Guía completa sobre la gestión de la superficie de ataque: cómo detectar, supervisar y reducir la exposición
Información clave
La gestión de la superficie de ataque (ASM) es el proceso continuo de detectar, clasificar, priorizar y corregir vulnerabilidades en todos los activos digitales, adoptando la perspectiva del atacante para identificar lo que los inventarios tradicionales pasan por alto.
El ciclo de vida de ASM sigue cinco fases —detección, clasificación, priorización, corrección y supervisión continua— que se repiten en un ciclo para adaptarse a los cambios en la infraestructura.
Las seis categorías de superficies de ataque requieren métodos de detección específicos: externa, interna, cloud, IA, cadena de suministro e ingeniería social.
Los casos prácticos reales demuestran que las deficiencias en la gestión de la seguridad de las aplicaciones (ASM) provocan pérdidas por valor de miles de millones, mientras que los programas de ASM contrastados reducen miles de alertas a unas pocas docenas de problemas reales.
ASM se ajusta directamente a los marcos de cumplimiento normativo, entre los que se incluyen NIST SP 800-53, ISO 27001, NIS2, CIS Controls y MITRE ATT&CK, lo que lo convierte en un requisito imprescindible tanto desde el punto de vista de la seguridad como del cumplimiento normativo.
Cada activo que su organización expone a Internet —o conecta internamente— es un posible punto de entrada para los atacantes. En 2026, los investigadores de Unit 42 descubrieron que el 87 % de los incidentes de seguridad abarcaban al menos dos superficies de ataque, y que la identidad estaba implicada en casi el 90 % de los casos. Esa estadística por sí sola explica por qué la gestión de la superficie de ataque se ha convertido en una de las disciplinas de más rápido crecimiento en el ámbito de la ciberseguridad. Esta guía desglosa qué es la ASM, cómo funciona su ciclo de vida, los tipos de superficies de ataque que las organizaciones deben supervisar y cómo crear un programa que se adapte a una huella digital en constante expansión. Tanto si eres un analista de seguridad que está definiendo el alcance de su primera iniciativa de ASM como si eres un CISO que evalúa la madurez del programa, esta es la referencia fundamental.
¿Qué es la gestión de la superficie de ataque?
La gestión de la superficie de ataque es el proceso continuo de detectar, clasificar, priorizar y corregir las vulnerabilidades de seguridad en todos los activos digitales de una organización. La gestión de la superficie de ataque adopta la perspectiva de un atacante, identificando activos y vulnerabilidades que los inventarios de activos tradicionales pasan por alto, como la TI en la sombra, cloud y las integraciones de terceros.
Esa definición resume la diferencia fundamental entre la gestión de activos (ASM) y la gestión de activos convencional. Las herramientas de seguridad tradicionales funcionan de dentro hacia fuera, catalogando los recursos conocidos en una base de datos de gestión de configuraciones (CMDB) o en una base de datos de configuración. La ASM invierte este modelo. Empieza de fuera hacia dentro, buscando todos los activos expuestos a Internet, cloud olvidadas y los puntos finales de API huérfanos, tal y como lo haría un atacante. El objetivo es descubrir lo desconocido: los activos que existen en su entorno pero que nunca se han inventariado formalmente.
Esto es importante porque las empresas modernas cambian constantemente. Cloud se activan y desactivan en cuestión de minutos. Los desarrolladores implementan integraciones SaaS sin necesidad de la aprobación del departamento de TI. Las fusiones y adquisiciones absorben pilas tecnológicas completas de la noche a la mañana. Cada cambio puede generar nuevos riesgos que las herramientas tradicionales simplemente no detectan.
Lo que el ASM detecta y las herramientas tradicionales pasan por alto
Los activos que plantean un mayor riesgo suelen ser aquellos de los que nadie tiene constancia. Las implementaciones de TI en la sombra, los servidores de desarrollo olvidados, las integraciones OAuth de terceros, los puntos finales de API no gestionados y la infraestructura de IA implementada al margen del control de TI entran todos en esta categoría.
Un ejemplo real ilustra este punto. En 2025, los actores maliciosos aprovecharon las integraciones OAuth de la plataforma de interacción comercial SalesLoft para obtener acceso a entornos de clientes a gran escala, lo que acabó exponiendo los datos de 4,46 millones de consumidores estadounidenses a través de TransUnion. La superficie de ataque no fue un servidor ni un cortafuegos, sino una integración de terceros que ASM debería haber estado supervisando. Este es el tipo de exposición que la detección de amenazas por sí sola no puede prevenir sin un descubrimiento continuo de activos que le proporcione contexto.
