Estimados amigos de Inseguros !!!
Dentro del Tema 9 de los Controles CIS (correo y navegador), el 9.6 va directo a una medida clásica, pero que sigue siendo brutalmente efectiva: bloquear tipos de archivo innecesarios en la pasarela de correo. No es “antispam”. Es control de superficie: decidir qué extensiones tienen sentido por email en una organización y cuáles no.
En entornos reales, la mayoría de incidentes por correo no entran por un “exploit sofisticado”, entran por adjuntos y por cadenas simples: fichero con macro, ejecutable camuflado, zip con sorpresa, o formatos que el negocio no necesita y solo aportan riesgo. Por eso el control insiste en la pasarela: porque es el punto donde se puede aplicar una política homogénea antes de que el adjunto toque el endpoint.
Este control no va solo de una lista de extensiones. Va de tratamiento. Muchas pasarelas modernas (Microsoft 365, Google Workspace y gateways dedicados) permiten flujos como cuarentena, sandboxing, desactivación de macros, análisis dinámico, o incluso reescritura/transformación de adjuntos. Un ejemplo típico: documentos Office con macros → bloqueo directo o análisis, según política; adjuntos comprimidos → reglas específicas para ZIP/7z y control de “capas”; ejecutables → bloqueo sin discusión; y adjuntos que solo deberían circular por canal seguro → redirección a un repositorio controlado.
Aquí aparece un punto muy fino que suele pasarse por alto: validación de tipo real (MIME / content type). Un fichero “.jpg” puede ser otra cosa. Si la pasarela solo confía en la extensión, el control es débil. Cuando se valida el tipo real y se aplican reglas coherentes, la evasión simple cae mucho.
También hay un componente operativo: no todas las organizaciones funcionan igual. Hay sitios donde enviar un .reg por correo es impensable, y otros donde se usa como “operativa diaria”. Lo importante es que exista una decisión consciente: lista permitida, lista bloqueada, lista “en cuarentena”, y excepciones trazables. Esa trazabilidad es oro cuando se audita CIS y cuando hay incidentes.
En Microsoft 365, este bloque se aterriza con políticas de correo y protección de adjuntos/enlaces según licenciamiento, y con flujos donde los adjuntos pasan por análisis/sandbox o se derivan a repositorios internos con controles adicionales. Para implementación seria en entornos Microsoft (correo, identidad, hardening y controles prácticos), encaja aquí enlazarlo con formación específica de seguridad Microsoft: [LINK A CURSO/PROGRAMA SEGURIDAD MICROSOFT].
CIS 9.6, bien hecho, reduce muchísimo el éxito de phishing con adjuntos, baja exposición a malware “de oficina” y deja menos espacio para el camuflaje. Es una de esas capas que parecen viejas… hasta que se ve la cantidad de problemas que evita con una configuración bien pensada.
En www.seguridadsi.com están los cursos y programas de ciberseguridad orientados a empresa, con enfoque práctico y aplicable a entornos reales.
Gracias por leerme !!!
