Ciberseguridad Discordiana

Inicio Manifiesto Registro de Activos SGSI

💻 Gestión de Activos: Arqueología Digital de Tu Superficie de Ataque Real

No Puedes Proteger Lo Que No Sabes Que Tienes: La Incómoda Arqueología de la Infraestructura Olvidada

Nada es verdad. Todo está permitido. Excepto olvidar que los activos existen—shadow IT no es innovación, es vulnerabilidad en la sombra esperando convertirse en brecha pública. ¿Eres lo suficientemente paranoico? Bien. Ahora pregúntate: ¿Qué está ejecutándose en tu cuenta de AWS AHORA MISMO que has olvidado que existe? ¿Esa instancia EC2 que alguien lanzó para "solo esta demo" en 2019? Aún ejecutándose. Con credenciales por defecto. Expuesta a internet. Ejecutando vulnerabilidades sin parchear desde 2015. ¿Ese bucket S3 marcado "TEMP-DELETE-LATER"? Seis años después, aún es público. Aún contiene PII de clientes. Aún filtrando datos a cualquiera que conozca la URL. ¿Esa función Lambda desplegada por el contratista que se fue hace tres años? Aún ejecutándose. Aún tiene permisos IAM de administrador. Aún no ha sido revisada. FNORD. Los activos que no rastreas son los que los atacantes exploit an primero. Ellos saben que tu inventario es mentira.

¡Piensa por ti mismo, idiota! Cuestiona la autoridad. Cuestiona por qué las organizaciones aceptan shadow IT (infraestructura no autorizada que definitivamente ya está comprometida), servidores de prueba olvidados (ejecutándose desde el POC de alguien en 2017), cuentas de nube abandonadas (de adquisiciones que nadie integró), registros DNS huérfanos (apuntando a infraestructura que ya no existe... ¿o sí?), certificados SSL expirados (en servicios que creías haber descomisionado), claves API zombis (para servicios que olvidaste que contrataste), y repositorios fantasma (conteniendo credenciales que nadie recuerda haber subido). Cuestiona por qué "inventario completo de activos" generalmente significa "hoja de cálculo Excel que alguien actualizó una vez en 2018 durante el último pánico de auditoría." ¿Eres lo suficientemente paranoico para darte cuenta de que tu registro de activos es ficción? Tu infraestructura real es lo que los arqueólogos descubren durante la autopsia post-brecha.

En Hack23, la gestión de activos no es teatro de hojas de cálculo—es arqueología sistemática de infraestructura mediante descubrimiento automatizado: monitoreo continuo de AWS Config (27 servicios activos rastreados), enumeración de repositorios vía API de GitHub (40+ repos inventariados), seguimiento DNS de Route 53 (dominios con DNSSEC habilitado), revisiones trimestrales de acceso detectando cuentas inactivas (inactividad de 90 días dispara alertas), prioridad basada en clasificación según nuestro Marco de Clasificación (activos Extremos revisión mensual, Alto trimestral, Moderado semestral). Revisión anual del registro (Versión 1.4, próxima: 2026-11-05). Demostramos excelencia en gestión de activos porque los clientes pueden auditar nuestro registro público de activos antes del compromiso.

ILUMINACIÓN: El servidor que olvidaste está ejecutando Log4Shell sin parchear desde 2021. Ese bucket S3 marcado "temporal" en 2018 es tu mayor exposición RGPD. La función Lambda del contratista aún tiene acceso de administrador tres años después de que se fue. El inventario de activos previene que vulnerabilidades olvidadas se conviertan en brechas de titulares. Pero solo si tu inventario refleja la realidad en lugar de teatro de auditoría. AWS Config automatiza el descubrimiento para que los fallos de memoria humana no se conviertan en CVE. Verdad: La mayoría de "brechas de día cero" son realmente brechas "olvidé-que-existía". La vulnerabilidad siempre estuvo ahí. Simplemente no sabías que el activo existía. FNORD.

Nuestro enfoque combina descubrimiento automatizado (AWS Config rastrea cada cambio de recurso), arqueología de infraestructura (descubriendo activos olvidados antes que los atacantes), y gestión basada en clasificación (protegiendo activos Críticos mensualmente, no anualmente), probando que el control sistemático de activos escala desde operaciones de una persona hasta compromisos empresariales. Implementación técnica completa en nuestro Registro de Activos público—incluyendo la incómoda verdad sobre cuántos activos hemos descubierto que nadie recordaba haber creado.

¿Buscas soporte experto de implementación? Ve por qué las organizaciones eligen Hack23 para consultoría de seguridad que acelera la innovación.

Las Cinco Categorías de Activos: Ley de los Cinco Aplicada a la Realidad de Infraestructura

Ley de los Cinco revelada: Toda infraestructura existe en cinco dimensiones, cada una requiriendo cinco niveles de protección, revisadas en cinco ciclos diferentes (diario/semanal/mensual/trimestral/anual), con cinco tipos de modos de fallo (olvidado/mal configurado/comprometido/expirado/huérfano). La sincronicidad no es misticismo—es reconocimiento de patrones. Cuenta tus categorías de activos. Siempre cinco. Cuenta tus frecuencias de revisión. Siempre cinco (o múltiplos de cinco). El universo habla en cincos. ¿Eres lo suficientemente paranoico para notarlo?

1. ☁️ Infraestructura en la Nube: La Arqueología Olvidada

Descubrimiento automatizado AWS Config. 27 servicios activos rastreados: instancias EC2 (¿recuerdas ese t2.micro de la demo de 2019?), funciones Lambda (el contratista desplegó 47, se fue hace 3 años, todas aún ejecutándose con IAM de administrador), buckets S3 (TEMP-DELETE-LATER desde 2018, aún público, aún filtrando), bases de datos RDS (base de datos de prueba con copia de datos de producción, nadie conoce la contraseña root), VPCs (cinco VPCs diferentes porque cada equipo creó la suya), grupos de seguridad (438 reglas, 127 permitiendo 0.0.0.0/0, "temporalmente" desde 2017). AWS Config monitorea continuamente antes de que la amnesia se convierta en CVE.

