Los Ocho Esenciales: el plan de Australia para la ciberseguridad
Cuando la Dirección de Señales de Australia (ASD) informa que un ciberataque golpea a una organización australiana cada seis minutos, está claro que necesitamos más que cruzar los dedos y esperar que nada les suceda a nuestros activos digitales. Ahí es donde entran en juego los Ocho Esenciales, el marco de ciberseguridad local de Australia que está ayudando a las compañías de todo el país a construir defensas más sólidas contra amenazas cada vez más sofisticadas.
Ya sea si quiere saber si la ciberseguridad de su negocio es adecuada o si ya está familiarizado con el marco y simplemente necesita un repaso, esta guía aclarará lo esencial. Analicemos qué son los Ocho Esenciales, por qué son importantes y cómo puede emplear este modelo.
¿Qué son exactamente los Ocho Esenciales?
Los Ocho Esenciales no son solo otra lista de verificación de ciberseguridad soñada en una sala de juntas. Es un marco cuidadosamente diseñado y desarrollado por los expertos en ciberseguridad de Australia en la ASD. Está basado en inteligencia del mundo real sobre cómo ocurren realmente los ataques cibernéticos y qué los detiene en seco.
Piense en este marco como ocho estrategias fundamentales que actúan como un enfoque de múltiples capas para la ciberseguridad. Cada estrategia se dirige a diferentes vectores de ataque, pero están diseñadas para complementarse entre sí. De esta forma se crean múltiples capas de protección que dificultan significativamente los esfuerzos de los ciberdelincuentes.
El marco surgió de la amplia experiencia de la ASD en inteligencia de amenazas cibernéticas, respuesta a incidentes y pruebas de penetración. Observaron lo que funciona y lo que no. Destilaron ese conocimiento en estas ocho estrategias básicas que pueden proteger la mayoría de las redes de TI conectadas a Internet. Con el 95% de las organizaciones en todo el mundo experimentando más de una violación de datos, la gestión de amenazas es una prioridad clara y no negociable para las compañías de todo el mundo.
Las ocho estrategias que mantienen seguras a las organizaciones australianas
Profundicemos en cada una de las ocho estrategias esenciales y comprendamos contra qué está diseñada cada una.
1. Aplicación de parches
Manténgase al día con las actualizaciones de aplicaciones, especialmente aquellas que usan Internet con frecuencia. El software obsoleto crea oportunidades fáciles para los ciberdelincuentes.
La estrategia utiliza escáneres de vulnerabilidades y herramientas de gestión de parches para identificar y abordar las vulnerabilidades. Lo anterior requiere un enfoque sistemático para la seguridad de las aplicaciones, no solo hacer clic en «Actualizar más tarde».
2. Parcheo del sistema operativo
Es similar a la aplicación de parches, pero para sistemas operativos. Las actualizaciones del sistema operativo deben gestionarse porque controlan el acceso a los dispositivos de red.
El marco enfatiza la aplicación rápida de parches, especialmente para servidores y dispositivos de red orientados a Internet.
3. Autenticación multifactor
La autenticación multifactor es un paso muy eficaz que requiere que los usuarios verifiquen su identidad con algo que saben, tienen o son.
Si se roban las contraseñas, la verificación multifactor agrega un paso necesario para reducir el riesgo de acceso no autorizado.
4. Restricción de privilegios administrativos
Las cuentas administrativas son como llaves maestras para el reino digital de una empresa. El marco de los Ocho Esenciales enfatiza limitar quién tiene estos poderosos privilegios e implementar el principio de mínimo privilegio: brindar a las personas solo el acceso que absolutamente necesitan para hacer su trabajo.
Elimine los privilegios de administrador permanentes y use controles para evitar la elevación no autorizada. Si una cuenta se ve comprometida, el impacto es limitado.
5. Control de aplicaciones
El control de aplicaciones consiste en garantizar que solo el software aprobado pueda ejecutarse en los sistemas de una compañía. Esto evita que se ejecute malware y evita que los empleados instalen aplicaciones potencialmente peligrosas.
