Estimados amigos de Inseguros !!!
El CIS 9.5 (Tema 9: email y navegadores) se centra en desplegar y mantener protecciones anti-phishing. No como “una feature que viene por defecto”, sino como una capa gobernada: configuración, políticas, cobertura y mantenimiento.
El phishing sigue siendo rentable porque explota lo más difícil de parchear: la conducta humana. Por eso el control no se queda en “formación” (eso vendrá por otros controles), aquí pide controles técnicos que reduzcan el éxito incluso cuando el usuario cae. El anti-phishing moderno va más allá del filtro clásico de spam: trabaja con reputación, análisis de URLs, análisis de adjuntos, detección de suplantación (impersonation), correlación con inteligencia y señales de identidad.
La primera línea suele estar en el correo: políticas de protección ante suplantación, filtros de enlaces, sandboxing de adjuntos cuando aplica, y señales de riesgo. En entornos corporativos, una parte crítica es cerrar el triángulo de autenticación del dominio: SPF, DKIM y DMARC. No evita todo el phishing, pero reduce mucho el spoofing “barato” y mejora el tratamiento de correos sospechosos.
La segunda línea está en el navegador: bloqueo de URLs maliciosas, detección de páginas de phishing, advertencias y bloqueos por reputación, y controles de descarga. El objetivo no es “educar con un banner”, el objetivo es impedir que un usuario aterrice en páginas maliciosas o que ejecute una cadena de descarga simple. Este punto se integra muy bien con URL filtering (CIS 9.3) y con hardening del navegador (CIS 9.2): no es una capa aislada, es un conjunto.
El valor real del 9.5 aparece cuando se conecta con identidad. El phishing moderno busca credenciales, tokens y sesiones. Por eso, el anti-phishing serio se apoya en señales de autenticación, riesgo de usuario, riesgo de inicio de sesión, y políticas que corten el impacto. La combinación “anti-phishing + Conditional Access + MFA resistente” es lo que empieza a cambiar el juego, porque obliga al atacante a salir del phishing barato y entrar en ataques más costosos.
A nivel operativo, el control 9.5 también implica seguimiento: métricas de bloqueos, falsos positivos, campañas, usuarios más atacados, dominios de suplantación recurrentes y patrones que se pueden convertir en casos de uso. Esta telemetría alimenta SIEM/SOC y ayuda a mejorar tanto el filtrado como la respuesta.
Para aprenderlo con enfoque profesional y aplicado a empresa (email security, identity, políticas y respuesta), en www.seguridadsi.com están los cursos y programas de ciberseguridad para profesionales.
Gracias por leerme !!!