Por qué es importante la gestión de la superficie de ataque
El argumento comercial a favor de ASM se basa en tres tendencias convergentes: el aumento de las superficies de ataque, la reducción de los plazos de explotación y la creciente brecha entre la detección de vulnerabilidades y su corrección.
El mercado confirma la urgencia. El mercado de la gestión de la superficie de ataque se valoró entre 1.030 y 2.030 millones de dólares en 2026, dependiendo de la empresa de investigación y de la definición del alcance, con tasas de crecimiento anual compuesto del 21 % al 31 % (Fortune Business Insights). Ese crecimiento refleja la demanda real de las organizaciones que han aprendido —a menudo por las malas— que no pueden proteger lo que no ven.
Principales razones por las que la ASM es importante ahora:
Los costes de las filtracionesde datosno dejan de aumentar. El coste medio global de una filtración de datos alcanzó los 4,44 millones de dólares en 2025, con un tiempo medio de detección de 181 días y de 60 días para su contención (Ponemon Institute, 2025).
Récord en el número de filtraciones de datos. Estados Unidos registró 3.322 filtraciones de datos en 2025, lo que supone un aumento del 4 % con respecto al año anterior (ITRC, según Barracuda).
El riesgo asociado a terceros está aumentando. La participación de terceros en las violaciones de seguridad se elevó al 30 %, frente al 15 % del año anterior (Ponemon Institute, 2025).
Los plazos de explotación se han reducido drásticamente. Los atacantes que utilizan inteligencia artificial han multiplicado por cuatro su velocidad en el último año (Unit 42, 2026), y el plazo entre la divulgación y la explotación de las nuevas vulnerabilidades se ha reducido a entre 24 y 48 horas.
La brecha en la corrección de vulnerabilidades se está ampliando. Las organizaciones detectan una media de 13 333 vulnerabilidades al año, pero solo corrigen el 50 % de ellas (Dark Reading, 2026).
Las superficies de ataque imposibles de parchear están aumentando. Los analistas del sector prevén que, para 2026, las superficies de ataque imposibles de parchear pasarán de representar menos del 10 % a más del 50 % de la exposición de las empresas.
Estas cifras sitúan la gestión de riesgos de la superficie de ataque como una cuestión de interés para el consejo de administración. Cuando los grupos de ransomware pueden aprovechar una nueva vulnerabilidad en cuestión de horas y la mitad de las vulnerabilidades detectadas no se corrigen, la visibilidad continua ya no es opcional.
Cómo funciona la gestión de la superficie de ataque
La gestión de la superficie de ataque sigue un ciclo de vida continuo de cinco fases. Cada fase da paso a la siguiente, creando un ciclo continuo que se adapta a la huella digital en constante evolución de la organización. Comprender este ciclo de vida de la gestión de la superficie de ataque es la base para crear un programa eficaz.
Las cinco fases del ciclo de vida de ASM:
Detección: identificación automatizada de todos los activos internos y conectados a Internet mediante análisis externos, enumeración de DNS, registros de transparencia de certificados y consultas cloud . Esta fase abarca la TI en la sombra, las integraciones de terceros y la infraestructura de IA.
Clasificación e inventario: clasificación de los activos detectados por tipo, propietario, importancia para el negocio y pila tecnológica. El objetivo es crear un inventario de activos en un único panel que agrupe datos procedentes de la CMDB, cloud, el SaaS y los repositorios de código.
Evaluación y priorización de riesgos: puntuación de las vulnerabilidades en función de su explotabilidad, el impacto en el negocio y el contexto de la inteligencia sobre amenazas. Aunque marcos como CVSS y EPSS resultan útiles, una priorización eficaz da mayor peso al riesgo real que a las puntuaciones de gravedad sin procesar. No todas las vulnerabilidades CVE críticas requieren la misma respuesta.
Corrección: parches, cambios de configuración, revocación de accesos, retirada de activos o controles compensatorios. Los flujos de trabajo de corrección automatizados mediante la integración de SIEM/SOAR aceleran esta fase. Cuando la corrección revela una amenaza activa, los equipos pasan a la fase de respuesta a incidentes.
Supervisión continua: vigilancia constante de nuevos activos, desviaciones en la configuración y vulnerabilidades emergentes. La Guía del comprador del EASM del NCSC recomienda realizar análisis cada hora de los activos críticos y análisis diarios como mínimo.