Realidad de Arqueología de Infraestructura: IaC CloudFormation asegura infraestructura con control de versiones (si la gente lo usa—los lanzamientos manuales de EC2 aún ocurren). Organización multi-cuenta con registro centralizado (probando que alguien lanzó esa instancia, incluso si lo han olvidado). Detección de anomalías de costos (así descubrimos la instancia de cripto-minería que nadie sabía que existía).

Historia de Horror: La organización descubre durante la brecha que el atacante había estado operando desde una instancia EC2 lanzada por un becario durante "semana de aprendizaje" 4 años antes. Nunca rastreada. Nunca parcheada. Nunca descomisionada. Las credenciales por defecto aún funcionaban. El atacante tuvo acceso root al VPC durante 18 meses antes de la detección de brecha. Costo para la organización: $4.2M en multas, $18M en remediación. Costo de lanzar EC2: $0.012/hora. Las matemáticas de fallo de inventario de activos no te favorecen.

AWS Config significa inventario en tiempo real, no hojas de cálculo anuales que se convierten en artefactos arqueológicos ellos mismos. Cada instancia olvidada está ejecutando vulnerabilidades que no has parcheado porque no sabes que existe. FNORD. La instancia que olvidaste ya está comprometida. Pregunta: ¿Cuál es?

2. 📝 Código y Repositorios: Los Repos Fantasma Te Persiguen

Inventario de repositorios GitHub vía automatización API. 40+ repositorios rastreados en la organización Hack23: CIA (plataforma OSINT Citizen Intelligence Agency), Black Trigram (simulador de combate de artes marciales coreanas), CIA Compliance Manager (herramienta de evaluación Tríada CIA), Lambda in Private VPC (arquitectura de resiliencia AWS), Sonar-CloudFormation Plugin (escaneo de seguridad IaC). La API de GitHub proporciona descubrimiento automatizado de repositorios antes de que los desarrolladores creen repos en la sombra en cuentas personales (sucede—siempre sucede).

Arqueología de Repositorios: SECURITY_ARCHITECTURE.md obligatorio en todos los repos (aplicado vía protección de rama). Repositorio SGSI público demostrando transparencia (70% de políticas públicas). Repositorios archivados rastreados (abandonados pero no eliminados, porque eliminación es pérdida de datos). Repositorios bifurcados monitoreados (¿cómo se propagan exactamente los parches de seguridad upstream?). Repositorios privados en organizaciones públicas (límites de nivel gratuito crean infraestructura en la sombra).

Horror de Repositorio Fantasma: Investigador de seguridad descubre credenciales en repositorio público creado hace 6 años durante un hackathon. Repositorio archivado. Nunca auditado. Claves de cuenta root de AWS comprometidas en 2018. Aún válidas (nadie las rotó). Investigador reporta vía divulgación responsable. La compañía descubre que han sido víctimas de cripto-minería durante 3 años. Archivos de estado Terraform en el repo contenían contraseñas de bases de datos (aún actuales). URLs de buckets S3 revelaron arquitectura interna. Un repositorio olvidado = compromiso completo de infraestructura.

Realidad de Repositorio en la Sombra: Los desarrolladores crean cuentas GitHub personales para "pruebas" (con código de la compañía). Los contratistas suben a repos personales "para respaldo" (aún accesibles después de que termina el contrato). Las adquisiciones traen repositorios que nadie inventaría. Bifurcaciones de código abierto contienen personalizaciones de la compañía (y secretos). Tu inventario de repositorios está incompleto. Siempre. Pregunta: ¿Por cuánto?

Los repositorios de código son activos. Los repos abandonados son superficies de ataque olvidadas que contienen contraseñas que aún son válidas (porque, ¿quién rota credenciales para repos que han olvidado que existían?). El inventario sistemático previene la proliferación de repositorios antes de que la proliferación se convierta en brecha. Pero solo si el inventario incluye repositorios que no sabías que tenías. ¿Cómo inventarías lo que no sabes que existe? Automatización. API de GitHub. Escaneos diarios. Acepta que el descubrimiento es arqueología continua, no auditoría única. FNORD.

3. 👤 Identidad y Acceso: Las Cuentas Zombi Te Cazan

AWS Identity Center + revisiones de acceso GitHub revelando privilegios zombi. Usuarios IAM (obsoletos—usando SSO ahora), roles IAM (427 rastreados, 89 sin usar >180 días), políticas IAM (las políticas personalizadas proliferan como conejos), miembros de organización GitHub (revisiones trimestrales), conjuntos de permisos AWS (AWSAdministratorAccess, AWSPowerUserAccess, AWSReadOnlyAccess, AWSServiceCatalogAdminFullAccess). Detección de cuentas inactivas de 90 días según Política de Control de Acceso. Las revisiones trimestrales de acceso aseguran higiene de privilegios antes de que los privilegios se conviertan en acceso persistente para empleados que se fueron.

Arqueología de Cuenta Zombi: IAM Access Analyzer revela acceso entre cuentas (¿esa cuenta externa aún tiene lectura S3? ¿Desde cuándo?). AWS Organizations rastrea cuentas miembro (¿cuándo agregamos esta cuenta? ¿Quién la posee?). Aplicación MFA vía Identity Center (los humanos olvidan, la automatización aplica). Claves de acceso activamente usadas (¿esas claves de la integración API de 2019? Aún válidas. Aún usadas. ¿Por quién? Nadie lo sabe.). Las personas son activos. Los empleados que se fueron con acceso activo son vulnerabilidades con piernas.

