defensiva
bastionado
hardening
CIS benchmarks

Bastionado de redes y sistemas: qué es, marcos y aplicación

Qué es el bastionado de redes y sistemas: definición, marcos CIS y NIST, hardening como código, errores frecuentes y encaje en ENS, NIS2 e ISO 27001.

Secra16 de mayo de 202612 min de lectura

El bastionado (también conocido como hardening o endurecimiento) es el proceso de reducir la superficie de ataque de un sistema o de una red configurándolo a un estado seguro conocido: desactivar servicios innecesarios, aplicar configuraciones seguras por defecto, eliminar usuarios sobrantes, restringir permisos, habilitar registro y verificación de integridad. No es una herramienta ni un producto: es una disciplina que aplica configuraciones probadas (de marcos como CIS Benchmarks o NIST) sobre los componentes que sostienen la operación. Bien ejecutado, cierra de un solo movimiento más vulnerabilidades que cualquier antivirus o EDR, porque elimina la oportunidad antes de que aparezca la firma. Esta entrada explica qué es el bastionado de redes y sistemas, los marcos de referencia que se usan, cómo se aplica en la práctica y los errores frecuentes que reducen su eficacia.

Qué es el bastionado: definición técnica

El bastionado es la aplicación sistemática de un conjunto de configuraciones seguras sobre un sistema o componente para que quede expuesto solo a lo que el negocio necesita y no a lo que viene de fábrica. Los sistemas operativos, los servicios, las bases de datos, los firewalls, los routers, los entornos cloud y los contenedores salen del fabricante con configuraciones pensadas para que funcionen, no para que sean seguros. Cuentas por defecto activas, protocolos antiguos habilitados, banners informativos visibles, registros mínimos: todo aporta funcionalidad y, a la vez, oportunidades al atacante.

El bastionado invierte esa lógica: parte del principio contrario (todo desactivado salvo lo estrictamente necesario) y deja solo lo que tiene justificación operativa documentada.

Tres palabras se mezclan a menudo:

  • Bastionado / endurecimiento / hardening: las tres se usan indistintamente.
  • Securización: término más amplio que incluye bastionado, gestión de identidades, parcheo y otras disciplinas.
  • Hardening as code: aplicación del bastionado mediante código (Ansible, Chef, Puppet, plantillas IaC) en lugar de manualmente.

Bastionado de sistemas operativos

Es el ámbito más maduro y donde existen los marcos más completos. Se aplica sobre Windows, Linux, macOS, sistemas embebidos y, cada vez más, sobre imágenes de contenedor.

Acciones típicas:

  • Cuentas y autenticación: eliminar cuentas por defecto, política de contraseñas, MFA en cuentas privilegiadas, separación entre cuentas administrativas y de uso diario.
  • Servicios innecesarios: desactivar todo lo que no se usa (telnet, FTP, SMBv1, servicios remotos antiguos, NetBIOS).
  • Protocolos seguros: TLS 1.2/1.3 obligatorio, deshabilitar SSL antiguos, ciphers fuertes.
  • Auditoría y logging: habilitar auditoría detallada, configurar reenvío a SIEM, registrar eventos críticos (intentos fallidos, cambios de privilegios, accesos a recursos sensibles).
  • Permisos del sistema de archivos: restringir ACLs, eliminar permisos world-writable, controlar acceso a binarios sensibles.
  • Hardening del kernel: módulos restringidos, ASLR, control de capacidades, sandboxing (AppArmor, SELinux, gVisor).
  • Actualización: política de parcheo automatizada, ventanas de mantenimiento definidas.

Marcos de referencia habituales: CIS Benchmarks (Center for Internet Security), STIG (Security Technical Implementation Guides del DoD), NIST SP 800-123 para servidores, Microsoft Security Baselines para Windows y M365.

Bastionado de redes

Se aplica sobre los componentes que mueven tráfico: routers, conmutadores, firewalls, puntos de acceso, balanceadores, VPN concentrators.

