Reforzar el sistema operativo: Windows, macOS, Linux

Un CISO me transmite la línea de base de refuerzo de su parque: 220 ítems, validada en comité, firmada por la Dirección de TI, desplegada por GPO. Ítem 1, desactivar SMBv1. Ítem 47, desactivar PowerShell v2. Ítem 89, fijar el tiempo de suspensión de la pantalla. Todo es correcto. Salvo que el director general usa su cuenta de administrador local a diario, que su contraseña es Madrid2024!, y que la máquina no ha recibido ninguna actualización de seguridad desde hace cinco meses porque los reinicios le molestaban en las videollamadas. La checklist era perfecta. El puesto, abierto como una puerta de granero.

La trampa habitual

El refuerzo de un sistema operativo, en la mayoría de las organizaciones, se ha convertido en un ejercicio de conformidad documental. Se descarga un benchmark, se marcan casillas, se produce un informe, se archiva. El informe dice que el puesto está reforzado. El puesto, por su parte, no ha entendido nada de la amenaza que lo apunta realmente. Es exactamente la misma trampa que la conformidadAgencia española de ciberseguridad, autoridad nacional de referencia para ciudadanos y empresas.Ver el glosario sin modelo de amenaza: un teatro de seguridad que consume presupuesto y produce falsa tranquilidad.

Los CIS Benchmarks, las líneas de base de Microsoft, las guías de configuración del INCIBE son documentos útiles. Recensan un conjunto de ajustes conocidos por ser mejores que los valores por defecto. No son modelos de amenaza, y no pretenden serlo. Un CIS Benchmark de Windows cuenta varios cientos de recomendaciones. Aplicarlas todas sin reflexionar equivale a reforzar uniformemente puntos cuya importancia varía en un factor cien. Desactivar SMBv1 en un portátil que nunca comparte por red no cambia nada en su exposición. Trabajar en cuenta de administrador todos los días lo cambia todo. Las dos medidas tienen el mismo peso en el informe de conformidad. No tienen el mismo peso contra un atacante.

La segunda trampa es la de la checklist gigante percibida como una garantía de seriedad. Cuanto más larga es la lista, más rigurosa parece, y más ingobernable es en realidad. Una línea de base de 220 ítems que nadie mantiene se degrada en unos meses: una excepción concedida aquí, un ajuste roto por una actualización allá, un puesto reinstalado sin el perfil. Al cabo de un año, el informe sigue mostrando 220 ítems «conformes» cuando la mitad de los puestos han derivado. Un puñado de medidas realmente aplicadas y verificadas bate a una enciclopedia de ajustes teóricos. El refuerzo no es un proyecto que se termina, es un estado que se mantiene.

Modelo de amenaza real: contra qué se refuerza de verdad

Antes de alinear ajustes, hay que saber qué golpea realmente a los puestos. El modelo de amenaza dominante no es el ataque sofisticado de cine. Es el oportunismo industrializado: un malware genérico entregado por archivo adjunto o descarga trampeada, que se ejecuta en el contexto del usuario actual e intenta establecer una persistencia. La práctica totalidad de los compromisos de puesto que se hacen en debrief responden a ese esquema, y tres hechos lo caracterizan.

El vector de entrada pasa casi siempre por el usuario. Archivo adjunto abierto, macro activada, ejecutable descargado de un sitio falso, enlace de phishingAtaque de ingeniería social que empuja a la víctima a dar sus credenciales o ejecutar código.Ver el glosario que sirve un instalador infectado. El código malicioso arranca con los derechos de la sesión abierta. Si esa sesión es de administrador, el malware lo es también al instante: instala un ransomwareMalware que cifra los datos y exige un rescate, a menudo precedido de una exfiltración previa.Ver el glosario, desactiva el antivirus, coloca un rootkitMalware que se instala en profundidad en el SO para permanecer invisible y persistente.Ver el glosario, y el puesto está perdido. Si la sesión es estándar, el mismo fichero trampeado queda acotado a los archivos personales del usuario —molesto, reparable, sin escalada hacia el sistema—.

El atacante medio explota vulnerabilidades ya corregidas. Según los análisis recurrentes de los vectores de ataque reales, la abrumadora mayoría de los compromisos explotan fallos para los que existía un parche desde hacía más de un mes. El adversario ordinario no quema un 0-day en un puesto cualquiera: escanea las máquinas con retraso de parche y entra por la puerta que el editor ya ha documentado y cerrado para quien actualiza. El retraso de actualización es, estadísticamente, el primer factor de compromiso.

La persistencia se esconde en ubicaciones previsibles. Un malware que quiere sobrevivir al reinicio se inscribe en mecanismos conocidos: claves Run del registro de Windows, tareas programadas, servicios, LaunchAgents y LaunchDaemons en macOS, units de systemd y cron en Linux. Y se instala en directorios accesibles sin derechos elevados: %TEMP%, %APPDATA%, la carpeta de usuario. Reforzar eficazmente es volver esas ubicaciones y esos mecanismos inhóspitos, no recitar un benchmark.

El enfoque correcto: reforzar por impacto, no por exhaustividad

El cambio pragmático consiste en clasificar las medidas por su efecto real sobre el modelo de amenaza anterior, y luego aplicar primero las que bloquean más escenarios con el menor esfuerzo. Una decena de medidas, transversales o por sistema operativo, hacen lo esencial del trabajo. El resto es ajuste fino reservado a los perfiles que lo necesitan.

El zócalo transversal, válido en los tres sistemas operativos

Cuenta estándar para el día a día, administrador reservado a las instalaciones. Es la medida de refuerzo más eficaz y la menos aplicada. Rompe en seco la escalada automática del malware: un fichero trampeado abierto en sesión estándar no puede instalarse en el sistema, desactivar las protecciones, ni volverse persistente a escala de la máquina. En Windows, cree una cuenta estándar para trabajar y una cuenta de administrador distinta para instalar. En macOS, misma lógica —una cuenta estándar trabaja, las acciones de sistema reclaman una contraseña de administrador puntual—. En Linux, ya es el valor por defecto de toda distribución seria; la trampa es romperlo concediendo un sudo permanente y amplio.

Actualizaciones automáticas, sin excepción ni aplazamiento. Puesto que el retraso de parche es el primer factor de compromiso, la automatización es el control con mejor relación esfuerzo/efecto. Windows Update en modo automático con ventana de reinicio impuesta. macOS con la instalación automática de las actualizaciones de sistema y de aplicaciones marcada. Linux con unattended-upgrades en Debian/Ubuntu o dnf-automatic en Fedora/RHEL, probados con --dry-run antes de la activación. La regla cultural que cuenta: un reinicio en espera no es negociable, ni siquiera para un directivo en videollamada.

Cifrado de disco con secreto de usuario, no solo de hardware. BitLockerSolución Microsoft de cifrado de disco integrada en Windows Pro/Enterprise.Ver el glosario, FileVaultCifrado de disco integrado en macOS desde OS X Lion.Ver el glosario o LUKSEstándar de cifrado de disco en Linux, generalmente vía cryptsetup y dm-crypt.Ver el glosario activo no basta: hace falta un PIN o una frase de paso, no el solo desbloqueo por TPMChip criptográfico soldado a la placa base que almacena claves y certifica la integridad del arranque.Ver el glosario. El detalle de los modos, de los estados de suspensión y de la gestión de las claves de recuperación es objeto de un artículo dedicado —es el complemento natural del refuerzo, y el error de despliegue más frecuente en este punto es BitLocker en modo TPM solo—.

Bloqueo de pantalla rápido y arranque verificado. Bloqueo automático en menos de dos minutos de inactividad, desbloqueo por contraseña o biometría —no solo una puesta en suspensión—. Secure BootMecanismo UEFI que verifica criptográficamente la cadena de arranque.Ver el glosario activado en el UEFI para impedir la carga de un gestor de arranque o de un núcleo no firmado. Estos dos ajustes cuestan cero y cierran vectores de acceso físico comunes.

Windows: los ajustes adicionales que cuentan

Más allá del zócalo transversal, Windows ofrece cuatro palancas de fuerte efecto que la mayoría de las líneas de base ahogan en medio de cientos de ítems menores.

El primero son las reglas ASR (Attack Surface Reduction) de Windows Defender, ampliamente infrautilizadas a pesar de ser gratuitas y desplegables por GPO o Intune. Tres reglas valen de inmediato su activación: bloquear los procesos hijos lanzados por las aplicaciones de Office (un Word que arranca PowerShell es casi siempre un ataque), bloquear la ejecución de scripts ofuscados, y bloquear el lanzamiento de binarios desde las carpetas temporales y de descarga. Estas tres reglas cubren por sí solas la cadena de infección más común: archivo adjunto, macro, script, carga útil en %TEMP%.

El segundo es el bloqueo de las macros de Office no firmadas. En el Centro de confianza de cada aplicación de Office, seleccione «Deshabilitar todas las macros excepto las firmadas digitalmente». Los documentos de Word y Excel trampeados recibidos por correo siguen siendo un vector activo, y la macro sigue siendo la herramienta predilecta de las campañas masivas porque se ejecuta sin instalar nada. Microsoft bloquea ahora por defecto las macros de los ficheros provenientes de Internet, pero esa protección se sortea y se desactiva: no cuente solo con ella.

El tercero es el UAC ajustado en «Notificarme siempre». Sí, es más intrusivo que el ajuste por defecto «Notificarme solo cuando las aplicaciones intenten realizar cambios en el equipo». Y sí, es precisamente ese exceso de notificación el que le da la oportunidad de notar una elevación de privilegios que usted no ha desencadenado.

El cuarto, reservado a los puestos sensibles bajo Windows Enterprise o Education, es el allow-listing aplicativo vía AppLocker o Windows Defender Application Control. El principio: solo dejar funcionar los ejecutables, scripts y DLL explícitamente autorizados. El despliegue se hace en dos tiempos —primero en modo auditoría durante dos o tres semanas, que registra sin bloquear y permite cartografiar los falsos positivos y las herramientas de negocio legítimas, y luego en modo enforce una vez estabilizada la lista—. Saltarse la etapa de auditoría es garantizarse una oleada de tickets y una marcha atrás precipitada.

macOS: Gatekeeper, SIP y la caja de herramientas de Objective-See

macOS llega con un zócalo de protección sólido, y lo esencial del refuerzo consiste en no sabotearlo. Mantenga Gatekeeper en modo estricto (App Store y desarrolladores identificados), el ajuste por defecto desde hace varias versiones: rechaza las aplicaciones no firmadas y no notarizadas. El único momento en que uno se ve tentado de sortearlo es para instalar un software dudoso recuperado de un foro —es exactamente el momento de no hacerlo—.

No desactive jamás SIP (System Integrity Protection), sean cuales sean los tutoriales que lo reclamen «temporalmente» para hacer funcionar tal utilidad. SIP protege los directorios del sistema contra cualquier modificación, incluso por root. Es uno de los mecanismos que impide a un malware que ha obtenido derechos elevados incrustarse de forma duradera en el sistema. Un SIP desactivado y olvidado transforma un incidente menor en un compromiso profundo.

Añada a continuación la suite gratuita de Objective-See, mantenida por Patrick Wardle, antiguo de la NSA, que produce las mejores herramientas defensivas específicas de macOS. LuLu es un cortafuegos aplicativo que le pregunta si una nueva conexión saliente es legítima: corta el «teléfono a casa» de un malware que intentara contactar con su servidor de comando. BlockBlock vigila en tiempo real los mecanismos de persistencia comunes —LaunchAgents, LaunchDaemons, cron— y alerta cuando algo intenta instalarse en ellos. KnockKnock levanta el inventario de todo lo que está configurado para ejecutarse al arrancar; láncelo después de cada instalación de aplicación para ver qué se ha añadido sin su conocimiento.

Por último, para los perfiles realmente expuestos a ataques dirigidos —periodistas, directivos, activistas—, el Lockdown Mode desactiva o restringe un conjunto de funcionalidades históricamente explotadas por los programas espía tipo Pegasus: compilación JIT de WebKit, vistas previas de enlaces en Mensajes, conexiones por cable hacia dispositivos desconocidos cuando el Mac está bloqueado, ciertas API. El coste ergonómico es real —navegación más lenta en algunos sitios, funcionalidades de menos— y solo se justifica para quien tiene un verdadero perfil de objetivo. Activarlo «por si acaso» en un puesto cualquiera es fricción sin beneficio.

Linux: no sabotear lo que ya protege

La seguridad de un puesto Linux depende fuertemente de la distribución, del entorno de escritorio y de quién administra la máquina. El refuerzo consiste primero en no desactivar las protecciones activas por defecto.

No desactive ni AppArmor (Debian/Ubuntu) ni SELinux (RHEL/Fedora). Estos sistemas de control de acceso obligatorio confinan cada proceso a lo que necesita, y constituyen una razón mayor de la mejor resistencia de Linux a los exploits locales frente a muchas configuraciones de Windows. El reflejo «desactivo SELinux porque bloquea mi aplicación» es un error: la buena respuesta es escribir la política adaptada, no abrirlo todo.

Reduzca la duración de caché de sudo. Por defecto, sudo conserva los derechos unos quince minutos tras la autenticación; en un puesto compartido o expuesto, baje ese valor a unos pocos minutos, incluso a cero con Defaults timestamp_timeout=0 en /etc/sudoers. Y conceda sudo solo a las cuentas que tengan una necesidad documentada, sin regla permisiva «todo autorizado sin contraseña» que anula el interés de la cuenta estándar.

Verifique por último que el swap está cifrado. Un swap en claro puede recoger fragmentos de memoria —claves, secretos, datos descifrados— y conservarlos en disco. En una configuración LVM-on-LUKS, donde todo el grupo de volúmenes está en un contenedor LUKS, el swap está protegido automáticamente; si no, controle con lsblk -f que la partición de swap aparece bien como cifrada.

Lo que es performativo y no cambia nada

Una parte del «refuerzo» que se ve aplicado no sirve para nada más que para rellenar un informe. Saber reconocer esas medidas permite no dedicarles tiempo y no creerse protegido por ellas.

Renombrar la cuenta de administrador. Es security by obscurity en estado puro. Un atacante que tiene un pie en la máquina enumera las cuentas en dos segundos, identificador único incluido. Rebautizar «Administrator» como «JuanPérez» no retrasa a nadie y complica la administración legítima.

Desactivar completamente PowerShell «por seguridad». PowerShell es una herramienta de administración legítima y potente. Suprimirla crea problemas de explotación sin detener a los atacantes, que se repliegan a cmd.exe, WScript, o un binario de sistema desviado. El buen enfoque no es la desactivación sino el Constrained Language Mode, el registro de los bloques de script (ScriptBlock Logging) y la firma de los scripts internos.

Desactivar el Bluetooth o el Wi-Fi por principio. Cortar una radio de la que no se tiene uso reduce marginalmente la superficie, y es un hábito razonable. No es una medida de seguridad decisiva: un atacante decidido con acceso físico o de red no será detenido por la ausencia de Bluetooth. Coloque esa acción en la casilla «higiene» en lugar de «protección fuerte».

Cambiar el puerto SSH o multiplicar los ajustes cosméticos. Mover SSH del puerto 22 a otro reduce el ruido de los escáneres automatizados en los registros, nada más. La protección viene de la autenticación por clave, de la desactivación del login de root y de la contraseña, no del número de puerto. Confundir el silencio en los registros con una mejora de seguridad es un error clásico.

Acumular herramientas de seguridad sin reducir la superficie. Apilar antivirus, EDR, cortafuegos de terceros y utilidades de «limpieza» en un puesto donde el usuario sigue siendo administrador es tratar el síntoma dejando la causa. Un malware lanzado con derechos elevados neutraliza esas herramientas antes de que alerten. La detección completa la reducción de superficie; no la sustituye jamás.

Qubes OS: la compartimentación, y para quién

Cuando el perfil de amenaza es muy elevado, el refuerzo clásico alcanza su límite: todo vive en el mismo sistema, y un compromiso del navegador puede, encadenando exploits, alcanzar los documentos sensibles. Qubes OS responde a ese problema por la arquitectura. Construido sobre el hipervisor Xen, ejecuta cada dominio de uso en una máquina virtual aislada: una VM para el navegador, una para los correos, una para los documentos sensibles, una desechable para abrir un archivo adjunto dudoso. El compromiso de una VM no da acceso a las demás.