La estrategia incluye la implementación de listas de permitidos para ejecutables, bibliotecas, scripts e instaladores aprobados. Al mismo tiempo, mantiene listas de bloqueo para software malicioso conocido. Es particularmente crucial para los servidores orientados a Internet donde la superficie de ataque es mayor.
6. Gestión de firmas de Microsoft Office
Las firmas de Microsoft Office pueden automatizar tareas repetitivas, pero también pueden ser utilizadas como armas por los atacantes para suministrar malware. Esta estrategia implica asegurar la configuración de firmas para evitar la ejecución de código malicioso y al mismo tiempo permitir el uso comercial legítimo.
Las opciones incluyen deshabilitar firmas de forma predeterminada, solo permitir firmas digitales de entidades confiables o restringir la ejecución de firmas a entornos seguros y aislados.
7. Endurecimiento de la aplicación del usuario
Configure aplicaciones como exploradores, lectores de PDF o Microsoft 365 para reducir la superficie expuesta a ataques. Deshabilite características adicionales y bloquee contenido dañino.
El fortalecimiento de las aplicaciones de usuario consiste en hacer que las aplicaciones sean lo más seguras posible y, al mismo tiempo, mantener la facilidad de uso para los usuarios finales. El endurecimiento se refiere a la modificación de la configuración para mitigar el riesgo y dificultar que los atacantes aprovechen las vulnerabilidades.
8. Copias de seguridad periódicas de los datos
Cuando todo lo demás falla, las buenas copias de seguridad pueden significar la diferencia entre un inconveniente menor y un desastre que acaba con el negocio. Esta estrategia enfatiza las copias de seguridad periódicas, protegidas de las mismas amenazas de las que están destinadas a ayudar a las empresas a recuperarse.
Las copias de seguridad deben tener controles de acceso (restricciones sobre quién puede acceder a ellas), pruebas de restauración periódicas (verificar si las copias de seguridad funcionan restaurando datos) y almacenarse de forma segura, separadas de los sistemas de producción (los sistemas activos que utiliza una empresa).
El modelo de madurez: una hoja de ruta para mejorar la seguridad
Los Ocho Esenciales utiliza un modelo de madurez con cuatro niveles, cada uno de los cuales protege contra diferentes amenazas y atacantes.
Nivel de Madurez Cero: Postura de ciberseguridad comprometida
El nivel cero es el nivel más básico del modelo de los Ocho Esenciales. Sirve como punto de partida para las compañías que tienen una postura de ciberseguridad comprometida y proporciona una base sobre la cual mejorar. Las debilidades en los sistemas y procesos de ciberseguridad pueden conducir a un mayor riesgo de violaciones de datos e información personal comprometida.
Nivel de Madurez Uno: Protección contra ataques oportunistas
El nivel uno es adecuado para negocios más pequeños y se centra en la protección contra adversarios utilizando herramientas y técnicas básicas fácilmente disponibles. Estos atacantes suelen lanzar una amplia red en búsqueda de objetivos fáciles con vulnerabilidades comunes.
En este nivel, se trata de cubrir bien los conceptos básicos y cerrar las brechas de seguridad más obvias.
Nivel de Madurez Dos: Defensa contra ataques dirigidos
El nivel dos está diseñado para empresas medianas y grandes que enfrentan amenazas más sofisticadas. Los atacantes de este nivel invierten más tiempo y utilizan herramientas conocidas, pero eficaces para eludir los controles de seguridad y evadir la detección.
Este nivel agrega una implementación integral a cada estrategia. Lo anterior dificulta que los atacantes decididos tengan éxito.
Nivel de Madurez Tres: Protección contra amenazas persistentes avanzadas
El nivel tres ofrece el más alto nivel de protección contra adversarios altamente sofisticados y adaptables que utilizan técnicas avanzadas para atacar compañías específicas. Estos atacantes poseen las habilidades, el tiempo y los recursos necesarios para infligir un daño significativo.
Este nivel es para organizaciones en contextos de alta amenaza. Requiere una implementación de control completa, monitoreo avanzado y capacidades de respuesta.
Por qué debería importar a las organizaciones
Las estadísticas pintan una imagen aleccionadora del panorama actual de amenazas. Con el promedio de 4,4 millones de dólares estadounidenses que cuesta a las organizaciones las violaciones de sus datos en 2025 —aunque esto representa una disminución año tras año—, el caso financiero para una ciberseguridad sólida sigue siendo claro.
Sin embargo, no se trata solo de dinero. Los ataques cibernéticos pueden erosionar la confianza del cliente, interrumpir las operaciones y —en algunos casos— representar una amenaza para la seguridad pública. Los Ocho Esenciales proporcionan un marco probado para construir defensas resistentes que puedan resistir el panorama de amenazas en evolución.
Para las entidades gubernamentales australianas, el cumplimiento de los Ocho Esenciales es obligatorio. Entidades no corporativas australianas deben alcanzar al menos el nivel de madurez dos bajo el Marco de Política de Seguridad Protectora. Incluso en el caso de organizaciones para las que no es obligatorio, el marco representa las mejores prácticas de ciberseguridad.
Hacer que la implementación sea práctica
La belleza del marco de los Ocho Esenciales radica en su enfoque por etapas. No es necesario implementar todo a la vez. En vez de eso, usted puede:
Evaluar su estado actual con respecto al modelo de madurez.
Elegir un nivel de madurez objetivo basado en su perfil de riesgo y recursos.
Desarrollar un plan de implementación realista con hitos claros.
Priorizar las estrategias que abordan sus vulnerabilidades más críticas.
Implementar controles (medidas técnicas o políticas específicas para gestionar los riesgos) progresivamente y validar su eficacia antes de pasar al siguiente nivel.
Este enfoque hace que el marco sea accesible para empresas de todos los tamaños y niveles de madurez de seguridad. Por un lado, las pequeñas empresas pueden comenzar con el nivel de madurez uno y desarrollar sus capacidades con el tiempo. Por otro lado, las compañías más grandes pueden apuntar a niveles de madurez más altos desde el principio.
El camino por delante
La ciberseguridad es un viaje continuo. El panorama de amenazas evoluciona, con atacantes que utilizan nuevas técnicas y buscan vulnerabilidades desconocidas. Los Ocho Esenciales enfatizan la revisión periódica, no un enfoque de configurarlo y olvidarlo.
La evaluación periódica y la mejora continua son esenciales. A medida que su negocio crece y cambia el panorama de amenazas, es posible que deba ajustar su nivel de madurez objetivo o mejorar controles específicos. La clave es mantener un enfoque proactivo en lugar de esperar a que un incidente lo obligue a actuar.
El marco también enfatiza la importancia de contar con capacidades adecuadas de respuesta a incidentes. Incluso con las mejores medidas preventivas, algunos ataques aún pueden tener éxito. Estar preparado para detectar, responder y recuperarse de incidentes es tan importante como prevenirlos en primer lugar.
Sus próximos pasos
Si está listo para fortalecer la postura de ciberseguridad de su negocio utilizando el marco de los Ocho Esenciales, comience con una evaluación honesta de su posición actual. Mapee sus medidas de seguridad existentes contra cada una de las ocho estrategias e identifique brechas.
Involucre a profesionales de ciberseguridad para crear un plan de implementación adaptado a sus necesidades. Recuerde: el objetivo es la mejora continua y la resiliencia, no la perfección.
El marco de los Ocho Esenciales representa la sabiduría colectiva de ciberseguridad de Australia, destilada en estrategias prácticas que funcionan. Al implementar estas medidas de manera cuidadosa y sistemática, no solo está protegiendo su negocio, sino que está contribuyendo a la resiliencia cibernética general.
No espere. Revise las medidas de ciberseguridad de su compañía hoy mismo comparándolas con los Ocho Esenciales. Elija un nivel de madurez objetivo, desarrolle un plan de acción y comience a implementar mejoras que aborden sus vulnerabilidades más críticas. Al seguir estos pasos prácticos, fortalece su empresa y ayuda a asegurar el futuro digital.