HARDENING

Uncategorized

El hardening (endurecimiento o bastionado) es el proceso de reforzar la seguridad de sistemas, redes y aplicaciones reduciendo su superficie de ataque y eliminando vulnerabilidades.[isnum]​

Definición básica

  • Consiste en aplicar configuraciones, políticas y controles para que un sistema sea lo más “mínimo y seguro” posible: solo los servicios necesarios, bien configurados y actualizados.[unir]​
  • Se habla de hardening de sistemas operativos, bases de datos, aplicaciones, dispositivos de red, etc., pero la idea es siempre la misma: endurecer para que haya menos puntos de entrada para un atacante.[onretrieval]​

Medidas típicas de hardening

  • Eliminar servicios y software innecesarios (desinstalar lo que no se usa, cerrar puertos).[puntsistemes]​
  • Configurar de forma segura: permisos de ficheros, políticas de contraseñas, bloqueo de cuentas, logs, restricciones de ejecución.[incibe]​
  • Principio de mínimo privilegio: reducir permisos de usuarios y procesos al mínimo imprescindible.[s2grupo]​
  • Aplicar parches y actualizaciones de sistema operativo, middleware y aplicaciones para cerrar vulnerabilidades conocidas.[puntsistemes]​
  • Activar controles extra: firewalls, listas de control de acceso, MFA, SELinux/AppArmor, cifrado de datos en reposo y en tránsito.[incibe]​

Objetivo e importancia

  • Reducir la probabilidad de explotación de vulnerabilidades y movimientos laterales, haciendo los ataques más difíciles y ruidosos.[universidadviu]​
  • Es requisito o buena práctica en marcos como ENS, NIS2, ISO 27001, etc., donde el bastionado figura como control esencial previo a la explotación.[msmk]​

Ejemplo práctico (Linux, muy resumido)

  • Deshabilitar SSH root, forzar claves en lugar de contraseña, umask restrictiva, iptables/nftables, fail2ban, actualización del kernel y limpieza de paquetes no usados.[incibe]​

Para un Windows 11 “doméstico/profesional” (sin dominio, tipo equipo personal o portátil de trabajo) un hardening razonable pasa por reforzar arranque, cuentas, red, actualizaciones y protección integrada.[es.simeononsecurity]​

1. Arranque seguro y base del sistema

  • Mantén Secure Boot y TPM 2.0 activos en la BIOS/UEFI; Windows 11 ya los exige, pero conviene verificar que no se han desactivado, porque protegen frente a rootkits y manipulaciones del arranque.[es.simeononsecurity]​
  • Crea al menos un punto de restauración y, si puedes, una imagen del sistema antes de cambios grandes de configuración.[learn.microsoft]​

2. Cuentas, contraseña y autenticación

  • Usa una cuenta estándar para el día a día y reserva la cuenta administrador solo para instalar software o cambiar configuración.[calcomsoftware]​
  • Asegura tu cuenta Microsoft con contraseña robusta y 2FA; aplica también PIN de Windows Hello (o mejor, biometría) para acceder al equipo.[incibe]​
  • Deshabilita cuentas locales que no uses y evita dejar contraseñas en blanco o preguntas de seguridad débiles.[ninjaone]​

3. Actualizaciones y protección integrada

  • Mantén Windows Update en automático y revisa que se instalen también las actualizaciones opcionales de seguridad de drivers/firmware cuando proceda.[incibe]​
  • Activa y configura Seguridad de Windows (Defender):
    • Protección en tiempo real, basada en la nube y control de apps potencialmente no deseadas (PUA).
    • Activa aislamiento basado en virtualización (VBS) y integridad de memoria (HVCI) si el hardware lo soporta: refuerza contra exploits de kernel y drivers.[calcomsoftware]​

4. Red, firewall y superficie de ataque

  • Asegúrate de tener el Firewall de Windows activo en todos los perfiles de red (dominio, privado, público), y revisa reglas de entrada: desactiva las que no reconozcas o no necesites.[q2bstudio]​
  • Desactiva uso compartido de archivos/impresoras y la detección de redes en conexiones públicas; limítalo solo a redes de casa/oficina.[q2bstudio]​
  • Deshabilita servicios innecesarios (por ejemplo, Remote Assistance) y solo deja Escritorio remoto activado si realmente lo usas, con firewall y MFA reforzados.[nedigital]​

5. Aplicaciones, permisos y privacidad

  • Desinstala bloatware y apps que no utilices; cada software extra es superficie de ataque adicional.[ninjaone]​
  • Revisa privacidad y seguridad → Permisos de aplicaciones y desactiva acceso a cámara, micrófono, localización, etc. para apps que no lo necesiten.[incibe]​
  • Restringe instalación de aplicaciones a Microsoft Store o a apps conocidas cuando sea posible y desconfía de ejecutables descargados de fuentes no verificadas.[es.simeononsecurity]​

6. Protección extra (si quieres ir un paso más allá)

  • Activa reglas de Attack Surface Reduction (ASR) y protección contra ransomware dentro de Defender si tu versión lo permite (bloqueo de carpetas controlado para Documentos, Escritorio, etc.).[calcomsoftware]​
  • Si gestionas varios equipos, puedes aplicar Microsoft Security Baselines (CIS/microsoft) con GPO o Intune para alinear tu configuración con recomendaciones estándar.[oneconsult]​

.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *