CIS · DISA STIG · Microsoft Baselines · IaC · Drift monitoring
Hardening y bastionado de sistemas
Configuración segura verificable sobre Windows Server, Linux, virtualización, Kubernetes, cloud, M365, bases de datos y redes. CIS Benchmarks o DISA STIG según exigencia, aplicado como código, desplegado por fases y vigilado contra drift. La capa que reduce caminos antes de que el EDR los vea.
Resumen ejecutivo
El bastionado no es algo que se hace una vez y se olvida, ni se sustituye con un EDR o un firewall. Es la capa de configuración que reduce el número de caminos que un atacante puede recorrer antes de que cualquier detección reactiva entre en juego. La mayoría de las brechas no empiezan con un 0-day ni con un exploit sofisticado: empiezan con un servicio innecesario expuesto, una contraseña local reutilizada, un permiso amplio en cloud o un protocolo legacy que nadie deshabilitó.
El servicio cubre las plataformas que use el cliente, sigue guías reconocidas (CIS, DISA STIG, Microsoft Baselines, Well-Architected) y entrega la configuración como código reproducible. Lo que no se puede absorber por negocio se documenta como excepción justificada. Lo que sí se aplica se despliega por fases con plan de rollback. Y, sobre todo, se vigila en el tiempo: el bastionado bien hecho incluye monitorización continua de drift, porque las configuraciones siempre tienden a relajarse si nadie las mira.
Reduce caminos antes que EDR detecte
El EDR ve lo que pasa después; el hardening reduce lo que puede pasar. Ambas capas, en este orden.
Configuración como código
Ansible, DSC, Terraform, scripts versionados. Idempotente, auditable, reversible. Sin clics manuales que nadie recuerda.
Vigilancia de drift continua
Detección automática de desviaciones del baseline. El bastionado se degrada si nadie lo mira; nosotros lo miramos.
Modelo de madurez del bastionado
Cuatro niveles. Sirve para situar dónde está el cliente hoy y dónde quiere llegar. Casi ninguna organización mediana española vive de forma sostenida por encima del nivel 2; subir a nivel 3 requiere compromiso operativo continuado, no solo un proyecto inicial.
Configuración por defecto
Estado inicial habitual
Sistemas instalados con configuración del fabricante. Sin baseline consciente. Decisiones de seguridad caso a caso, ad-hoc, sin documentar. Auditoría externa identifica decenas de hallazgos previsibles cada vez.
Baseline propio sin formalizar
Madurez inicial
Hay una checklist interna usada cuando se construye un sistema nuevo. No se aplica retroactivamente, no se mide cumplimiento, no se actualiza. Los sistemas viejos viven en nivel 0; los nuevos, "más o menos" en nivel 1.
CIS L1 aplicado como código
Estado objetivo realista
Baseline CIS Level 1 (o equivalente Microsoft Security Baseline) aplicado a toda la flota mediante Ansible/DSC/Terraform versionado. Excepciones documentadas con responsable y plazo. Cumplimiento medido. Vigilancia de drift activa. Apto para auditor ENS Media e ISO 27001:2022.
CIS L2 / STIG con contexto operativo
Madurez avanzada
CIS Level 2 o DISA STIG aplicado donde tiene sentido por sensibilidad (sistemas en ámbito ENS Alta, defensa, infraestructura crítica). Cada control con justificación de negocio o exclusión razonada. Drift detectado en minutos y bloqueado automáticamente donde es viable. Auditoría externa reduce hallazgos a casos genuinamente excepcionales.