Acciones típicas:

  • Eliminar configuración por defecto: contraseñas, SNMP communities, banners.
  • Restringir acceso de gestión: planos de gestión separados (out-of-band), ACLs sobre interfaces de administración, MFA obligatoria.
  • Protocolos seguros: SSH versión 2, HTTPS, SNMPv3 con autenticación.
  • Segmentación: VLANs, microsegmentación, separación entre redes de producción, gestión, OT y usuarios.
  • Routing seguro: filtros antispoofing, BCP-38, validación BGP con RPKI cuando aplica.
  • Telemetría: NetFlow/IPFIX, logs de firewall, captura de paquetes en perímetro, integración con SIEM.
  • Actualizaciones: firmware al día, supervisión de avisos del fabricante.

El bastionado de redes complementa la segmentación: una microsegmentación bien aplicada reduce drásticamente el movimiento lateral que vemos en respuestas a incidentes DFIR.

Bastionado en cloud

Cloud cambia la naturaleza del bastionado. Ya no se trata solo de configurar máquinas, sino de configurar servicios gestionados (storage, bases de datos, identidad, redes) que el proveedor expone.

Acciones típicas en AWS, Azure y GCP:

  • IAM mínimo: políticas que cumplan principio de menor privilegio, sin permisos *:*, sin usuarios con credenciales estáticas cuando hay alternativas (roles, workload identity).
  • Cifrado por defecto: KMS, claves gestionadas, cifrado en reposo y en tránsito en todos los servicios que lo soportan.
  • Logging activado: CloudTrail, Azure Activity Log, GCP Audit Log con destino seguro y retención.
  • Network: VPC bien diseñada, security groups/NSG restrictivos, sin reglas 0.0.0.0/0 en puertos críticos.
  • Storage: sin buckets públicos, Object Lock / Blob Immutability en backups.
  • Bases de datos: parámetros seguros (cifrado, conexiones TLS, autenticación IAM cuando se pueda), backups y point-in-time recovery activos.
  • Servicios SaaS: configuración del tenant según los baselines del proveedor (Microsoft 365 Secure Score, Google Workspace recommendations).

Las plataformas de CSPM (Cloud Security Posture Management) automatizan buena parte de esta verificación: comparan la configuración actual con baselines de bastionado y reportan desviaciones. Detalle del modelo de responsabilidad en IaaS, PaaS y SaaS.

Marcos de referencia para el bastionado

No hace falta inventar las configuraciones: existen marcos públicos y bien mantenidos. Los más usados:

  • CIS Benchmarks: probablemente el más extendido en el sector privado. Cubre prácticamente todo (Windows, Linux, macOS, AWS, Azure, GCP, Kubernetes, Docker, bases de datos, navegadores). Disponible en niveles L1 (controles compatibles con uso general) y L2 (más restrictivos, pensados para entornos sensibles).
  • NIST SP 800-53 / SP 800-171: marcos generales del NIST. SP 800-53 es el catálogo amplio de controles que sirve de base a FedRAMP; SP 800-171 cubre información controlada no clasificada (CUI). La antigua SP 800-123 sobre seguridad de servidores fue retirada por NIST; conviene apoyarse en SP 800-53 directamente.
  • STIG (DISA): requisitos del Departamento de Defensa estadounidense. Más estrictos que CIS L2; usados en entornos defensa y críticos.
  • Microsoft Security Baselines: específicos para Windows, Microsoft 365, Azure y Microsoft Defender. Vienen como GPO listas para aplicar.
  • Esquema Nacional de Seguridad (ENS): en España, el ENS exige configuraciones seguras y proporciona perfiles por nivel (Básico, Medio, Alto). Detalle en ENS para PYMEs.
  • ISO/IEC 27001 Anexo A: aunque la norma no exige un baseline concreto, varios controles del Anexo A (analizado en ISO 27001 explicada) implican bastionado: A.8.9 (gestión de configuración), A.8.20 (seguridad de redes), A.8.22 (segregación), A.8.27 (arquitectura segura).
  • CCN-STIC del Centro Criptológico Nacional español: guías técnicas usadas en el sector público.

En la práctica, las empresas combinan marcos: CIS Benchmarks como baseline operativo, ENS o ISO 27001 como exigencia normativa y, según sector, STIG o CCN-STIC en activos más críticos.

Cómo se aplica el bastionado en la práctica

Cuatro fases bien definidas en un proceso serio.

