En el artículo anterior armamos el inventario de activos, y cerramos con una idea: cuando cada activo declara cómo se actualiza, los puntos ciegos desaparecen. Hoy toca el primero de los 9 básicos de la ANCI, justo el que ese inventario habilita: actualizar periódicamente.
Suena a apretar un botón. Pero hay un abismo entre actualizar tu teléfono y mantener al día el servidor de tu empresa: mismo principio, ejecución muy distinta. Por eso este artículo no da una sola receta, sino tres, según tu tamaño. Y un hilo que las cruza todas: no actualizas todo a la vez, priorizas.
Lo que no cambia con el tamaño
Da igual si proteges un equipo o cien: casi todos los ataques aprovechan fallas ya conocidas y ya corregidas por el fabricante, en algo que nunca instaló el parche. Actualizar es cerrar esas puertas antes de que las prueben. Y como la ventana entre que se publica una falla y se explota se achica cada año, la regla de oro es la misma para todos: automatiza todo lo que se pueda y vigila lo que no.
Lo que cambia es cuánto puedes dejar en automático y cuánto necesita un ojo humano. Ahí es donde tu tamaño manda.
Nivel 1 · Personas
Si proteges tus propios equipos, tienes la vida más fácil: casi todo se resuelve activando las actualizaciones automáticas y olvidándote.
- Teléfono y computador: activa la actualización automática del sistema. Es la casilla que más ataques evita por menos esfuerzo.
- Navegador: se actualiza solo si lo cierras de vez en cuando. Si vives con doscientas pestañas abiertas hace semanas, reinícialo.
- Apps: deja encendida la actualización automática de la tienda.
Lo único que no se actualiza solo y hay que mirar: ese router que sigue con el firmware de fábrica y los aparatos “inteligentes” (cámaras, impresoras) que nadie revisa. Una vez al año, entra y revísalos.
Nivel 2 · Pequeños emprendimientos: cómo lo hacemos nosotros
Cuando ya tienes un sitio web, un par de cuentas en la nube y quizá un servidor, “actualizar” deja de ser un botón y pasa a ser un sistema que corre solo en el fondo. La meta es simple: que lo importante se actualice sin depender de que alguien se acuerde. Así lo tenemos montado en Asentic, que somos exactamente ese tamaño:
- Los servidores se actualizan y se reinician solos, de madrugada. Aplican los parches de seguridad automáticamente y, cuando un parche necesita reinicio, lo hacen en una ventana nocturna fija, cuando no hay nadie usando el sitio. Nadie tiene que entrar a “hacer mantenimiento” el domingo.
- El sitio web se mantiene al día por su cuenta. El gestor de contenidos y sus complementos aplican solos las actualizaciones de seguridad, que es justo por donde entran la mayoría de los ataques a sitios.
- Nuestro propio equipo de trabajo también. El computador desde el que trabajamos tiene las actualizaciones automáticas activadas, igual que le pedimos a cualquiera. Predicar con el ejemplo empieza por el escritorio.
- Hasta las herramientas se actualizan. Nuestro escáner de seguridad refresca sus firmas de detección cada semana, porque una herramienta que detecta amenazas de hace un año detecta poco.
¿El resultado? Cerca del 70 % de nuestra superficie se mantiene al día sin intervención humana. El 30 % restante, lo que no conviene dejar en automático, tiene un responsable y una revisión periódica. Ese es el punto que a veces se pierde: automatizar no es “olvidarse”, es decidir a conciencia qué se actualiza solo y qué revisas tú.
Nivel 3 · PYME de mediana complejidad
Cuando tienes varios equipos, servidores propios, aplicaciones con sus dependencias y quizá contenedores, “activar el automático” ya no alcanza: un parche mal aplicado puede tumbar algo en producción. Aquí actualizar se vuelve un proceso, no un botón:
- Parte del inventario (el básico 0): no puedes actualizar lo que no sabes que tienes.
- Ventana de mantenimiento: un horario definido para aplicar cambios, no “cuando se acuerde alguien”.
- Prueba antes de aplicar en lo crítico: lo que corre tu negocio se parcha primero en un entorno de prueba.
- Vigila el fin de soporte (EOL): un sistema que ya no recibe parches es una puerta que nunca se cierra. Planifica el reemplazo antes de esa fecha.
- Un responsable: alguien que responde por que esto pase. Sin dueño, no ocurre.
Nada de esto exige un presupuesto grande. Exige método y constancia, que es de lo que se trata todo este básico.
El hilo conductor: priorizar
Ni la PYME más grande actualiza todo a la vez, y no hace falta. El orden lo dan dos preguntas: ¿está expuesto a internet? y ¿qué tan crítico es?
La regla práctica: si mira a internet, se actualiza sí o sí y pronto; el resto, por criticidad. Tu sitio web, tu correo y cualquier servicio publicado van primero, porque son los que un atacante encuentra sin buscar. Lo interno y de bajo riesgo puede esperar a un lote programado.
En resumen
Actualizar no es glamoroso, pero es la defensa más barata que existe: cierra puertas que ya alguien sabe cómo abrir. Elige tu nivel, automatiza todo lo que puedas y pon un ojo humano donde de verdad haga falta. Y si dudas por dónde empezar, empieza por lo que mira a internet.
¿Quieres saber si algún activo tuyo asoma a internet con software desactualizado? FreeScan te lo muestra en minutos, sin registro y sin costo. Es una buena forma de ver, desde afuera, cómo te ve un atacante.