Diagrama: El ciclo de vida de la gestión de la superficie de ataque (ASM) funciona como un bucle continuo —descubrimiento, clasificación, priorización, corrección y supervisión— en el que cada fase da paso a la siguiente.Texto alternativo: Diagrama que muestra las cinco fases del ciclo de vida de la gestión de la superficie de ataque en un ciclo continuo: descubrimiento, clasificación, priorización, corrección y supervisión.
Gestión continua de la superficie de ataque
La gestión continua de la superficie de ataque no es una disciplina independiente, sino lo que ocurre cuando las cinco fases del ciclo de vida se desarrollan sin interrupción. Vale la pena destacar este concepto, ya que los programas de seguridad tradicionales suelen considerar la detección de activos como una tarea trimestral o anual. Ese ritmo resulta peligrosamente lento en el entorno actual.
Pensemos en la rapidez con la que se producen los ataques hoy en día. Cuando se dio a conocer la vulnerabilidad crítica de Langflow (CVE-2026-33017), los atacantes ya disponían de exploits operativos a las 20 horas de la publicación del aviso (The Hacker News). Un análisis trimestral no habría detectado este incidente en absoluto. Las superficies Cloud cambian a diario —o incluso cada hora— a medida que los equipos provisionan y desactivan la infraestructura. La supervisión continua reduce el tiempo que transcurre entre la aparición de una vulnerabilidad y su detección.
La validación es igualmente importante. Un estudio de caso documentado reveló que los equipos de seguridad redujeron 1.198 alertas «críticas» a solo 31 incidencias reales mediante una validación basada en pruebas (ProjectDiscovery, 2026). Sin una validación continua, los programas de ASM se ven desbordados por el ruido, lo que contribuye a la fatiga por alertas en lugar de reducirla.
Funciones principales de ASM
Las funciones principales de la gestión de la superficie de ataque se corresponden directamente con las fases del ciclo de vida: detección (identificación de todos los activos), clasificación (categorización e inventario), priorización (clasificación basada en el riesgo), corrección (solución o mitigación) y supervisión continua (vigilancia constante de los cambios). Estas cinco funciones funcionan de forma coordinada. La detección sin priorización da lugar a una lista de activos abrumadora. La priorización sin supervisión continua pierde su eficacia en cuestión de días, a medida que el entorno cambia.
Tipos de superficies de ataque que hay que gestionar
Los programas de ASM eficaces deben detectar y supervisar seis categorías de superficie de ataque —externa, interna, cloud, IA, cadena de suministro y humana—, cada una de las cuales requiere métodos de detección específicos.
Tipo
Activos clave
Método de descubrimiento
Ejemplo de riesgo
Externo (EASM)
Dominios, direcciones IP, certificados, aplicaciones web, API expuestas
Escaneo externo, enumeración de DNS, transparencia de certificados
Servicio de alojamiento de subdominios olvidado vulnerable
Interno
Dispositivos finales, Active Directory, cuentas de servicio, aplicaciones internas
Escaneo basado en agentes, análisis de redes, integración con la base de datos de gestión de configuraciones (CMDB)
Cloud , funciones sin servidor, puntos de conexión de API, errores de configuración
Consultas a Cloud , herramientas de CSPM, registros de la pasarela de API
Depósito de S3 expuesto públicamente con datos confidenciales
AI
Puntos finales de LLM, API de modelos, flujos de datos de entrenamiento, identidades de agentes de IA
Herramientas de inventario de IA, supervisión de API, detección de IA oculta
Punto final del modelo sin supervisión vulnerable a prompt injection
Cadena de suministro
Integraciones OAuth, API de proveedores, dependencias de código abierto (SBOM)
Análisis de dependencias, plataformas de gestión de riesgos de terceros, análisis de SBOM
Paquete npm comprometido que se está propagando entre organizaciones
Ingeniería social
Empleados, personal de atención al público, perfiles ejecutivos
Programas de sensibilización, phishing , supervisión de OSINT
phishing dirigidos que utilizan organigramas disponibles públicamente
Seis categorías de superficies de ataque que requieren enfoques específicos de detección y supervisión de ASM.
Gestión de la superficie de ataque externa (EASM)
La gestión de la superficie de ataque externa (EASM) es el subconjunto de la gestión de la superficie de ataque (ASM) que se centra específicamente en los activos conectados a Internet y visibles para los atacantes externos. Se trata de la categoría de ASM que se aborda con mayor frecuencia, ya que los activos externos son, por definición, lo primero que ven los adversarios. Las herramientas de EASM analizan dominios, direcciones IP, certificados, aplicaciones web y API expuestas, creando así un inventario de fuera hacia dentro que refleja el proceso de reconocimiento de los atacantes.
