Gobernanza: GRC y Privacidad

Inventario de Activos: Si no lo ves, no puedes protegerlo

Inventario de activos

Imagina que eres el capitán de un castillo medieval. Tienes arqueros, aceite hirviendo y unos muros de piedra que harían llorar de envidia a cualquier constructor moderno. Pero hay un pequeño detalle: no tienes ni idea de cuántas puertas traseras tiene la fortaleza, ni de cuántos pasadizos secretos cavaron los sirvientes para ir a por vino sin que te enteres. Spoiler: te van a dar bien fuerte.

En el mundo de la ciberseguridad, intentar ejecutar un programa de gestión de vulnerabilidades (vulnerability management) sin tener un inventario de activos es exactamente lo mismo. Si no sabes que ese servidor de pruebas sigue encendido, no vas a parchearlo. Y adivina por dónde van a entrar.

Tener un inventario de activos actualizado no es solo una tarea tediosa de «ordenar el trastero digital»; es la base fundamental de cualquier estrategia de defensa seria. Sin visibilidad, la seguridad es solo una ilusión estadística: quizás has tenido suerte hasta ahora, pero la suerte no es un control de seguridad.

El inventario: La base (olvidada) de la pirámide

Muchos CISO y responsables de IT quieren empezar la casa por el tejado: comprando la herramienta de escaneo de vulnerabilidades más cara del mercado, esa que tiene luces LED y un dashboard que parece la NASA. Pero si le dices a esa herramienta que escanee «lo que ella vea», se va a dejar fuera la mitad de tu infraestructura.

Un inventario de activos (asset inventory) no es una lista estática en un Excel que alguien olvidó en una carpeta compartida en 2022. Es un proceso vivo. En ciberseguridad, lo que no se ve, no se gestiona. Y lo que no se gestiona, se convierte en el vector de entrada para el próximo incidente que te arruinará el fin de semana.

Para que un análisis de riesgos en ciberseguridad sea efectivo, el primer paso es saber qué estamos protegiendo. No puedes valorar el riesgo de algo que no figura en tus libros.

Clasificando el caos: No todo es «hierro» y cables

Cuando hablamos de activos, la mayoría de la gente piensa en servidores ruidosos en un rack. Error. En el ecosistema moderno, los activos son mucho más variados y complejos.

Activos técnicos: El mundo físico y virtual

Aquí metemos los servidores físicos, las máquinas virtuales (virtual machines), los portátiles de los empleados, los switches y hasta la cafetera inteligente que alguien decidió conectar a la red corporativa. Estos son los activos más fáciles de identificar mediante escaneos de red (network scanning), pero también los más propensos a acumular desactualizaciones de firmware.

El Dato: Las joyas de la corona

Los activos de información son, en última instancia, lo que el atacante quiere. Un servidor es solo una caja; los datos que contiene (PII, secretos comerciales, bases de datos de clientes) son el verdadero botín. Si no sabes dónde residen tus datos críticos, no puedes priorizar qué vulnerabilidades parchear primero.

Ecosistema SaaS: El software que no es tuyo

Hoy en día, gran parte de la operatividad de una empresa depende de servicios externos. El software como servicio (Software as a Service – SaaS) es una pesadilla para el inventario tradicional. Si el departamento de Recursos Humanos contrata una plataforma de gestión de nóminas sin avisar a seguridad, tienes un activo crítico fuera de tu radar.

Aquí te voy a dar un consejo desde mi experiencia personal:

  • Los productos SaaS están pensados para echar raíces… van a querer meterte integraciones todo el tiempo, así serás mucho más dependiente de ellos y al poco tiempo ya no tendrás escapatoria. Podrán subirte el precio, el soporte empezará a ir peor (ya te tienen en sus garras, harán más caso a nuevos clientes).

No estoy en contra del SaaS, al contrario; mejor un SaaS que un hacer un arco de iglesia con desarrollo propio para todo. Pero si que hay que pensarse mucho lo que integras con ese SaaS, hasta donde les dejas profundizar en tus sistemas y lo dependiente que te hagas de ellos, un riesgo para la continuidad del negocio.

Shadow IT: El enemigo silencioso que compró el de Marketing

El Shadow IT (tecnologías en la sombra) es el fenómeno en el que empleados o departamentos instalan software o hardware sin el permiso (ni el conocimiento) del departamento de IT.

El Shadow IT y los activos no monitorizados
El Shadow IT y los activos no monitorizados («Ghost Assets») representan los mayores puntos ciegos en la seguridad corporativa actual. Es importante seguir el camino exacto para iluminar esas zonas oscuras, proteger tus datos y retomar el control tecnológico.

Es como si en tu casa, de repente, un primo lejano instalara una ventana nueva en el sótano y se dejara la llave puesta por fuera. Tú crees que tu casa es segura, pero hay un punto de entrada que ni siquiera sabes que existe. En un programa de gestión de vulnerabilidades, el Shadow IT es el mayor generador de falsos negativos.

Dependencias y SBOM (Software Bill of Materials – SBOM)

Hoy en día, nadie programa desde cero. Usamos librerías, frameworks y componentes de terceros. Esto crea una red de dependencias brutal. Tu aplicación puede estar «limpia», pero si una de las 400 librerías de código abierto que usa tiene una vulnerabilidad crítica (¿alguien recuerda Log4j?), estás expuesto.

