🚀 Open-AudIT 6: detección y corrección de vulnerabilidades Más información

INICIAR SESIÓN
Inicio del blog

23 de octubre de 2025

Qué son los Ocho Esenciales

The Essential Eight es un conjunto de ocho estrategias prácticas de mitigación recomendadas por la ACSC para reducir el riesgo de ciberamenazas comunes como el ransomware, el phishing, las violaciones de datos y las intrusiones selectivas en la red. Estas estrategias se diseñaron para ser eficaces desde múltiples ángulos y viables para organizaciones de diversos tamaños. Cada control aborda un aspecto específico de la ciberseguridad; cuando se aplican juntos, proporcionan una defensa en capas que refuerza significativamente la postura de seguridad de una organización.

Los ocho controles esenciales y sus objetivos:

Control de aplicaciones - Asegúrese de que sólo las aplicaciones aprobadas (en lista blanca) pueden ejecutarse en los sistemas, evitando la ejecución de software no autorizado o malicioso. Esto reduce enormemente el riesgo de que entren en la red programas maliciosos o no fiables.
Parchee las aplicaciones - Mantenga actualizado el software de terceros (por ejemplo, navegadores, suites ofimáticas, tiempos de ejecución) aplicando rápidamente parches de seguridad. De este modo se eliminan vulnerabilidades conocidas de las aplicaciones que podrían ser aprovechadas por los atacantes.
Configure las macros de Microsoft Office: bloquee o restrinja al máximo las macros de los documentos de Office, especialmente las descargadas de Internet. Las macros son un mecanismo habitual de distribución de malware; desactivarlas de forma predeterminada o permitir únicamente macros de confianza ayuda a garantizar que los usuarios no ejecuten código dañino de forma inadvertida.
Endurecimiento de las aplicaciones de usuario - Endurezca la configuración de las aplicaciones de usuario desactivando o eliminando las funciones que no se necesiten, especialmente aquellas de las que se suele abusar. Por ejemplo, desactive los complementos no seguros del navegador (como Flash), bloquee los anuncios o el código remoto en los lectores de PDF y elimine los protocolos heredados. El objetivo es limitar las oportunidades de los atacantes para explotar los puntos débiles de las aplicaciones de usuario .
Restrinja los privilegios administrativos - Aplique el principio del menor privilegio. Limite las cuentas de administrador a quienes realmente las necesiten y controle estrictamente su uso. Al restringir los derechos de administrador, se reduce significativamente el impacto si una cuenta de usuario normal se ve comprometida (los atacantes no pueden aprovecharla fácilmente para obtener el control total) . Las cuentas de administrador que existan deben estar separadas de las cuentas normales y supervisadas activamente.
Parchee los sistemas operativos: al igual que con las aplicaciones, mantenga los sistemas operativos (Windows, Linux, etc.) actualizados con los últimos parches de seguridad. Asegurarse de que se aplican las actualizaciones del sistema operativo (especialmente para vulnerabilidades críticas y de alto riesgo) evita que los atacantes exploten fallos conocidos del sistema operativo .
Autenticación multifactor (MFA) - Exija MFA a todos los usuarios que accedan a sistemas importantes, especialmente para el acceso remoto o las cuentas privilegiadas. MFA (como un código de un solo uso o biométrico, además de una contraseña) ayuda a impedir que los adversarios que han robado o adivinado contraseñas inicien sesión. Añade una barrera adicional que mejora significativamente la seguridad de la cuenta.
Copias de seguridad periódicas: realice copias de seguridad periódicas (al menos diarias) de los datos, el software y las configuraciones importantes, y compruebe que puede recuperarlos. En caso de ransomware o pérdida de datos, las copias de seguridad fiables garantizan que pueda restaurar los sistemas para que funcionen con normalidad. Probar las copias de seguridad es fundamental para garantizar que el proceso de restauración funciona cuando es necesario.

Niveles de madurez 0-3

Cada control de los Ocho Esenciales puede aplicarse con distintos niveles de rigor, que la ACSC define como Niveles de Madurez 0 a 3. Estos niveles de madurez indican lo preparada que está su organización para enfrentarse a adversarios cada vez más sofisticados:
Nivel de madurez 0 - Los controles son ineficaces o no existen. Esto significa serias debilidades en la higiene cibernética - un adversario usando incluso técnicas básicas, ampliamente disponibles podría comprometer los sistemas . (El nivel 0 está esencialmente "por debajo de la línea de base").
Nivel de madurez 1 - Implementación básica. Aborda los ataques oportunistas que utilizan malware básico y exploits conocidos. En el nivel 1, la atención se centra en las protecciones básicas para evitar ataques que requieren un esfuerzo o una habilidad mínimos por parte de los atacantes (por ejemplo, script kiddies o escaneos automáticos). Este nivel se recomienda como mínimo para todas las organizaciones y suele ser el primer objetivo de madurez para el cumplimiento.
Nivel de madurez 2 - Aplicación intermedia/mejorada. Defiende contra técnicas más sofisticadas que el Nivel 1. En el Nivel 2, los atacantes pueden invertir más tiempo en un objetivo o utilizar técnicas moderadamente avanzadas para eludir los controles básicos (por ejemplo, spear-phishing a los usuarios o el uso de métodos de bypass bien conocidos) . Los controles en este nivel son más fuertes y se aplican de forma más coherente, deteniendo una gama más amplia de amenazas.
Nivel de madurez 3 - Aplicación avanzada. Representa una postura robusta y altamente resistente frente a adversarios determinados y adaptables. El nivel 3 está diseñado para mitigar las amenazas persistentes avanzadas (APT) que emplean herramientas sofisticadas y técnicas novedosas para atacar a víctimas específicas. Una organización en el Nivel 3 tiene controles de seguridad completos y estrechamente integrados y puede resistir ataques sostenidos (aunque ni siquiera el Nivel 3 puede detener a los atacantes con más recursos en todos los casos).

En general, se aconseja a las organizaciones que alcancen el mismo nivel de madurez en los ocho controles antes de pasar a un nivel superior. Por ejemplo, alcanzar el nivel 1 en las ocho estrategias, luego pasar al nivel 2 en todas, y así sucesivamente. Esto garantiza una defensa equilibrada, ya que un atacante suele atacar el eslabón más débil. Al utilizar el modelo de madurez como hoja de ruta, los equipos de TI pueden priorizar las mejoras y medir su progreso hacia una postura de seguridad más sólida.