Plataformas que bastionamos
Inventario con la guía de referencia que aplicamos, tiempo orientativo por sistema y criticidad habitual. No es lista exhaustiva: si trabajáis con una plataforma vertical concreta, se evalúa en walkthrough.
| Plataforma | Guía de referencia | Tiempo / sistema | Criticidad típica |
|---|---|---|---|
| Windows Server 2016/2019/2022 | CIS L1/L2 + Microsoft Security Baseline | 4-8 h | Alta |
| Linux (RHEL · Ubuntu · Debian · SUSE) | CIS L1/L2 + recomendaciones distro | 3-6 h | Alta |
| Windows 10/11 cliente | CIS L1 + Microsoft Security Baseline | 2-4 h | Media |
| VMware vSphere/ESXi | CIS + Hardening Guide VMware | 6-10 h por cluster | Alta |
| Kubernetes (EKS · AKS · GKE · kubeadm) | CIS Kubernetes Benchmark + best practices | 8-16 h por cluster | Alta |
| AWS · Azure · GCP — cuenta + IAM | CIS Cloud + Well-Architected | 16-40 h por entorno | Crítica |
| Microsoft 365 (Entra · Defender · Purview) | Microsoft Security Baseline + CIS M365 | 20-40 h | Crítica |
| Google Workspace | CIS Google Workspace Benchmark | 12-24 h | Alta |
| SQL Server / Oracle / PostgreSQL / MySQL | CIS por motor | 4-8 h | Alta |
| MongoDB · Redis · Elasticsearch | CIS + guía fabricante | 3-6 h | Media-Alta |
| Cisco IOS · NX-OS · Juniper | CIS Cisco IOS + DISA STIG opcional | 2-4 h por dispositivo | Alta |
| Fortinet · Palo Alto · F5 · Aruba | Recomendaciones fabricante + buenas prácticas | 3-6 h | Alta |
| Active Directory · Entra ID | Microsoft + buenas prácticas tier model | 30-60 h | Crítica |
| Docker · containerd | CIS Docker Benchmark | 2-4 h por nodo | Media-Alta |
Tiempos orientativos para sistemas ya en inventario, sin contar ventana de aprobación de cambios. Sistemas legados muy desactualizados pueden requerir el doble por análisis previo y validación más cuidadosa.
Controles con mayor impacto por esfuerzo
Quince configuraciones que, aplicadas, neutralizan caminos que aparecen una y otra vez en hallazgos reales. No es la lista CIS completa: es la selección que más repercute en superficie de ataque por hora invertida.
SMBv1 deshabilitado en toda la flota
Protocolo obsoleto, explotado por EternalBlue/WannaCry. Sin uso legítimo en una infraestructura moderna.
NTLMv1 deshabilitado · audit a NTLMv2
Plan de migración a Kerberos. NTLMv1 es captura de credenciales fácil con responder/inveigh.
TLS 1.0/1.1 fuera. TLS 1.2 mínimo, 1.3 preferente
Servidor y cliente. Listas de cifrados modernas. Sin RC4, sin 3DES.
RDP sólo con NLA, expuesto sólo por bastion/PAM
RDP en internet sin NLA es uno de los vectores principales de ransomware. Bastion + MFA.
LAPS para contraseñas locales en Windows
Cada equipo con contraseña local aleatoria, rotada, almacenada en AD. Detiene movimiento lateral por reutilización.
AppLocker · WDAC · Defender Application Control
Lista blanca de ejecutables. Bloquea binarios desconocidos sin tocar antivirus. Curva de adopción razonable.
Modelo de capas en AD (tier 0/1/2)
Cuentas privilegiadas no se autentican en estaciones de usuario. Detiene escalada típica desde endpoint a DC.
SSH key only · MFA en bastion · sudo registrado
Linux: PasswordAuthentication=no, AllowUsers explícito, sudo con log a syslog/SIEM.
Cuentas locales no usadas eliminadas · Guest off
Inventario y baja de cuentas locales heredadas. Guest deshabilitado en Windows, root sin login directo en Linux.
Logging completo a SIEM (Sysmon + auditoría avanzada)
Sysmon con plantilla SwiftOnSecurity o equivalente. Auditoría avanzada Windows. auditd configurado en Linux.