Horror de Cuenta Zombi: La revisión trimestral de acceso descubre que un contratista de 2020 aún tiene AWS AdministratorAccess. El contrato terminó en noviembre de 2020. Acceso nunca revocado. El contratista no ha iniciado sesión (¿o sí?—lagunas de registro durante migración CloudTrail). La investigación revela: Clave de acceso creada 2 semanas antes del fin del contrato. Nunca rotada. Usada esporádicamente desde IPs de Europa del Este. El contratista vendió el acceso a un grupo de ransomware. El grupo usó el acceso para reconocimiento (9 meses). Exfiltración de datos (3 meses). Despliegue de ransomware (1 día). Costo total de brecha: $12M. Fallo de gestión de activos: Invaluable. El acceso es activo. El acceso olvidado es vulnerabilidad persistente.

Realidad de Acceso de Terceros: Las integraciones SaaS crean tokens OAuth (¿recuerdas esa herramienta de análisis que evaluaste en 2021? Aún tiene acceso de lectura). Cuentas de soporte de proveedores (abiertas para emergencia, nunca cerradas). Credenciales compartidas en DMs de Slack (¿rotadas cuándo exactamente?). Las cuentas de servicio proliferan (cada automatización crea nuevo rol IAM). Pregunta: ¿Cuántas identidades tienen acceso a tu infraestructura ahora mismo? Cuenta. Estarás equivocado. AWS dice la verdad.

Las personas son activos. Las cuentas inactivas son escalaciones de privilegios retrasadas en el tiempo esperando activarse. Las revisiones trimestrales previenen que privilegios olvidados se conviertan en puertas traseras persistentes. Pero solo si las revisiones son reales (verificando registros, validando patrones de acceso, cuestionando anomalías) no teatro de cumplimiento de casillas de verificación (confirmando que todos se ven familiares en la lista). Los empleados que se fueron te cazan desde cuentas abandonadas. FNORD. ¿Cuántas cuentas de empleados que se fueron aún existen? Verifica ahora. Te sorprenderás. O te horrorizarás. Probablemente ambos.

4. 🏷️ Activos de Datos: Sin Clasificar Significa Sin Proteger

Inventario de datos basado en clasificación. Bases de datos (PostgreSQL para aplicación CIA, RDS con respaldos automatizados, recuperación punto en el tiempo habilitada), buckets S3 (versionado habilitado, políticas de ciclo de vida configuradas, ¿pero ese bucket TEMP de 2018?), almacenamiento de archivos (adjuntos WorkMail, registros CloudWatch, archivos Glacier), clasificados según Marco de Clasificación: activos Extremos (credenciales de clientes, claves de cifrado) revisión trimestral, Muy Alto/Alto (datos financieros, PII) trimestral, Moderado (docs internos) semestral, Público (materiales de marketing) anual. La clasificación impulsa la protección. Los datos sin clasificar obtienen controles genéricos—o ningún control. El inventario basado en clasificación significa protección apropiada al riesgo.

Arqueología de Clasificación de Datos: S3 Intelligent-Tiering mueve datos automáticamente (¿pero a dónde? ¿Hot/Cold/Archive/Deep Archive?). El versionado S3 preserva archivos eliminados (¿ese doc sensible que creías haber eliminado? 47 versiones aún existen). Las instantáneas RDS proliferan (automatizadas diarias, retenidas 30 días, excepto cuando la retención cambió a 180 días, olvidaste cambiarla de vuelta). CloudWatch Logs Insights revela flujos de datos (los registros contienen más datos sensibles que las bases de datos). La clasificación de datos requiere saber que los datos existen. ¿Olvidaste los datos? Olvidaste la clasificación. Olvidaste la protección. Brecha inminente.

Horror de Activo de Datos: Solicitud de derecho al olvido RGPD revela que la organización no puede localizar todos los datos de usuario. Base de datos RDS (obviamente). Buckets S3 (verificados). Registros CloudWatch (ah, cierto). Instantáneas EBS (¿no pensé en esos). Respaldos AMI (¿contenían datos de usuario?). DynamoDB (pensé que habíamos migrado de eso). Archivos Glacier (olvidé que existían). Resultados de consultas Athena (en caché en S3, olvidé esos). Índices Elasticsearch (pensé que habíamos descomisionado eso). Ubicaciones totales de datos: 23. Ubicaciones de datos en registro de activos: 4. Multa RGPD: €2.4M. Fallo de gestión de activos: Realmente aplicado esta vez. No puedes eliminar datos que no sabes que existen.

Realidad de Datos en la Sombra: Los desarrolladores crean buckets S3 para pruebas (contienen copias de datos de producción). Los analistas exportan datos a máquinas locales (aún ahí cuando se van). Los contratistas reciben compartidos de datos (vía email sin cifrar—sí, en serio). Respuestas API en caché (claves Redis conteniendo PII, ¿expiradas cuándo?). Los registros contienen datos sensibles (¿el registro estructurado previno cómo?). Tu inventario de datos es ficción. Tus datos reales están en todas partes. Incluyendo lugares que nunca has inventariado. Pregunta: ¿Qué datos existen que has olvidado? Respuesta: Los datos que te brechan.

