputación/categoría y por metadatos, pero no se ve el contenido real dentro del canal cifrado. Con inspección (cuando la organización lo permite y lo puede operar), se habilitan controles más finos: detección de descargas peligrosas, categorías más precisas y control de contenido. Esto siempre debe equilibrarse con privacidad, rendimiento y necesidades del negocio, pero el control existe precisamente para que la navegación deje de ser “caja negra”.
Otra evolución clara frente al “proxy clásico” es el salto de IP a identidad. Antes se decía “este equipo navega o no navega”. Ahora se aplican reglas del tipo “este usuario o este grupo, desde un dispositivo corporativo compliant, puede acceder a estas categorías; desde un dispositivo no gestionado, no”. Incluso se pueden plantear medidas tipo step-up: navegación a una web sensible requiere un segundo factor o una aprobación adicional, no por miedo a Internet, sino por control del uso interno en aplicaciones críticas.
Todo esto, si no se monitoriza, se convierte en una fuente de frustración. El 9.3 se apoya en telemetría: bloqueos, tendencias, categorías más frecuentes, falsos positivos, intentos repetidos, y picos anómalos. Esa visibilidad permite ajustar políticas, detectar campañas (por ejemplo phishing que intenta llevar a URLs nuevas) y medir si el filtrado está reduciendo exposición de forma real.
Para aprenderlo con enfoque práctico y aplicado a entornos reales, en www.seguridadsi.com están los cursos y programas de ciberseguridad para profesionales.
Gracias por leerme !!!
