Tecnicas de Hardening

🔐 Protección de los puertos físicos

¿Qué es?
Restringir o desactivar los puertos físicos (como USB, HDMI, puertos serie) que no son necesarios, para prevenir ataques físicos y conexiones no autorizadas.

¿Por qué es clave?
Cualquier puerto activo es un punto de entrada físico que puede ser usado para:

  • Inyectar malware (BadUSB, Rubber Ducky).

  • Robar información.

  • Controlar el dispositivo como si fuera un teclado o una red.

Buenas prácticas:

  • Deshabilitar puertos desde BIOS/UEFI.

  • Usar software de control de dispositivos para permitir solo dispositivos autorizados (whitelisting por ID).

  • Configurar contraseña de arranque y desactivar el boot por USB.

Ejemplo real:
Un atacante conecta un USB con firmware modificado que se hace pasar por teclado y escribe comandos que crean una puerta trasera.

🔒 Protección de los puertos lógicos

¿Qué es?
Controlar los puertos de red (lógicos) que permiten comunicaciones entre aplicaciones, usando protocolos como TCP y UDP.

¿Por qué es clave?
Los servicios mal configurados o abiertos innecesariamente pueden ser explotados remotamente con herramientas como Nmap o Metasploit.

Buenas prácticas:

  • Usar firewalls basados en host para bloquear todo excepto lo explícitamente permitido.

  • Deshabilitar servicios no utilizados.

  • Usar reglas por puertos, IP, protocolo y aplicación.

Ejemplo real:
Dejar abierto el puerto 23 (Telnet) permite a un atacante interceptar sesiones sin cifrar o realizar un ataque de fuerza bruta.

🛡️ Técnicas de cifrado (Encryption)

¿Qué es?
Aplicar técnicas criptográficas para proteger los datos almacenados y transmitidos.

Tipos y aplicaciones:

  • FDE – Full Disk Encryption: Protege todo el disco (BitLocker, FileVault).

  • Removable Media Encryption: Cifra memorias USB, SD, etc.

  • VPN – Virtual Private Network: Protege el tráfico en tránsito.

  • Email Encryption: Protege el contenido de los correos (PGP, S/MIME).

¿Por qué es clave?
Sin cifrado, si alguien roba un dispositivo o intercepta tráfico, puede leer toda la información.

Ejemplo real:
Un portátil sin cifrado se pierde y alguien accede al disco duro y extrae bases de datos sensibles.

🔥 Firewalls e IPS basados en host

¿Qué es?
Sistemas de defensa que controlan y analizan el tráfico de red dentro del mismo dispositivo (endpoint).

¿Por qué es clave?
Permiten bloquear tráfico malicioso o no autorizado directamente desde el endpoint, sin depender del firewall de red.

Buenas prácticas:

  • Aplicar política de "deny all, allow by exception".

  • Filtrar por puerto, IP, aplicación.

  • Habilitar funciones de detección de patrones (IPS).

  • Enviar registros al SIEM para correlación y alerta.

Ejemplo real:
Un firewall basado en host evita que un ransomware se comunique con su servidor de comando y control (C2) bloqueando la IP de destino.

🛠️ Instalación de agentes de Endpoint Protection

¿Qué es?
El despliegue controlado de software de protección (antivirus, EDR, HIDS) en todos los dispositivos de una organización.

¿Por qué es clave?
Un endpoint sin protección actualizada es una puerta abierta. Un buen despliegue garantiza cobertura, visibilidad y gestión centralizada.

Buenas prácticas:

  • Planificar el orden de despliegue.

  • Estandarizar configuraciones.

  • Automatizar instalaciones (SCCM, Intune).

  • Monitorizar y actualizar desde consola central.

Ejemplo real:
Instalar un EDR en 200 estaciones de trabajo y gestionar todo desde una consola permite bloquear un brote de malware en segundos.

⚙️ Cambio de valores predeterminados y eliminación de software innecesario

¿Qué es?

  • Cambiar contraseñas por defecto (admin/admin).

  • Eliminar programas que no se usan o funciones que no se necesitan.

¿Por qué es clave?
Valores predeterminados y software innecesario son objetivos comunes para los atacantes. A más programas, más vulnerabilidades potenciales.

Buenas prácticas:

  • Desinstalar bloatware y desactivar servicios innecesarios.

  • Usar contraseñas únicas, largas y con MFA.

  • Limitar los privilegios por defecto.

Ejemplo real:
Una impresora con contraseña por defecto y función de servidor web activada puede ser tomada por un atacante remoto sin esfuerzo.

🧹 Desmantelamiento seguro (Secure Decommissioning)

¿Qué es?
Proceso de eliminación segura de dispositivos cuando dejan de usarse. Involucra borrar datos, eliminar configuraciones, destruir hardware sensible y actualizar inventarios.

¿Por qué es clave?
Los dispositivos desmantelados pueden contener:

  • Datos sensibles.

  • Credenciales guardadas.