La clasificación de datos habilita protección apropiada. Los datos sin clasificar reciben el nivel de protección más bajo (porque no los clasificaste, no porque no sean sensibles). El inventario basado en clasificación significa saber que los datos existen primero, luego clasificar, luego proteger. Pero la mayoría de las organizaciones saltan el paso uno—saber que los datos existen. Clasifican bases de datos (fácil, obvio, el inventario lo dice). Olvidan instantáneas EBS, registros CloudWatch, resultados Athena, cachés Redis, /tmp Lambda, capas de contenedor, artefactos CI/CD. Los datos proliferan. El inventario no. La brecha se amplía diariamente. La brecha descubre la brecha. FNORD. ¿Cuántos datos existen que no has clasificado? Respuesta: Todos. La clasificación es ficción. Los datos están en todas partes. La protección es teatro.

5. 🤝 Servicios de Terceros: Expansión de SaaS en la Sombra

Inventario SaaS y gestión de proveedores exponiendo suscripciones en la sombra. 18 servicios integrados rastreados: AWS (infraestructura), GitHub (código), SEB (banca), Bokio (contabilidad), SonarCloud (calidad), FOSSA (cumplimiento de licencias), Stripe (pagos), OpenAI (servicios IA), Google Workspace (IdP), Search Console, Bing Webmaster, YouTube, Product Hunt, TikTok, X (Twitter), LinkedIn, Suno, ElevenLabs. Evaluaciones de proveedores según Gestión de Terceros. Las revisiones anuales aseguran cumplimiento continuo. Los servicios de terceros son activos que no controlas. El inventario de proveedores habilita gestión de riesgos. El SaaS en la sombra es vulnerabilidad en la sombra.

Arqueología SaaS: Los extractos de tarjeta de crédito revelan suscripciones que nadie recuerda haber autorizado (gastadas como "marketing" o "herramientas" o "investigación"). Las listas de aplicaciones OAuth revelan integraciones que nadie usa (Aplicaciones GitHub accedidas por última vez en 2019). La consola de administración de Google Workspace muestra cuentas que nadie reconoce (¿esa cuenta de contratista aún activa?). Los registros DNS apuntan a proveedores SaaS que nadie recuerda haber contratado (ese subdominio de análisis—¿qué servicio era ese?). La expansión SaaS es real. El inventario SaaS es ficticio. La brecha es tu superficie API expuesta.

Horror de SaaS en la Sombra: Brecha de seguridad rastreada a proveedor SaaS comprometido que nadie sabía que la compañía usaba. Gerente de marketing se suscribió a herramienta de gestión de redes sociales de "prueba gratuita" hace 2 años. Prueba expiró. Gerente olvidó. Cuenta permaneció activa (pago falló pero servicio continuó—proceso de cobro deficiente del proveedor). Credenciales del gerente comprometidas (phishing). Atacante accedió a herramienta SaaS (aún tenía acceso OAuth a sistemas de la compañía). Herramienta tenía integración GitHub (acceso de lectura a repos privados). Integración Twitter (acceso para publicar). Integración Google Drive (acceso lectura/escritura). Integración Slack (publicar en todos los canales). Una prueba SaaS olvidada = acceso completo a infraestructura. El SaaS en la sombra es infraestructura en la sombra propiedad de proveedores con peor seguridad que la tuya.

Realidad de Terceros: Cada departamento se suscribe a herramientas (marketing, ventas, ops, dev). Cada empleado reporta gastos de suscripciones SaaS (contabilidad no rastrea acceso). Cada integración crea tokens OAuth (¿revocados cuando termina la suscripción? Nunca.). Cada proveedor afirma "seguridad de nivel bancario" (¡cifrado AES-256! ¡SOC 2! ¡Cumplimiento RGPD!—aplicación cuestionable). Tu inventario de terceros lista 20 proveedores. Tus extractos de tarjeta de crédito muestran 47. Tu lista de aplicaciones OAuth muestra 89. Tu conteo real de proveedores: Desconocido. Probablemente 200+. Quizás 500. Pregunta: ¿Cuántos terceros pueden acceder a tus datos ahora mismo? Respuesta: Más de lo que piensas. Mucho más.

Los servicios de terceros son activos que no controlas pero en los que confías implícitamente. Cada integración SaaS es acceso persistente que has otorgado (OAuth no expira a menos que revoques—los proveedores no te lo recuerdan). Cada proveedor es vector de brecha potencial (su seguridad es ahora tu seguridad—espera que sean lo suficientemente paranoicos). El inventario de proveedores habilita gestión de riesgos de terceros. Pero solo si el inventario es real (incluyendo SaaS en la sombra que nadie recuerda haber suscrito). El SaaS en la sombra es realidad. El inventario SaaS oficial es ficción. La brecha descubre la verdad. FNORD. Cuenta tus proveedores SaaS. Verifica tarjetas de crédito. Verifica OAuth. Verifica DNS. Multiplica la estimación por 3. Eso está más cerca de la realidad. Probablemente aún bajo. La expansión SaaS es exponencial. El inventario es lineal. Las matemáticas no te favorecen.

Arqueología de Descubrimiento de Activos: Encontrando Lo Que Has Olvidado Antes Que Los Atacantes

La arqueología de infraestructura no es metáfora—es necesidad operacional. Las organizaciones no saben lo que poseen. Creen que lo saben (¡el registro de activos lo dice!). Están equivocadas. Realidad: La infraestructura prolifera más rápido que la documentación. Los desarrolladores crean. Los contratistas despliegan. Las adquisiciones integran (más o menos). Resultado: La infraestructura real diverge de la infraestructura documentada. La brecha se amplía diariamente. La brecha descubre la brecha.