1. Inventario y clasificación de activos

No se puede bastionar lo que no se conoce. Inventario claro de servidores, dispositivos de red, servicios cloud, identidades. Clasificación por criticidad y por exposición.

2. Selección del baseline

Decidir qué marco aplica a cada tipo de activo: CIS L1 para servidores generales, CIS L2 o STIG para servidores críticos, baselines específicas para cloud y SaaS, ENS para activos en alcance normativo.

3. Aplicación: manual, asistida o como código

  • Manual: para entornos pequeños o sistemas legacy. Lento y propenso a errores.
  • Asistida con herramientas: Microsoft GPO, Ansible, Chef, scripts de hardening (OpenSCAP, Lynis).
  • Hardening as Code: la opción moderna. Configuraciones expresadas en Ansible, Terraform o plantillas declarativas que se aplican consistentemente, se versionan en Git y se auditan con CI/CD. Es la forma de mantener el bastionado a escala sin que se erosione con el tiempo.

4. Verificación continua

Sin verificación recurrente, el bastionado se erosiona: cambios ad hoc, excepciones temporales que se quedan, parches que reactivan servicios. Herramientas como OpenSCAP, Lynis, Wazuh (analizado en Wazuh SIEM), Microsoft Defender for Cloud y plataformas CSPM verifican el estado real frente al baseline y alertan ante desviaciones.

Ventajas concretas del bastionado bien hecho

Tres beneficios medibles aparecen en organizaciones que aciertan con la disciplina.

1. Reducción mensurable de incidentes

Sistemas bien bastionados resisten clases enteras de ataques: protocolos antiguos no aceptan conexiones, cuentas por defecto no permiten login, servicios inútiles no exponen puertos. Los informes de respuesta a incidentes muestran que la mayoría de compromisos se sostiene sobre configuraciones por defecto o erosionadas, no sobre zero-days sofisticados.

2. Mejor detección y respuesta

Un sistema bastionado registra más eventos relevantes y menos ruido. El SOC trabaja sobre alertas con contexto, no sobre logs incompletos. El MTTD baja porque las anomalías destacan más sobre un baseline limpio.

3. Cumplimiento normativo más sencillo

ENS, NIS2, ISO 27001, DORA y PCI DSS exigen configuraciones seguras. Disponer de un baseline aplicado y verificado convierte la evidencia de auditoría en algo trivial: el informe del CSPM o del SCAP es la prueba.

Errores frecuentes en bastionado

Patrones repetidos en auditorías:

  1. Baseline aplicado una vez y olvidado. Sin verificación periódica, el sistema regresa a estado inseguro en meses.
  2. Excepciones temporales que se hacen permanentes. Un servicio se activa "solo por una semana" y nadie lo desactiva.
  3. Bastionado solo de servidores, ignorando red, cloud y SaaS. La cadena se rompe por el eslabón menos cubierto.
  4. Aplicar L2 o STIG sin probar. Configuraciones muy restrictivas pueden romper aplicaciones legítimas; el camino correcto es L1 probado y subir progresivamente.
  5. No mantener inventario de excepciones. Las excepciones existen siempre (sistemas legacy, compatibilidad con proveedores), pero deben estar documentadas, justificadas, con responsable y con fecha de revisión.
  6. No integrar con SIEM. El bastionado deja huellas (logs, eventos de auditoría) que pierden valor si no llegan a una plataforma analítica.
  7. Confundir parcheo con bastionado. Son disciplinas complementarias pero distintas: un servidor parcheado puede tener configuraciones inseguras; un servidor bastionado pero sin parches sigue vulnerable.

Preguntas frecuentes

¿Qué es el bastionado de un sistema?

El bastionado de un sistema es el proceso de configurarlo a un estado seguro conocido, partiendo del estado por defecto del fabricante: desactivar servicios innecesarios, eliminar cuentas y credenciales por defecto, aplicar permisos restrictivos, habilitar registro, activar protocolos seguros. El objetivo es reducir la superficie de ataque dejando expuesto solo lo que tiene justificación operativa.

¿Qué diferencia hay entre bastionado y parcheo?

El parcheo corrige vulnerabilidades conocidas aplicando actualizaciones del fabricante. El bastionado elimina configuraciones inseguras incluso cuando no hay vulnerabilidad publicada (cuentas por defecto, servicios obsoletos habilitados, protocolos antiguos). Son disciplinas complementarias: un sistema parcheado pero mal configurado sigue siendo vulnerable; un sistema bastionado sin parches también. Las dos son obligatorias en cualquier marco serio (ISO 27001, ENS, NIS2).

¿Qué son los CIS Benchmarks?

Los CIS Benchmarks son guías de configuración segura publicadas por el Center for Internet Security, una organización sin ánimo de lucro estadounidense. Cubren prácticamente todo lo que se puede configurar: sistemas operativos, bases de datos, navegadores, cloud, contenedores, productos comerciales. Cada benchmark recomienda configuraciones específicas con justificación técnica y nivel (L1 para uso general, L2 para entornos sensibles). Son el estándar de facto del sector privado.

¿Cómo se aplica el bastionado en cloud?

En cloud, el bastionado se traduce en configurar servicios gestionados correctamente: IAM con menor privilegio, cifrado por defecto, logs activados, sin buckets o bases de datos públicas, sin reglas de red permisivas, baselines del Secure Score del proveedor. Se aplica con Infrastructure as Code (Terraform, CloudFormation) y se verifica con CSPM (Microsoft Defender for Cloud, AWS Security Hub, Wiz, Prisma Cloud). Detalle del modelo de responsabilidad compartida en IaaS, PaaS y SaaS.

¿Es obligatorio el bastionado para cumplir NIS2 o ENS?

Sí, en ambos casos, aunque ninguna norma diga "aplica CIS L1". El ENS exige configuraciones seguras documentadas con perfiles por nivel (Básico/Medio/Alto). NIS2 exige medidas técnicas y organizativas en su artículo 21, entre las que la configuración segura aparece de forma explícita. ISO 27001 Anexo A incluye varios controles que implican bastionado (A.8.9, A.8.20, A.8.22, A.8.27). En todos los casos, el auditor pide ver el baseline aplicado y la evidencia de verificación.

¿Cómo se mantiene el bastionado en el tiempo?

Con verificación automatizada continua. Herramientas como OpenSCAP, Lynis, Wazuh con módulos de configuración, plataformas CSPM para cloud y políticas DSC/GPO en Windows comparan el estado real con el baseline cada cierto tiempo y alertan ante desviaciones. La gestión de excepciones (justificadas, documentadas, con responsable y con fecha de revisión) cierra el círculo.

¿Sirve un EDR si no he bastionado los sistemas?

Sirve, pero rinde mucho menos. Un sistema sin bastionar genera ruido constante de eventos de bajo valor que el EDR y el SIEM tienen que filtrar. Sobre un sistema bastionado, las anomalías destacan, los falsos positivos bajan y la respuesta es más rápida. La regla práctica: invierte primero en bastionado básico (parches + CIS L1) antes de comprar el EDR más caro del mercado.

Recursos relacionados

¿Tu organización tiene servidores, dispositivos de red y entornos cloud con baselines de seguridad sin aplicar o sin verificar? En Secra acompañamos el bastionado de extremo a extremo: definición del baseline, aplicación con hardening as code, integración en el SIEM y verificación continua con CSPM y SCAP. Cuéntanos qué entorno tienes hoy y revisamos por dónde merece la pena empezar.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Conoce al equipo →Nuestra investigación →

Compartir artículo

Artículos Relacionados

defensiva

Cómo evitar el phishing: guía práctica 2026 para empresas

Cómo evitar el phishing en 2026: señales para reconocerlo, medidas técnicas (MFA, DMARC, filtro de correo) y plan de respuesta si has caído en uno.

2026-05-1613 min
defensiva

Blue Team: qué es, funciones y diferencias con Red Team

Qué es el Blue Team en ciberseguridad: funciones, herramientas, métricas MTTD y MTTR, diferencias con Red Team y Purple Team, y cuándo lo necesitas.

2026-05-1613 min
defensiva

Qué es el firmware: tipos, riesgos y seguridad explicados

Qué es el firmware, sus tipos (BIOS/UEFI, periféricos, IoT, routers), cómo se actualiza y por qué es una de las superficies de ataque más críticas hoy.

2026-05-1614 min