  • Configuraciones de red que revelan la infraestructura.

Buenas prácticas:

  • Borrado seguro (shred, DBAN, Blancco).

  • Reset a valores de fábrica.

  • Destrucción física de discos duros o módulos de almacenamiento.

  • Actualización del inventario de activos.

Ejemplo real:
Una empresa vende impresoras viejas sin limpiar su almacenamiento interno → el comprador accede a documentos confidenciales escaneados.

Curiosidades y Claves – System Hardening (SH)

Esta sección te ofrece el conocimiento que no suele venir en los manuales, pero que marca la diferencia entre alguien que aplica hardening y alguien que domina el arte del blindaje a nivel CISO/Purple Architect.

1. El hardening no es una acción única: es un proceso cíclico

🔁 Muchos creen que con aplicar el hardening una vez, ya está todo protegido.
FALSO.
Los cambios de software, parches, instalaciones o nuevas configuraciones pueden romper el hardening sin darte cuenta.

Claves:

  • Ejecuta re-auditorías periódicas (ej: semanal, mensual o por CI/CD).

  • Automatiza validaciones de hardening con herramientas como Ansible, Lynis, OpenSCAP o Chef InSpec.

  • Asegura que cada nuevo parche o actualización no abra servicios por defecto (como SMBv1, HTTP no cifrado, etc.).

2. El hardening mal aplicado rompe servicios

💣 Esta es una de las principales causas de resistencia al hardening en entornos corporativos:
"El sistema dejó de funcionar después de endurecerlo".

Claves:

  • Siempre prueba el hardening en un entorno de staging/laboratorio antes de aplicarlo en producción.

  • Documenta las dependencias del sistema: hay servicios que no se pueden deshabilitar sin afectar funciones críticas.

  • Involucra a los equipos de desarrollo y operaciones en el diseño del hardening para evitar conflictos.

3. El hardening ocurre en múltiples capas

🔐 No basta con endurecer el sistema operativo. El hardening es multinivel:

Capa Ejemplo de hardening
BIOS/UEFI Desactivar arranque externo, establecer contraseña
SO Desactivar SMBv1, habilitar DEP/ASLR, eliminar bloatware
Aplicaciones Configurar Apache, Nginx, PostgreSQL con seguridad
Red Aplicar reglas de firewall, cerrar puertos, VLANs
Usuario Control de privilegios, contraseñas seguras, MFA

Capa ignorada = vector disponible. Un ataque solo necesita una grieta.

4. El firmware puede ser el enemigo oculto

🧬 Ejemplo: BadUSB y cables O.MG. El firmware de dispositivos puede reprogramarse para comportarse como:

  • Un teclado que escribe comandos automáticamente.

  • Una tarjeta de red que cambia el DNS y redirige tráfico.

  • Un keylogger oculto.

Claves:

  • No confíes en la apariencia física de un dispositivo.

  • No uses cargadores o USBs "prestados".

  • Crea una política empresarial de "solo dispositivos corporativos certificados".

5. El hardening bien aplicado es invisible… hasta que te salva

📉 Los mejores entornos de seguridad no dependen solo de detección:
Dependen de prevenir que ocurra la intrusión.

Ejemplo real:

  • Un atacante conecta un USB → AutoRun deshabilitado → nada ocurre.

  • Intenta usar Telnet → puerto 23 cerrado → sin acceso.

  • Usa exploit de SMBv1 → protocolo deshabilitado → falla.

⚔️ En todos estos casos, la no-noticia es la buena noticia.

6. Hardening y segmentación son aliados inseparables

🕸 Si un atacante logra entrar por un sistema mal endurecido, ¿hasta dónde puede moverse?

Claves:

  • Segmenta la red con VLANs por tipo de dispositivo o rol.

  • Aplica reglas de firewall entre zonas, incluso internas.

  • Usa hardening + segmentación como forma real de contención.

7. Hardening ≠ Seguridad completa. Es solo el principio.

🔍 El hardening reduce la probabilidad de ataque exitoso, pero no elimina todas las amenazas.
Todavía necesitas:

  • Monitorización continua.

  • EDR y SIEM bien configurados.

  • Respuesta a incidentes.

  • Evaluación Purple Team regular.

No es "blindar y olvidar". Es "blindar, validar, mejorar, repetir".


✅ Recapitulación práctica

  • 🔁 Hardening es cíclico Se revisa y reaplica, no es algo único
  • 💣 Puede romper servicios Por eso se prueba antes
  • 🧱 Es por capas BIOS, SO, apps, red, usuario
  • 🧬 El firmware puede ser arma BadUSB, O.MG, cables infectados
  • 🧍‍♂️ Hardening invisible = seguridad real Evitas el incidente antes de que empiece
  • 🕸 Complementa con segmentación Aislar lo comprometido frena al atacante
  • 🧠 Es la base, no el todo Debe acompañarse de detección, análisis y respuesta 
Purple Mystara - Cristina Martínez Girol
Todos los derechos reservados 2025
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar