Una mañana de lunes, la telefonía IP cae en un sitio remoto durante dos horas. El proveedor diagnostica un switch saturado, instalado tres años antes sin documentación. Este tipo de fallo, a menudo evitable, ilustra hasta qué punto una auditoría de red informática no se limita a marcar casillas: se buscan los ángulos muertos que la rutina termina por ocultar.
Shadow IT y equipos no inventariados: el verdadero punto de partida de una auditoría de red
Los artículos sobre auditoría de red a menudo comienzan con la definición del perímetro. En el terreno, el perímetro se mueve constantemente. Cámaras IP conectadas por el servicio de mantenimiento, un punto de acceso Wi-Fi añadido en un open space, un NAS personal conectado a la VLAN de oficina: estos equipos “shadow IT” escapan al inventario oficial.
Lectura recomendada : Noticias y consejos esenciales para impulsar el desarrollo de su empresa
Antes incluso de lanzar un escaneo de vulnerabilidades, se gana tiempo haciendo un barrido físico y lógico de todos los puertos activos. Esto significa recorrer los armarios de conexiones, registrar las conexiones reales y luego cruzar con las tablas ARP y los registros DHCP. La diferencia entre las dos listas da la medida del shadow IT presente en la red.
Esta fase de descubrimiento es aún más crítica ya que los entornos híbridos (sitios físicos, nube, teletrabajo) multiplican los puntos de entrada. Desde 2023, los informes de experiencia muestran un aumento significativo de los incidentes relacionados con equipos IoT no inventariados. Se puede profundizar en la auditoría de red informática con E-novateur para estructurar esta etapa de cartografía inicial.
Leer también : Los pasos simples para abrir un archivo Pages en diferentes dispositivos
Cartografía de flujos intersitios y multi-nube: una etapa a menudo descuidada
La mayoría de las auditorías de red documentan correctamente la LAN. Los flujos entre sitios remotos, entre el centro de datos y los proveedores de nube, o entre dos entornos de nube distintos, son mucho menos frecuentemente trazados.
Cartografiar los flujos inter-nube antes de probar la seguridad evita descubrir al final de la auditoría que un túnel VPN site-to-site aún utiliza un cifrado obsoleto, o que un peering directo entre dos proveedores de nube no es supervisado por ninguna sonda.
Lo que la cartografía debe cubrir concretamente
- Las conexiones WAN y SD-WAN entre cada sitio, con los caudales reales medidos (no solo los caudales contractuales)
- Los flujos aplicativos hacia los servicios SaaS críticos (correo electrónico, ERP, telefonía), identificando los caminos de enrutamiento y los puntos de salida a Internet
- Las interconexiones cloud-to-cloud y cloud-to-on-premise, con verificación de las reglas de segmentación y las políticas de filtrado aplicadas a cada puerta de enlace
Herramientas del tipo NDR (Network Detection and Response) o plataformas SASE permiten obtener esta visibilidad. Depende de la instalación: una PYME mono-sitio con un solo tenant en la nube no necesita las mismas herramientas que un grupo multi-sitios.
Auditoría de red y conformidad NIS2: lo que la directiva cambia en la práctica
La directiva europea NIS2, cuya transposición nacional comenzará a partir de 2024, impone a las entidades clasificadas como “esenciales” o “importantes” demostrar una supervisión regular de sus redes con trazabilidad de las auditorías. Concretamente, esto significa que una auditoría puntual realizada una vez cada tres años ya no es suficiente.
NIS2 exige planes de acción documentados después de cada auditoría, con un seguimiento de las remediaciones. Para una empresa que realiza su primera auditoría, el desafío es producir un entregable utilizable tanto por la dirección como por el equipo técnico.
Estructurar el informe para cumplir con los requisitos regulatorios
El informe de auditoría debe contener al menos tres elementos distintos:
- Un inventario actualizado de los activos de red (hardware, software, configuraciones), con fecha y firma
- Una matriz de vulnerabilidades identificadas, clasificadas por criticidad, con para cada una la recomendación técnica asociada y un plazo de corrección propuesto
- Un plan de remediación priorizado, validado por un responsable identificado, con hitos de seguimiento trimestrales
Este formalismo puede parecer pesado para una PYME. Es mejor un documento corto y accionable que un informe de 80 páginas que nunca se lee. Recomendamos separar la síntesis decisional (máximo dos páginas, destinada a la dirección) del detalle técnico (anexos estructurados por categoría de equipo).
Pruebas de segmentación de red: verificar lo que el cortafuegos realmente permite pasar
Configurar VLANs y reglas de filtrado no garantiza nada si nadie verifica su efectividad real. Se observan regularmente reglas “any-any” mantenidas después de una migración, o excepciones temporales que se han vuelto permanentes.
Probar la segmentación consiste en simular un movimiento lateral desde un puesto de usuario estándar hacia los subredes sensibles (servidores, administración, IoT). Si un puesto de la VLAN de oficina puede alcanzar la interfaz de gestión de un switch núcleo de red, la segmentación ha fallado, independientemente de la política documentada.
Esta prueba se realiza con herramientas simples (Nmap, Netcat) o con soluciones de pentest automatizado. El objetivo no es producir un informe de cientos de puertos escaneados, sino responder a una pregunta binaria para cada zona: ¿funciona el aislamiento o no?
Priorizar las correcciones después de las pruebas
No todas las fallas de segmentación tienen el mismo impacto. Una comunicación abierta entre la VLAN de impresoras y la VLAN de servidores de archivos presenta un riesgo moderado. Un acceso directo desde el Wi-Fi de invitados hacia la red de administración representa una fallo crítico que debe corregirse con prioridad.
La trampa clásica es querer corregir todo simultáneamente. Entonces se bloquean flujos legítimos y se generan tickets de incidentes en cascada. La secuencia más confiable: corregir primero los accesos a la administración de red, luego los flujos hacia los datos sensibles y, finalmente, las comunicaciones inter-VLAN secundarias.
Una auditoría de red exitosa no se mide por el número de páginas del informe, sino por el número de correcciones efectivamente aplicadas tres meses después. El entregable más útil sigue siendo una tabla de seguimiento compartida entre la DSI y la dirección, actualizada en cada hito, con un estado claro para cada vulnerabilidad identificada.