Bloqueo de macros sin firmar en Office
Macros de internet bloqueadas por defecto, sólo macros firmadas confiadas. Reduce vector principal de phishing avanzado.
Buckets/Blobs cloud sin permisos públicos
Bloqueo de acceso público a nivel cuenta. Excepciones documentadas. Detección automática de cualquier nuevo recurso público.
RBAC cloud por equipo, no por persona
Eliminación de permisos heredados ad-hoc. Cada función con su rol. Acceso temporal mediante PIM/Access Packages.
DB con sólo IPs autorizadas · cifrado en reposo y tránsito
Sin acceso público a bases de datos. TLS forzado. Cifrado de almacenamiento. Auditoría de queries privilegiadas.
VLAN/firewall por entorno: prod ≠ no-prod ≠ admin
Separación lógica de planos. Tráfico no permitido por defecto entre niveles. Reglas explícitas con justificación documentada.
Antes y después · ejemplos técnicos reales
Configuraciones que cambian habitualmente en un proyecto de bastionado. Anonimizadas pero técnicamente fieles a lo que entrega un proyecto típico.
| Control | Antes (encontrado) | Después (aplicado) |
|---|---|---|
| SMB | SMBv1 enabled en 38 servidores | SMBv1 disabled · GPO + DSC bloqueando reactivación |
| LDAP | LDAP simple bind sin TLS · auditoría off | LDAPS obligado · Channel Binding · simple bind auditado |
| NTLM | NTLMv1 permitido · LM Hash almacenado | NTLMv1 denied · LM Hash off · auditoría a NTLMv2 con plan a Kerberos |
| RDP | RDP expuesto a internet sin NLA en 4 servidores | RDP sólo accesible vía bastion + MFA · NLA forzado |
| Contraseñas locales | Misma contraseña local en 800+ equipos | LAPS desplegado · contraseñas únicas rotadas en AD |
| TLS | TLS 1.0 + RC4 activos en 12 servicios web internos | TLS 1.2+ obligado · sólo cifrados modernos · HSTS donde aplica |
| SSH (Linux) | PasswordAuthentication=yes · root login activo | SSH key only · root login=no · sudo con log a SIEM · MFA en bastion |
| Logs Windows | Auditoría básica · Sysmon ausente | Auditoría avanzada · Sysmon SwiftOnSecurity · forward al SIEM |
| Bucket S3 | 12 buckets con read pública por error histórico | Block public access cuenta + bucket · alerta automática si se reactiva |
| IAM cloud | Usuarios con AdministratorAccess permanente | Federación SSO · acceso JIT vía Access Packages · root cuenta sin uso operativo |
| macros Office | Macros de internet ejecutables por defecto | Bloqueo macros internet · sólo macros firmadas · whitelist de origen |
| Kubernetes | Pods con privileged=true por defecto · sin NetworkPolicy | PodSecurityStandards restricted · NetworkPolicy por namespace · OPA Gatekeeper |
Modelos de servicio
Tres formas de contratar el servicio. La diferencia no está en la calidad técnica sino en quién opera después y con qué cadencia.
Modelo 1
Proyecto puntual
Bastionado completo del alcance acordado, entrega como código, formación al equipo de operación, sesión de cierre. Sin operación posterior por nuestra parte. Pensado para clientes con equipo TI/SecOps capaz de asumir la vigilancia de drift y aplicar nuevas versiones del benchmark.
Encaja cuando
Equipo interno fuerte · cumplimiento puntual · primer baseline antes de auditoría.
Modelo 2
Programa de bastionado continuo
Modelo 1 + operación continua: vigilancia de drift con remediación, onboarding de nuevos sistemas al baseline, actualización a nuevas versiones del CIS, reporting ejecutivo mensual y revisión trimestral con el comité. El bastionado se trata como práctica permanente, no como entregable cerrado.