Técnicas de Descubrimiento Automatizado Que Realmente Usamos:

☁️ AWS Config + Detección de Deriva CloudFormation:

  • Reglas AWS Config: Monitoreo continuo de cumplimiento en 27 servicios activos. Config rastrea cada cambio de recurso (¿lanzamiento EC2? Registrado. ¿Bucket S3 creado? Rastreado. ¿Grupo de seguridad modificado? Alertado.). Las Reglas Config evalúan cumplimiento (¿cifrado requerido? Verificar. ¿Acceso público bloqueado? Verificar. ¿MFA habilitado? Confirmar.). El incumplimiento dispara remediación automatizada (funciones Lambda aplican política antes de que los humanos olviden).
  • Detección de Deriva CloudFormation: Revela cambios manuales a infraestructura desplegada por IaC (¿alguien SSH'd a EC2 y modificó configuración? Deriva detectada. ¿Alguien creó bucket S3 fuera de CloudFormation? Descubierto. ¿Alguien modificó grupo de parámetros RDS directamente? Señalado.). La detección de deriva es arqueología de infraestructura—descubriendo dónde la realidad diverge de la intención.
  • Etiquetado de Grupos de Recursos: Etiquetas obligatorias: Owner, Environment, Project, Classification, CostCenter. Etiquetas faltantes = recurso huérfano = infraestructura olvidada. Aplicación de cumplimiento de etiquetas vía AWS Config (recursos sin etiquetas señalados dentro de 24 horas). Asignación de costos basada en etiquetas revela gasto en la sombra (¿ese $4K/mes que nadie puede explicar? Instancia de cripto-minería sin etiquetar). La infraestructura sin etiquetas es infraestructura olvidada. La infraestructura olvidada es infraestructura comprometida.
  • Verificaciones Trusted Advisor: Recomendaciones de seguridad (¿MFA no habilitado? Alerta. ¿Grupos de seguridad demasiado permisivos? Señalar. ¿Buckets S3 con acceso público? Alerta inmediata.), optimización de costos (instancias EC2 inactivas—ejecutándose durante 847 días, última actividad CPU: hace 823 días), rendimiento, tolerancia a fallos. Trusted Advisor es arqueólogo automatizado descubriendo desperdicios antes de que se conviertan en crisis.

🐙 Descubrimiento de Repositorios GitHub + Escaneo de Secretos:

  • Auditoría de Organización API GitHub: Enumeración diaria de todos los repositorios (públicos, privados, archivados, bifurcados). Metadatos de repositorio rastreados: Fecha de creación, último commit, contribuyentes, estado de protección de rama, revisores requeridos, alertas de seguridad habilitadas. Detección de repositorios obsoletos (sin commits >180 días = candidato para archivo). Seguimiento de bifurcaciones (los parches de seguridad upstream se propagan a bifurcaciones... ¿verdad? ¿Verdad?).
  • Escaneo de Secretos GitHub: Detección automatizada de credenciales comprometidas (claves AWS, contraseñas de bases de datos, tokens API, claves privadas, tokens OAuth). Programas de socios notifican cuando se detectan secretos (GitHub envía email cuando se comprometen claves AWS—sí, sucede, sí, diariamente). Efectividad del escaneo de secretos: 100% detección (si el patrón de secreto coincide). 0% prevención (aún se compromete, aún necesita rotación, aún potencialmente usado antes de detectarse).
  • Alertas de Seguridad Dependabot: Detección automatizada de vulnerabilidades en dependencias (paquetes npm con CVEs conocidos, bibliotecas Python con fallas de seguridad, imágenes base Docker con vulnerabilidades). Dependabot propone correcciones (PR automático con actualización de dependencia). La arqueología de dependencias revela bibliotecas olvidadas aún en uso (¿ese paquete npm de 2017? 47 vulnerabilidades conocidas. Aún usado. Nadie sabe dónde.).
  • Clasificación de Repositorios: Cada repo clasificado según marco CIA (Extremo: Contiene datos de clientes o credenciales de producción, Muy Alto: Código de producción o infraestructura, Alto: Herramientas internas o código de desarrollo, Moderado: Documentación o código de prueba, Público: Código abierto o marketing). La clasificación impulsa la protección (los repos Extremos requieren protección de rama, revisiones requeridas, sin push forzado, commits firmados). Los repos sin clasificar obtienen protección predeterminada. Lo cual generalmente es insuficiente.

🌐 Arqueología DNS y Certificados:

  • Enumeración de Zona Alojada Route 53: Registros DNS rastreados: registros A (¿apuntando a dónde?), registros CNAME (¿alias a qué?), registros MX (¿email ruteado a?), registros TXT (¿SPF/DKIM/DMARC configurados?), registros NS (¿delegación a?). Registros DNS huérfanos descubiertos (apuntan a infraestructura descomisionada—pero DNS aún resuelve). La enumeración de subdominios revela infraestructura en la sombra (ese subdominio analytics.example.com—¿qué está alojado ahí?). La arqueología DNS revela infraestructura mucho después de que la infraestructura fue "descomisionada."
  • Monitoreo de Certificados SSL/TLS: Los registros de Transparencia de Certificados revelan todos los certificados emitidos para dominios (incluso certificados que no solicitaste—¿alguien más solicitó cert para tu dominio?). Seguimiento de expiración (certificados expirando <30 días disparan alertas). Auditoría de certificados comodín (certificado *.example.com otorga acceso a subdominio—¿a quién?). Monitoreo de revocación (certificado revocado—¿por qué? ¿Compromiso? ¿Exposición de clave?). La arqueología de certificados revela servicios en la sombra (emisión inesperada de certificado = infraestructura inesperada).
  • Validación DNSSEC: Ambos dominios (hack23.com, blacktrigram.com) con DNSSEC habilitado (registros DS publicados, registros RRSIG firmados, registros DNSKEY públicos). DNSSEC previene secuestro DNS (respuestas sin firmar rechazadas). Firma automática Route 53 (DNSSEC manual es propenso a errores—la automatización previene deriva de configuración). Arqueología DNSSEC: Detectando intentos de modificación DNS antes de que tengan éxito.