Aquí es donde entra en juego la Lista de Materiales de Software (Software Bill of Materials – SBOM). Es, básicamente, la lista de ingredientes de tu software. Si no tienes un inventario de qué librerías usas, estás a merced de que un desarrollador en la otra punta del mundo decida dejar de mantener un paquete crítico.

Activos no monitorizados (Ghost Assets)

Los activos fantasma (ghost assets) son aquellos que alguna vez estuvieron en el inventario pero que, por dejadez o errores en el ciclo de vida del activo (asset lifecycle), han quedado en un limbo.

  • Un servidor de pre-producción que nunca se apagó.
  • Una cuenta de administrador de un ex-empleado.
  • Una API de pruebas que no tiene autenticación.

Un atacante con acceso a un activo no monitorizado es como dejarle las llaves de tu casa a un extraño: sabes que algo va a pasar, y definitivamente no será una limpieza a fondo de la cocina.

Ejemplo práctico: Descubrimiento básico con Python

Para empezar a crear un inventario, no siempre necesitas gastar miles de euros. Puedes empezar con scripts sencillos de descubrimiento de red (network discovery). Aquí tienes un ejemplo muy básico en Python que utiliza la librería scapy para listar dispositivos activos en un rango de IP:

from scapy.all import ARP, Ether, srp

def discover_network(ip_range):
    # Creamos un paquete ARP para preguntar por las MACs en el rango
    arp = ARP(pdst=ip_range)
    ether = Ether(dst="ff:ff:ff:ff:ff:ff")
    packet = ether/arp

    # Enviamos el paquete y recibimos respuestas
    result = srp(packet, timeout=3, verbose=0)[0]

    # Lista de dispositivos encontrados
    devices = []
    for sent, received in result:
        devices.append({'ip': received.psrc, 'mac': received.hwsrc})

    print("Dispositivos encontrados en la red:")
    print("IP" + " " * 18 + "MAC")
    for device in devices:
        print(f"{device['ip']:16}    {device['mac']}")

# Cambia el rango por el de tu red local para probarlo
# discover_network("192.168.1.1/24")
Python

Nota: Este script es una forma rudimentaria de identificación de activos (Asset Identification). En un entorno profesional, usarías herramientas como Nmap o soluciones de CMDB (Configuration Management Database) automatizadas.

Checklist: ¿Tu inventario es real o ciencia ficción?

Para saber si vas por el buen camino en tu programa de gestión de vulnerabilidades, comprueba si cumples estos puntos:

  • ¿Es automático? Si tu inventario depende de que alguien rellene un Excel a mano, tu inventario ya está desactualizado.
  • ¿Incluye activos efímeros? (Contenedores Docker, instancias en la nube que duran 2 horas).
  • ¿Hay responsables asignados? Cada activo debe tener un «dueño» (owner). Si algo falla, tienes que saber a quién despertar a las 3 AM.
  • ¿Clasificas por criticidad? No es lo mismo una vulnerabilidad en el servidor de la web corporativa que en la tablet de la recepción.
  • ¿Revisas el Shadow IT? ¿Tienes herramientas para detectar dispositivos nuevos conectándose a la red?
  • ¿Sigues las directrices de tu equipo de seguridad? Si el equipo de seguridad te dice que mantengas el inventario actualizado para que puedan hacer un seguimiento adecuado, por favor hazles caso. En ocasiones incluso te ayudarán a «matar» ese activo lastre que los directivos no se atreven a cerrar porque lo usan dos personas.

Conclusión: El primer pilar de la cordura

En resumen, el inventario de activos es el Pilar 1 de cualquier marco de seguridad (como el NIST o los controles CIS). Sin él, el resto de tus esfuerzos son fuegos artificiales: bonitos, caros, pero efímeros.

Gestionar vulnerabilidades sin saber qué tienes es como intentar hacer dieta sin saber qué hay en tu nevera. Al final, acabarás comiéndote un donuts (o sufriendo un ransomware) porque no sabías que estaba ahí escondido al fondo. La visibilidad absoluta es utópica, pero la visibilidad «suficiente» es lo que separa a las empresas resilientes de las que salen en las noticias por los motivos equivocados.

Si quieres una recomendación profesional para elevar tu inventario a nivel experto, consulta los Controles Críticos de Seguridad de CIS, donde el Control nº1 es, precisamente, el Inventario y Control de Activos de Hardware.

¿Tienes ya tu lista de activos o sigues confiando en que «nadie encontrará» ese servidor Windows 2008 que tienes debajo de la mesa?

Suscríbete a RutaCiber.com

El principal objetivo de RutaCiber.com es educar en ciberseguridad. Si el artículo te ha sido útil, suscríbete aquí 👇

Sin spam, solo nuevos artículos | Política de privacidad

Carlos del Río Sáez
Carlos del Río Sáez
Especialista en tecnología y ciberseguridad con más de 17 años de experiencia en entornos educativos y corporativos. Enfocado en sistemas, IA aplicada y ciberdefensa. Ingeniero informático. Miembro de ISC2 (CC Certified) y Security+ Certified.
Conecta conmigo en LinkedIn

Artículos relacionados...