Encaja cuando
Cumplimiento sostenido · sector regulado · equipo TI no especializado en seguridad.
Modelo 3
Transferencia con acompañamiento
Proyecto inicial + 3-6 meses de acompañamiento al equipo interno para que asuma la operación: formación práctica con casos reales, revisión conjunta de incidencias, soporte ante decisiones complejas. Cierre con handover formal y opción de revisión anual.
Encaja cuando
Equipo TI dispuesto a asumir pero sin experiencia previa · presupuesto operación interna.
Cuándo encaja y cuándo no
Encaja muy bien
Cuándo merece la pena
- Cumplimiento ENS, ISO 27001:2022, NIS2 o DORA con auditor estricto
- Tras una auditoría o pentest con muchos hallazgos de configuración
- Tras incidente con vector de configuración débil (SMBv1, RDP expuesto, NTLMv1)
- Modernización de infraestructura: migración cloud, K8s, M365
- M&A: integrar tenants y flotas heterogéneas con baseline común
- Equipo TI sin práctica formal de configuración como código
- Como capa previa a IAM, NHI o despliegue de EDR avanzado
Encaja menos
Cuándo no es lo primero
- Infraestructura en refactor mayor: cualquier baseline cambia en pocas semanas
- Sin telemetría base ni gestión de parches: hay que ordenar eso primero
- Sin propietarios funcionales claros: las excepciones quedarán sin firmar y se acumulan
- Tras incidente activo no resuelto: primero respuesta a incidentes
- Si la prioridad real es parches al día y aún no se hace: orden lógico distinto
Adaptación por sector
AAPP y servicios públicos
ENS por categorización. Foco en mp.eq.4 (protección equipos), op.pl.2 (configuración segura), mp.s.2 (servicios). Apto para auditoría ENS Media/Alta. STIG opcional si el organismo lo exige.
Sanidad
RGPD art. 9. Foco en hardening de sistemas con acceso a historia clínica, separación de planos administrativos y clínicos, control estricto de dispositivos médicos conectados a la red corporativa.
Financiero
DORA art. 9 + RTS. Foco en bastionado de sistemas que tocan pagos o core bancario, separación de planos productivos y de gestión, evidencia continua de configuración para supervisor.
Industria y OT
Bastionado IT con coordinación cuidadosa con plataforma OT. IT/OT segregado, jump servers vigilados, integraciones SCADA limitadas y monitorizadas.
Educación e investigación
Heterogeneidad alta (BYOD docente, sistemas legados de investigación). Foco en segmentación de redes, bastionado de servicios críticos centrales y campañas de actualización gradual.
SaaS B2B y software factory
Foco intensivo en cloud y Kubernetes, IaC obligatorio, bastionado integrado en CI/CD del cliente. Reporting a sus propios clientes enterprise como diferencial comercial.
Encaje regulatorio
| Marco | Referencia | Qué exige y cómo lo cubrimos |
|---|---|---|
| ENS | op.pl.2 / op.pl.5 / mp.s.2 / mp.eq.4 | Configuración de seguridad documentada y verificable. Aplicable a categorías Media y Alta. |
| ISO 27001:2022 | A.8.9 Configuration management | Gestión de configuración segura como control explícito. Evidencia para certificación. |
| NIS2 | Art. 21.2.e (higiene + configuración) | Medidas de ciberhigiene y configuración segura. Documentación y revisión periódica. |
| DORA | Art. 9 + RTS gestión riesgo TIC | Controles técnicos de configuración para entidades financieras. Trazabilidad para supervisor. |
| PCI DSS v4.0.1 | Req. 2 (default secure configurations) | Configuración segura por defecto en sistemas que tocan CDE. Apto para QSA. |
| NIST CSF 2.0 | PR.IP / PR.PT | Information protection processes + protective technology. Hardening es la categoría natural. |
| CIS Controls v8 | Control 4 (Secure Configuration) | Marco operativo CIS donde el hardening es uno de los 18 controles base. |
Drift y monitorización post-bastionado
El bastionado se degrada solo: cambios de operación urgentes que se quedan, nuevas versiones de software con configuraciones por defecto distintas, sysadmins distintos aplicando criterios distintos. Sin vigilancia continua, en 6-12 meses una flota bastionada vuelve a tener ~30% del baseline desviado.
Cómo lo medimos
Herramientas de detección de drift
- SCAP/OpenSCAP para Linux y Windows on-prem
- AWS Config + Conformance Packs para cuentas AWS
- Azure Policy + Azure Security Center para Azure
- GCP Security Command Center + Forseti para GCP
- Kubernetes Gatekeeper / OPA para clusters
- Microsoft Defender for Cloud donde aplique
- Reglas personalizadas en el SIEM del cliente para casos no cubiertos por las anteriores
Cómo lo gobernamos
Ciclo continuo
- Detección de drift en minutos donde es viable, en horas en el resto
- Remediación automática para desviaciones triviales y reversibles
- Notificación al propietario funcional para el resto
- Excepciones formalizadas con responsable, motivo, compensación y plazo
- Reporting mensual ejecutivo: % cumplimiento por plataforma, drift abierto, excepciones vigentes
- Revisión trimestral con cliente: ajuste de baseline, nuevos sistemas, evolución del CIS
- Onboarding obligatorio de sistemas nuevos al baseline antes de producción
Objeciones que escuchamos y cómo las contestamos
«Ya tenemos EDR / antivirus / firewall, ¿para qué más?»
EDR y firewall son capas de detección y contención. El hardening reduce los caminos antes de que esas capas tengan que actuar. La mayoría de brechas no nacen de un 0-day exótico sino de un servicio innecesario o un protocolo legacy: cosas que EDR no ve hasta que el atacante las usa, y firewall no bloquea si están dentro del perímetro.
«Tememos romper sistemas en producción»
Es la preocupación correcta. Por eso siempre va con pruebas en entorno réplica, ventana de cambio aprobada, plan de rollback documentado y propagación por fases (5% → 25% → 100%). Lo que el negocio no puede absorber se documenta como excepción justificada con plazo y compensación. No aplicamos controles por dogma.
«Nuestro equipo no usa configuración como código»
Empezamos con lo que vuestro equipo va a poder mantener: si es Ansible, Ansible; si es DSC, DSC; si nada, lo más cercano a vuestro stack. Y entregamos formación práctica para que el equipo se sienta dueño. Si decidís externalizar la operación, también es válido: hay modelo de servicio continuo.
«Ya pasamos CIS-CAT/Nessus/Tenable y vemos los controles»
Pasar el escáner es ver el problema. Aplicar y mantener la solución es otro proyecto. El escáner devuelve la lista; nosotros entregamos la configuración aplicada, gestionada como código, con vigilancia de drift y excepciones formalizadas.
«¿Tenemos que pagar licencias CIS o STIG?»
Los benchmarks CIS son libres para uso interno; las herramientas oficiales de CIS (CIS-CAT Pro) requieren membership pero no son obligatorias: openSCAP, scripts propios y Ansible Lockdown son alternativas que usamos cuando no hay membership. STIG es gratuito al ser publicación de DoD. No imponemos licencias innecesarias.
«Es coste recurrente sin retorno visible»
El retorno está en hallazgos que no salen en la siguiente auditoría, en la diferencia entre 'contendrá el incidente' y 'paralizará la operación', y en el tiempo del equipo TI que no se va en apagar fuegos de configuración. No es visible cuando funciona bien — exactamente como el seguro contra incendios — y por eso conviene medirlo y reportarlo.
Cómo medimos la salud del bastionado
Seis indicadores que reportamos en revisión mensual. Permiten ver si el programa avanza, se mantiene o degrada.