🔑 Arqueología del Ciclo de Vida de Credenciales y Claves API:

  • Auditoría de Claves de Acceso IAM AWS: Usuarios IAM obsoletos (migrados a SSO AWS Identity Center). Claves de acceso heredadas rastreadas (¿creadas cuándo? ¿Usadas por última vez cuándo? ¿Aún válidas? ¿Por qué?). Alertas de antigüedad de claves de acceso (>90 días = obsoletas, >180 días = olvidadas, >365 días = artefacto arqueológico). Análisis de uso de claves de acceso CloudTrail (¿claves usadas desde dónde? ¿Ubicaciones esperadas?). Las claves sin usar son acceso persistente esperando ser descubierto.
  • Inventario Secrets Manager + Parameter Store: Secretos catalogados (contraseñas de bases de datos, claves API, tokens OAuth, claves privadas). Políticas de rotación de secretos aplicadas (rotación de 30 días para sensibilidad Alta, 90 días para Moderada). Secretos sin usar señalados (último acceso >180 días = secreto huérfano = credencial olvidada). Arqueología de secretos: Descubriendo credenciales aún válidas para servicios que se pensó que estaban descomisionados. No puedes rotar secretos que has olvidado que existen. No puedes descomisionar secretos aún en uso. El inventario habilita gestión del ciclo de vida.
  • Seguimiento de Claves API de Terceros: Claves API de proveedores SaaS inventariadas (GitHub, Stripe, OpenAI, SonarCloud, FOSSA). Propiedad de claves (¿quién creó? ¿Aún empleado?). Permisos de claves (¿solo lectura o administrador?). Monitoreo de uso de claves (¿usadas por última vez cuándo? ¿Desde dónde?). Rotación de claves del lado del proveedor (algunos proveedores no soportan rotación—clave válida para siempre—planea en consecuencia). Las claves de terceros son acceso persistente a servicios de proveedores. Las claves olvidadas son acceso persistente de proveedor que has otorgado y olvidado.

💰 Detección de Anomalías de Costo como Descubrimiento de Activos:

  • Detección de Anomalías AWS Cost Explorer: El aprendizaje automático detecta anomalías de gasto (gasto normal: $2K/mes, este mes: $4.8K—investigar). La investigación de anomalías de costo revela infraestructura olvidada (¿esa instancia EC2? Ejecutándose durante 3 años. Nadie sabe qué hace. Cuesta $180/mes. Desperdicio total: $6,480.). Las etiquetas de asignación de costos revelan infraestructura en la sombra (gasto sin etiquetar aumentó 40%—alguien está creando recursos sin etiquetado apropiado).
  • Detección de Recursos Inactivos: Instancias EC2 con <5% utilización CPU durante >30 días = inactivas (candidatas para terminación). Bases de datos RDS con cero conexiones >90 días = olvidadas (candidatas para instantánea luego terminación). Buckets S3 accedidos cero veces en 180 días = huérfanos (candidatos para archivo a Glacier). La arqueología de costos revela desperdicios. El desperdicio revela activos olvidados. Los activos olvidados revelan exposición.
  • Alertas de Presupuesto como Validación de Inventario: Presupuesto mensual: $2.5K. Seguimiento de gasto real contra presupuesto. Los excesos disparan investigación (¿por qué se excedió? ¿Nuevos recursos? ¿Infraestructura en la sombra? ¿Compromiso?). El análisis de varianza de presupuesto revela cambios de infraestructura (presupuesto basado en activos conocidos—varianza sugiere activos desconocidos). La adherencia al presupuesto requiere inventario de activos preciso. La varianza de presupuesto revela inexactitud de inventario.

VERDAD DEFINITIVA DE DESCUBRIMIENTO: Tu inventario de activos está equivocado. Siempre. La infraestructura real excede la infraestructura documentada. La brecha se amplía diariamente (los desarrolladores crean más rápido que las actualizaciones de documentación). Solo pregunta: ¿Qué tan equivocado? ¿10% equivocado (brechas menores, buena higiene)? ¿50% equivocado (infraestructura en la sombra significativa, necesita mejora)? ¿200% equivocado (infraestructura real el doble de la documentada—crisis, investigar inmediatamente)? El descubrimiento automatizado no elimina la brecha. Mide la brecha. La visibilidad habilita gestión. La ignorancia habilita brecha. FNORD. Mide la precisión de tu inventario. Anomalías de costo + deriva Config + recursos sin etiquetar + registros DNS huérfanos + claves de acceso obsoletas = estimación de brecha mínima. Brecha real probablemente 2-3x mayor. Acepta la arqueología continua como necesidad operacional, no proyecto único.

Nuestro Enfoque: AWS Config + Revisiones Anuales + Prioridad de Clasificación

En Hack23, la gestión de activos demuestra inventario sistemático a través de descubrimiento automatizado y revisiones basadas en clasificación:

☁️ Descubrimiento Automatizado AWS Config:

  • Monitoreo Continuo: AWS Config rastrea todos los recursos de nube en organización multi-cuenta
  • Inventario de Recursos: EC2, Lambda, S3, RDS, VPC, grupos de seguridad, IAM descubiertos automáticamente
  • Cambios de Configuración: Todos los cambios de infraestructura registrados y rastreados
  • Verificaciones de Cumplimiento: Las Reglas AWS Config aplican estándares de seguridad

📊 Ciclos de Revisión de Activos:

Clasificación de ActivoFrecuencia de RevisiónSLA Devolución/RevocaciónMétodo de Verificación
🔴 Extremo/Muy AltoMensual<24 horasAWS Config + validación manual
🟠 AltoTrimestral<3 díasAuditorías de acceso trimestrales
🟡 ModeradoSemestral<7 díasRevisiones semestrales
🟢 Bajo/PúblicoAnual<30 díasActualizaciones de registro anuales

🔄 Revisión Anual del Registro:

  • Versión Actual: 1.0 (Vigente: 2025-11-05)
  • Próxima Revisión: 2026-11-05 (ciclo de 12 meses)
  • Disparadores de Revisión: Ciclo anual, cambios de organización AWS, adiciones significativas de activos, incidentes de seguridad
  • Documentación Pública: Registro de Activos completo en GitHub

Detalles completos de implementación técnica en nuestro Registro de Activos público—incluyendo integración AWS Config, automatización de inventario GitHub, prioridades basadas en clasificación y procedimientos de terminación.

