Estimados amigos de Inseguros !!!
En el Tema 3 (Datos) de los Controles CIS, el control 3.8 es otro de esos que parecen obvios… hasta que se revisa un entorno real: cifrar el dato en tránsito.
Aquí el concepto es directo: cualquier comunicación que lleve datos sensibles debe ir cifrada. Y cuando se dice “en tránsito”, se habla de protocolos, de TLS, de evitar que el dato viaje en claro o con cifrados obsoletos.
El ejemplo típico es el más básico: HTTP frente a HTTPS. Pero el control no se queda ahí. Aplica a correos, APIs, integraciones, conexiones a bases de datos, servicios internos, y cualquier flujo donde un dato se mueva de un punto a otro. Muchas empresas piensan que “esto ya está hecho” porque hay HTTPS en la web pública… y luego tienen comunicaciones internas en claro, servicios legacy, o protocolos antiguos que siguen vivos por costumbre.
En entornos Microsoft esto se ve cada día con configuraciones de TLS, con servicios que siguen aceptando versiones antiguas, y con aplicaciones internas que “funcionan” pero no están endurecidas. Y esto no es solo cumplimiento. Es riesgo directo: si alguien tiene visibilidad en red (por compromiso, por posición, por un equipo puente), el dato en tránsito en claro es un regalo.
Por eso el control 3.8 también obliga a mirar inventario y arquitectura: qué servicios hablan, por qué protocolo, con qué versión, y con qué certificados. Y aquí aparecen decisiones reales: certificados bien gestionados, renovación, CA interna cuando toca, y eliminación de lo que ya no debería existir.
La clave del 3.8 es que no es un check de “tenemos TLS”. Es un check de “tenemos TLS bien”. Porque TLS mal (versiones viejas, cipher suites débiles, certificados caducados, renegociación rara, etc.) es casi como no tenerlo.
Para seguir aterrizando Controles CIS con enfoque de empresa (auditoría, hardening y medidas aplicables), en www.seguridadsi.com están los cursos de ciberseguridad orientados a profesionales.
Gracias por leerme !!!