% cumplimiento del baseline por plataforma
Indicador maestro. Objetivo realista en proyecto inicial: 85-95% en 90 días. Caída sostenida = problema operativo, no técnico.
Nº de excepciones abiertas con plazo
Cada control no aplicado tiene responsable, motivo y plazo. Objetivo: ninguna excepción sin plazo. Tendencia descendente.
Tiempo medio de remediación de drift
Horas desde detección de desviación hasta vuelta al baseline. Objetivo: <24 h para crítico, <72 h para alto, <2 semanas para resto.
% sistemas nuevos con baseline al desplegar
Sistemas que entran a producción con baseline aplicado de origen. Objetivo: 100%. Indicador de madurez del proceso.
Hallazgos de configuración en auditoría externa
Tendencia de hallazgos de auditorías externas (anual, semestral). Objetivo: descenso sostenido año a año.
Cobertura del inventario
Porcentaje de sistemas del inventario que están realmente bajo gestión del baseline. Objetivo: 100% para críticos.
Glosario rápido del bastionado
Hardening / Bastionado
Proceso de reducir la superficie de ataque de un sistema mediante configuración: deshabilitar lo innecesario, limitar privilegios, activar registros, separar planos.
CIS Benchmarks
Guías de configuración segura mantenidas por el Center for Internet Security. Cobertura amplia, actualización continua, niveles L1 y L2.
DISA STIG
Security Technical Implementation Guides del Departamento de Defensa de EE.UU. Más estrictas que CIS, exigidas en defensa, AAPP críticas y contratos gubernamentales.
Microsoft Security Baseline
Configuración de seguridad recomendada por Microsoft para Windows, Office, Edge, M365. Suele ser punto de partida razonable para entornos Microsoft.
Drift
Desviación del baseline tras aplicarlo. Cualquier cambio manual o automático que aleja la configuración real del estado documentado.
Baseline
Configuración de referencia documentada que define el estado seguro deseado de un sistema o categoría de sistemas.
IaC (Infraestructura como código)
Terraform, Ansible, DSC, Bicep, Pulumi: definir y aplicar configuración mediante código versionado, idempotente y auditable.
SCAP / OpenSCAP
Security Content Automation Protocol. Estándar de NIST para automatizar verificación de configuración. OpenSCAP es la implementación libre dominante en Linux.
Tier model (AD)
Modelo de separación por niveles (tier 0: dominio · tier 1: servidores · tier 2: estaciones) que impide que credenciales privilegiadas se autentiquen en tiers inferiores.
LAPS
Local Administrator Password Solution. Asigna contraseña local aleatoria única a cada equipo Windows y la rota desde AD. Detiene movimiento lateral por reutilización.
AppLocker / WDAC
Mecanismos Windows de control de aplicaciones por lista blanca. Bloquean ejecutables no autorizados sin depender del antivirus.
PIM / JIT
Privileged Identity Management / Just-In-Time access. Cuentas privilegiadas inactivas que se elevan temporalmente con aprobación y log.
Servicios relacionados en Hard2bit
Auditoría integral
Hardening suele entrar como remediación tras una auditoría que identifica la deuda de configuración.
Ver →
Gestión de vulnerabilidades
Hardening + parches son las dos caras del mismo problema. Coordinación habitual.
Ver →
Seguridad Microsoft 365
Bastionado de M365 es un dominio propio: Entra, Defender, Purview, Conditional Access, etc.
Ver →
Seguridad cloud
Hardening AWS/Azure/GCP es la base del programa de seguridad cloud.
Ver →
IAM
El bastionado de AD/Entra es parte de la base de identidad. Habitualmente se hace en paralelo.
Ver →
Identidades no humanas
Hardening incluye cuentas de servicio locales; el programa NHI extiende a cloud y SaaS.
Ver →
Industrial OT
El bastionado IT termina en la frontera OT. En OT aplica con criterios distintos.