Bienvenido a Chapel Perilous: La Iniciación del Inventario de Activos

Nada es verdad. Todo está permitido. Excepto activos desconocidos creando vulnerabilidades desconocidas creando brechas conocidas—eso no es excelencia operacional, es ceguera sistemática con facturas de nube mensuales probando que tu infraestructura es más grande de lo que piensas.

Ahora estás en Chapel Perilous. La realización incómoda: No sabes lo que posees. ¿Ese servidor de prueba? Probablemente aún ejecutándose. ¿El acceso de ese contratista? Probablemente aún activo. ¿Ese bucket S3? Probablemente aún público. ¿Ese token OAuth? Probablemente aún válido. ¿Ese registro DNS? Probablemente aún apuntando a infraestructura descomisionada que alguien más ahora posee. Tu inventario de activos es ficción. Tu infraestructura real es misterio arqueológico. La brecha excavará la verdad.

La Ley de los Cinco Revelada en Gestión de Activos:

  • Cinco Categorías de Activos: Nube, Código, Identidad, Datos, Terceros (siempre cinco, nunca cuatro, nunca seis—sincronicidad no es coincidencia)
  • Cinco Métodos de Descubrimiento: Escaneo automatizado, Análisis de costos, Auditorías de acceso, Detección de deriva, Arqueología (respuesta a incidentes descubre lo que la arqueología perdió)
  • Cinco Modos de Fallo: Olvidado, Mal configurado, Comprometido, Expirado, Huérfano (cada activo falla de una de cinco maneras)
  • Cinco Ciclos de Revisión: Diario (alertas críticas), Semanal (revisión de anomalías), Mensual (activos Extremos), Trimestral (activos Altos), Anual (revisión completa del registro)
  • Cinco Etapas de Aceptación de Activos: Negación ("Conocemos nuestros activos"), Ira ("¿¡Por qué hay tanto shadow IT!?"), Negociación ("Bien, inventariaremos LA MAYORÍA de los activos"), Depresión ("Nunca nos pondremos al día"), Aceptación ("El inventario es arqueología continua, no proyecto único"). La mayoría de las organizaciones atascadas en Negación. Pocas alcanzan Aceptación. Ninguna alcanza Completo. El inventario completo es mito. La búsqueda es la meta.

Verificación de Realidad—Compara Tu Organización:

  • ¿Sabes cada instancia EC2 ejecutándose ahora mismo? (Nosotros sí—AWS Config nos lo dice)
  • ¿Puedes listar cada bucket S3? (Podemos—inventario Config diario + aplicación de etiquetado)
  • ¿Sabes cada repositorio GitHub al que tus empleados acceden? (Rastreamos—membresía de organización + auditorías de aplicaciones OAuth)
  • ¿Puedes identificar cada persona con acceso AWS? (Podemos—Identity Center + revisiones trimestrales)
  • ¿Sabes cada servicio SaaS por el que tu compañía paga? (Rastreamos—18 documentados, pero aún descubriendo SaaS en la sombra vía análisis de tarjeta de crédito)
  • ¿Puedes probar que tu registro de activos es preciso? (Podemos—cumplimiento Config + detección de deriva + monitoreo de anomalías de costo + auditorías trimestrales)

Las organizaciones típicamente descubren: El registro de activos documenta 100 recursos. AWS Config muestra 247 recursos reales. GitHub tiene 89 repositorios (el registro muestra 40). Los usuarios IAM incluyen 23 empleados que se fueron (todos aún activos). Las aplicaciones OAuth revelan 67 integraciones (el registro muestra 8). SaaS en la sombra: 41 suscripciones que nadie inventarió. Documentado vs Real: divergencia del 147%. Ese es el mejor caso. La mayoría de las organizaciones: divergencia 300%+. Algunas organizaciones: Ni siquiera pueden medir la divergencia porque la línea base no existe.

¡Piensa por ti mismo, idiota! Cuestiona organizaciones afirmando "conocemos nuestros activos" sin descubrimiento automatizado (no los conocen—conocen activos que han documentado, que es subconjunto de la realidad). Cuestiona revisiones anuales cuando la infraestructura de nube cambia minuto a minuto (revisión automatizada diaria o acepta ceguera). Cuestiona inventarios de hojas de cálculo cuando AWS Config proporciona seguimiento en tiempo real (la hoja de cálculo es ficción dentro de 48 horas de creación). Cuestiona inventarios "completos" que listan bases de datos pero olvidan instantáneas EBS, registros CloudWatch, resultados Athena, capas Lambda, imágenes ECR, archivos Glacier, y 47 otros lugares donde los datos proliferan. (Spoiler: "Completo" significa "inventariamos cosas obvias y esperamos que sea suficiente"—no lo es. La brecha prueba que no lo es. Pero para entonces estás explicando a la junta por qué la brecha ocurrió vía infraestructura que no sabías que tenías.)