Es, sobre el papel, el diseño más sólido para un puesto de trabajo. Es también el más exigente: curva de aprendizaje real, compatibilidad de hardware limitada (no todos los portátiles sirven), ciertas aplicaciones difíciles de integrar, rendimiento por debajo. Qubes se justifica para los periodistas de investigación, los investigadores de seguridad, o los perfiles bajo amenaza estatal que tienen tiempo de invertir en la adopción —y que ya aplican rigurosamente el zócalo de los demás sistemas operativos—. Instalarlo «porque es más seguro» sin entender el modelo de compartimentación produce una falsa impresión de seguridad y una verdadera pérdida de productividad.

Lo que esto implica en concreto

Errores que se ven todo el tiempo

• Trabajar en cuenta de administrador a diario. El error más simple de corregir y el más extendido: se encuentra en la mayoría de los puestos auditados. Un solo fichero trampeado abierto en sesión de administrador, y el malware hereda todos sus derechos sin pedir nada.
• Aplicar un CIS Benchmark sin modelo de amenaza. Desactivar SMBv1 en un puesto que no comparte nada tranquiliza el informe y no cambia nada en la exposición. Entender por qué existe cada ítem vale más que marcarlo todo.
• Aplazar las actualizaciones «cuando tenga tiempo». En la práctica, nunca en los 30 días. El retraso de parche es el primer factor de compromiso, muy por delante de la ausencia de ajuste exótico.
• Confundir la longitud de la checklist con el nivel de seguridad. Una línea de base de 220 ítems nunca mantenida deriva en unos meses. Diez medidas aplicadas y verificadas baten a una enciclopedia teórica.
• Desactivar las protecciones «porque molestan». SIP cortado en macOS, UAC bajado en Windows, SELinux desactivado en Linux, alertas Gatekeeper/SmartScreen ignoradas por reflejo: cada desactivación reabre exactamente el vector que el control bloqueaba.
• Creer que el EDR sustituye al refuerzo. Un malware lanzado en administrador neutraliza el EDR antes de que alerte. La detección no sustituye la reducción de superficie; la completa.
• Hacer security by obscurity. Renombrar la cuenta «Administrator», cambiar el puerto SSH: un atacante que tiene un pie en la máquina lee la configuración en dos segundos. No detiene a nadie.

Checklist accionable

• N1 Trabajar en cuenta de usuario estándar, cuenta de administrador separada reservada a las instalaciones
• N1 Activar las actualizaciones automáticas de SO y aplicaciones, reinicios no negociables
• N1 Cifrar el disco con PIN/frase de paso (FileVault, BitLocker+PIN, LUKS), clave de recuperación fuera del dispositivo
• N1 Bloqueo de pantalla automático en menos de 2 minutos y Secure Boot activado en el UEFI
• N2 Activar el cortafuegos del SO y, en macOS, instalar LuLu para controlar las conexiones salientes
• N2 Bloquear las macros de Office no firmadas y activar las reglas ASR de Windows Defender
• N2 Adoptar CIS Benchmark Level 1 como línea de base, Level 2 para los puestos de las funciones sensibles
• N2 Medir automáticamente la conformidad del parque al nivel objetivo y seguir la deriva mensualmente
• N2 Reducir las cuentas con derechos de administrador local y auditar sudo/AppArmor/SELinux en Linux
• N3 Desplegar AppLocker o WDAC en allow-list (auditoría y luego enforce) en los puestos Windows sensibles
• N3 Activar Lockdown Mode e instalar BlockBlock + KnockKnock para los perfiles con riesgo dirigido (macOS)
• N3 Evaluar Qubes OS para los perfiles muy expuestos que dispongan de las competencias técnicas

Para profundizar

Las referencias del frontmatter encuadran el refuerzo sin reducirlo a conformidad: los CIS Benchmarks y las security baselines de Microsoft dan los referenciales Level 1/Level 2, las recomendaciones del INCIBE completan del lado de la configuración de puestos, y la suite Objective-See equipa concretamente macOS. La documentación de Qubes OS ilumina la elección de una arquitectura por compartimentación para los perfiles muy expuestos.

El refuerzo del sistema operativo solo tiene sentido articulado con el resto de la cadena del puesto. El complemento inmediato es El cifrado de disco, ¿de verdad?, que detalla los estados de protección y la gestión de las claves de recuperación. Para la autenticación resistente al phishing que protege las cuentas detrás del sistema operativo, vea YubiKey y FIDO2. Y para trasponer estas medidas a un puesto que sale del perímetro dominado, lea El portátil de viaje.