Ver →
Pentesting
El pentest valida lo que el hardening ha conseguido cerrar y descubre lo que falta.
Ver →
Respuesta a incidentes
Tras incidente, hardening reactivo en la línea de ataque identificada. Habitual.
Ver →
Preguntas frecuentes
¿Qué es exactamente el hardening o bastionado de sistemas?
Es el proceso de reducir la superficie de ataque de un sistema mediante configuración: deshabilitar servicios y protocolos innecesarios, aplicar políticas de autenticación robustas, limitar privilegios al mínimo necesario, activar registros que permitan investigar incidentes, separar planos de gestión de los de producción y verificar todo contra una guía reconocida (CIS Benchmarks, DISA STIG o equivalente del fabricante). No es parchear vulnerabilidades —eso es gestión de parches— ni instalar un antivirus. Es asegurar que, aunque haya parches al día y EDR encima, el sistema no presente configuraciones débiles aprovechables.
¿Qué guías de referencia seguís? ¿CIS, DISA STIG, fabricante?
Combinamos varias según plataforma. Como base usamos CIS Benchmarks (Center for Internet Security) porque cubre el mayor catálogo y mantiene actualización continua. Para entornos de defensa, gobierno y críticos añadimos DISA STIG cuando el cliente lo exige por contrato. Microsoft Security Baselines para todo lo que toca Microsoft 365 y Windows Server. Recomendaciones de fabricante para vSphere, NetApp, Cisco, F5, Palo Alto y similares. Para cloud, Well-Architected Framework (AWS/Azure/GCP) cruzado con CIS Cloud. El criterio: la guía más estricta que el negocio pueda absorber sin romper operación.
¿No basta con tener antivirus, EDR y firewalls? ¿Por qué hardening encima?
Porque EDR y firewalls son capas de detección y contención reactivas. El hardening reduce el número y la gravedad de los caminos que el atacante puede recorrer antes de que el EDR lo vea. Casos típicos: SMBv1 habilitado, NTLMv1 permitido, LM Hash almacenado, contraseñas locales reutilizadas en cientos de equipos, RDP expuesto sin NLA, configuración débil de TLS, permisos de bucket S3 demasiado amplios, cuentas privilegiadas usadas para tareas rutinarias. Ninguna de esas cosas se arregla con un parche ni la detecta automáticamente un EDR como problema activo. Y todas son las que un atacante explota antes de tocar nada que dispare alerta.
¿Sobre qué plataformas hacéis hardening?
Lo que use el cliente. Sistemas operativos: Windows Server 2016/2019/2022, Windows 10/11 cliente, Linux (RHEL, Ubuntu Server, Debian, SUSE, Amazon Linux). Virtualización: VMware vSphere/ESXi, Hyper-V, Proxmox, Nutanix. Contenedores: Docker, Kubernetes (kubeadm, EKS, AKS, GKE, Rancher), runtime containerd/CRI-O. Cloud: AWS, Azure, GCP — cuenta, IAM, red, almacenamiento, cómputo, gestión. Productividad: Microsoft 365, Google Workspace. Bases de datos: SQL Server, Oracle, PostgreSQL, MySQL, MongoDB, Redis. Red: Cisco IOS/NX-OS, Juniper, Fortinet, Palo Alto, F5, Aruba. Identidad: Active Directory, Entra ID, Okta, Keycloak. Si el cliente trabaja con plataformas muy verticales, lo evaluamos en walkthrough.
¿Cuánto dura un proyecto y cuánto cuesta?
Depende del alcance. Bastionado de una flota de 30-80 Windows Server o equivalente: 3-6 semanas con 1-2 ingenieros, coste orientativo 14-32 mil euros. Proyecto multi-plataforma para empresa mediana (servidores + virtualización + cloud + M365 + red): 8-16 semanas, 1-3 ingenieros, 40-110 mil euros. Antes de presupuestar pedimos un walkthrough técnico para entender el inventario real, las dependencias operativas y el apetito de riesgo de cambios disruptivos. Sin eso, cualquier cifra es estimación. La operación posterior (vigilancia de drift, nuevos sistemas, actualizaciones de benchmarks) se gestiona con suscripción mensual.
¿Vais a romper sistemas en producción haciendo cambios?
Es la pregunta correcta y la razón por la que el proceso siempre incluye fase de pruebas en entorno réplica antes de tocar producción, ventana de mantenimiento programada, plan de rollback documentado, y propagación gradual (canary deployment: 5% → 25% → 100% con ventanas de validación). Cada cambio se documenta como código (Ansible, DSC, Terraform, scripts) para que sea reproducible, auditable y reversible. Los controles que el negocio no puede absorber se documentan como excepción justificada con plazo y compensación; no se aplican por dogma.
¿Cómo se mantiene el bastionado en el tiempo? ¿No vuelve a degradarse?
Sí, vuelve a degradarse —se llama drift— y por eso el hardening no es un proyecto puntual sino una práctica continua. Tras la fase inicial entregamos: configuración como código (idempotente, en repositorio versionado), reglas de detección de drift en SCAP/OpenSCAP, AWS Config, Azure Policy, GCP Forseti, Kubernetes Gatekeeper o lo que aplique según plataforma, dashboard de cumplimiento por sistema, alertas operativas en SIEM cuando un control crítico cambia. Si se contrata operación continua, asumimos la vigilancia con cadencia mensual de reporting y revisión trimestral con el cliente.
¿Cómo encaja con cumplimiento ENS, ISO 27001, NIS2 y DORA?
ENS exige configuración de seguridad documentada y verificable (op.pl.2, op.pl.5, mp.s.2 mp.eq.4 entre otros) y el bastionado es el mecanismo natural de cumplirlo. ISO 27001:2022 (A.8.9 Configuration management) cubre explícitamente la gestión de configuración segura. NIS2 art. 21.2.e exige medidas en ciberhigiene y configuración segura. DORA art. 9 + RTS de gestión TIC lo recoge en controles técnicos. El paquete documental que entregamos —baseline, evidencia de aplicación, gestión de excepciones, plan de revisión, monitorización de drift— está diseñado para sostener auditoría externa sin trabajo adicional del cliente.
¿Trabajáis sobre nuestro código de infraestructura existente o lo creáis vosotros?
Lo que mejor encaje. Si ya tenéis Ansible, Puppet, Chef, Terraform o módulos de DSC, trabajamos sobre lo existente: añadimos roles/módulos nuevos, ampliamos los actuales, integramos en vuestro CI/CD. Si no hay nada, lo construimos como entregable —preferentemente Ansible para sistemas operativos y Terraform o Bicep/ARM para cloud— en repositorio del cliente, con documentación, pipeline de validación y formación al equipo de operación. No imponemos herramienta: nos adaptamos a lo que el equipo va a mantener sin fricción.
¿Cómo arrancamos un proyecto en Hard2bit?
Llamada de 30 minutos para entender el inventario aproximado (cuántos sistemas, qué plataformas, dónde corren), el motivo (cumplimiento, post-incidente, modernización, exigencia de cliente) y el apetito de cambios disruptivos. Si tiene sentido, walkthrough técnico de 1-3 horas con un sysadmin o ingeniero de plataforma. Con eso emitimos propuesta firme en 48-72 horas: alcance, ventana, equipo, entregables y precio cerrado. Sin compromisos hasta la firma. Si vemos que conviene partir el proyecto en fases o combinarlo con gestión de vulnerabilidades, lo decimos honestamente.
¿En qué nivel de madurez está tu infraestructura?
Llamada de 30 minutos para situar el estado actual y el objetivo. Walkthrough técnico si encaja. Propuesta firme en 48-72 horas. Sin compromisos hasta la firma. NDA estándar antes del primer acceso a inventario.