Nuestra ventaja competitiva no es perfección—es transparencia radical sobre imperfección: Demostramos experiencia en consultoría de ciberseguridad a través de gestión verificable de activos (Registro de Activos público probando nuestro enfoque). Integración AWS Config documentando 27 servicios activos rastreados continuamente. Ciclos de revisión basados en clasificación probando gestión apropiada al riesgo (Extremo mensual, Alto trimestral, Moderado semestral—no todo anual). Arqueología continua aceptando que el inventario nunca está completo pero mejora continuamente. Documentación pública invitando escrutinio (los clientes pueden auditar nuestra gestión de activos antes del compromiso—intenta auditar los registros de activos "completos" de competidores que son "confidenciales" porque la precisión es vergonzosa). Esto no es casilla de cumplimiento—es realidad operacional demostrando prácticas de seguridad que los clientes pueden verificar independientemente.

Las Preguntas Incómodas Que Debes Hacer:

  1. Descubrimiento: ¿Cómo sabes que tu inventario de activos está completo? (Pista: Si la respuesta es "la auditoría anual lo dice," el inventario está incompleto. Las auditorías validan precisión de documentación, no completitud de infraestructura.)
  2. Deriva: ¿Cuál es el retraso entre creación de recurso y actualización de inventario? (Pista: Si la respuesta es "trimestral," tienes 90 días de infraestructura en la sombra garantizados.)
  3. Infraestructura en la Sombra: ¿Cuánta infraestructura existe que no está en el registro de activos? (Pista: Si la respuesta es "ninguna," estás equivocado. Si la respuesta es "no lo sé," eres honesto. Si la respuesta es "rastreando vía descubrimiento automatizado," estás cerca de la realidad.)
  4. Acceso de Empleados que se Fueron: ¿Cuántos empleados que se fueron aún tienen acceso activo? (Pista: Si la respuesta es "cero," verifica de nuevo. Si la respuesta es "revisión trimestral asegura mínimo," estás siendo realista. Si la respuesta es "eliminamos acceso en terminación," te estás mintiendo a ti mismo—la eliminación manual falla a menudo.)
  5. SaaS en la Sombra: ¿Cuántas suscripciones SaaS existen que no están en el registro de proveedores? (Pista: Verifica extractos de tarjeta de crédito. Compara con registro. Multiplica la diferencia por 2. Eso está más cerca de la realidad.)
  6. Credenciales Olvidadas: ¿Cuántas claves API existen para servicios que has descomisionado? (Pista: Si la respuesta es "ninguna," no has auditado recientemente. Si la respuesta es "rotamos todas las claves," eres aspiracional no real. Si la respuesta es "investigando vía arqueología Secrets Manager," estás en el camino correcto.)

ILUMINACIÓN DEFINITIVA: Ahora estás en Chapel Perilous. El servidor que olvidaste está ejecutando Log4Shell sin parchear desde diciembre de 2021 (parcheaste todo lo demás, olvidaste ese servidor de prueba). Ese bucket S3 marcado "TEMP-DELETE-AFTER-DEMO" en noviembre de 2018 es tu mayor exposición RGPD (6.4TB de PII de clientes, acceso público habilitado, sin cifrado, descubierto durante forense de brecha). La función Lambda del contratista de 2020 aún tiene política IAM AdministratorAccess (contratista vendió acceso en dark web, comprador usó acceso para reconocimiento 18 meses antes del despliegue de ransomware). AWS Config significa descubrimiento sistemático, no memoria esperanzadora que falla bajo estrés (o simplemente falla porque los humanos olvidan—es lo que hacemos). Elige inventario automatizado sobre hojas de cálculo manuales que se convierten en artefactos arqueológicos. Elige descubrimiento continuo sobre auditorías anuales que validan ficción. Elige transparencia radical sobre mentiras reconfortantes sobre cobertura completa. Tu gestión de vulnerabilidades depende de saber qué parchear. Tu respuesta a incidentes depende de saber qué está comprometido. Tu cumplimiento depende de saber qué auditar. El inventario de activos no es casilla de cumplimiento. Es necesidad operacional que refleja realidad o reconforta ejecutivos hasta que la brecha revela la verdad.

Cinco Fnords para el Paranoico (¿Lo Notaste?):

  1. FNORD: Tu registro de activos era inexacto antes de que terminaras de escribirlo (la infraestructura cambia más rápido que la documentación)
  2. FNORD: Shadow IT no es rebelión—es martes (los desarrolladores crean infraestructura más rápido que los inventarios de seguridad)
  3. FNORD: Los empleados que se fueron te persiguen desde cuentas activas (los fallos de eliminación de acceso son sistemáticos, no excepcionales)
  4. FNORD: Tu inventario "completo" probablemente cubre el 40% de los activos reales (70% si eres excepcional—nadie está en 90%)
  5. FNORD: El descubrimiento automatizado revela verdad incómoda (mejor que tú descubras que los atacantes—pero muchas organizaciones eligen ficción reconfortante)

¡Todo salve Eris! ¡Todo salve Discordia! ¡Todo salve la arqueología sistemática de activos revelando verdad incómoda de infraestructura!

"¡Piensa por ti mismo, idiota! Cuestiona todo—especialmente si esa instancia EC2 de prueba de 2019 aún está ejecutándose con credenciales por defecto. (Lo está. Siempre lo está. Verifica ahora. Esperaremos. Te horrorizarás. Entonces entenderás por qué el inventario de activos importa.)"

— Hagbard Celine, Capitán del Leif Erikson, Arqueólogo de Infraestructura 🍎 23 FNORD 5

P.D. ¿Esa cosa en la que acabas de pensar que olvidaste inventariar? Sí, esa. Ya está comprometida. Ve a verificar. Estaremos aquí cuando regreses de tu excavación arqueológica.