La gestión de la superficie de ataque de activos (EASM) se diferencia de la gestión de la superficie de ataque de activos cibernéticos (CAASM), que se centra en agregar datos de activos internos procedentes de múltiples fuentes para crear un inventario completo y sin duplicados. Mientras que la EASM se centra en el exterior, la CAASM se centra en el interior. Los programas completos de gestión de la superficie de ataque (ASM) requieren ambas perspectivas.
La gestión de la superficie de ataque interna abarca las redes locales, los puntos finales, las aplicaciones internas, Active Directory y las cuentas de servicio. Para las organizaciones que operan en entornos híbridos, los controles de seguridad de red y la supervisión de identidades son complementos fundamentales de la EASM. Del mismo modo, la gestión de la superficiecloud abarca las configuraciones erróneas, el almacenamiento expuesto, las funciones sin servidor y los puntos finales de API, un ámbito en el que las prácticas cloud se entrecruzan directamente con la ASM.
La superficie de ataque de la IA
La infraestructura de IA constituye una categoría emergente de superficie de ataque que la mayoría de los programas de gestión de seguridad de aplicaciones (ASM) aún no abordan. Los puntos finales de los modelos de lenguaje grande (LLM), los flujos de datos de entrenamiento, las API de modelos, las identidades de los agentes de IA y las interfaces de prompts crean nuevos riesgos que quedan fuera del ámbito de la gobernanza tradicional de TI.
El riesgo es real. La vulnerabilidad CVE-2026-33017 de Langflow (CVSS 9.3) fue explotada a las 20 horas de la publicación del aviso (Sysdig), dirigiéndose a una infraestructura de procesos de IA que muchas organizaciones ni siquiera sabían que existía. En la RSAC 2026, el 48 % de los profesionales de la seguridad señalaron la IA autónoma como el principal vector de ataque previsto para finales de año (Dark Reading). Mientras tanto, la IA en la sombra —implementaciones de IA que operan sin supervisión de TI— afecta al 76 % de las organizaciones. Los programas de ASM que ignoran la infraestructura de IA están dejando un punto ciego cada vez mayor sin supervisar, y prompt injection contra los puntos finales de modelos desprotegidos subrayan la urgencia.
Las superficies de ataque de la cadena de suministro y de terceros requieren la misma atención. La campaña Shai-Hulud 2.0 en npm comprometió más de 700 paquetes y afectó a 487 organizaciones (investigación de Unit 42), lo que demuestra cómo los ataques a la cadena de suministro pueden propagarse a gran escala. Un aumento del 84 % en los ataques que utilizan protocolos OT amplía aún más el perímetro hacia el ámbito de la seguridad del IoT (Forescout, 2026). La superficie de ataque de ingeniería social —el factor humano— completa el panorama, con campañas dirigidas que explotan datos de empleados y organigramas disponibles públicamente para elaborar phishing convincentes.
La ASM en la práctica
La teoría es importante, pero los resultados cuantificables lo son aún más. Los siguientes casos prácticos ilustran lo que ocurre cuando los programas de ASM tienen éxito... y cuando fracasan.
SalesLoft/TransUnion (2025). Los atacantes aprovecharon las integraciones OAuth para acceder a los entornos de los clientes a gran escala, lo que dejó expuestos a 4,46 millones de consumidores estadounidenses a través de una integración de terceros no supervisada (Integrity360). Conclusión: las integraciones OAuth de terceros constituyen una superficie de ataque crítica que el equipo de seguridad de aplicaciones (ASM) debe supervisar de forma continua.
Jaguar Land Rover (2025). Un ciberataque paralizó la producción durante cinco semanas, lo que afectó a más de 5 000 empresas de la cadena de suministro global y supuso un coste estimado de 1 900 millones de libras esterlinas: el ciberincidente más perjudicial económicamente de la historia del Reino Unido (Integrity360). Conclusión: la gestión de la seguridad de los sistemas (ASM) debe extenderse a los entornos de tecnología operativa (OT) y de fabricación.
Campaña de ransomware contra el sector minorista del Reino Unido (2025). Una campaña coordinada dirigida contra los principales minoristas del Reino Unido mediante el aprovechamiento de vulnerabilidades en la cadena de suministro y las dependencias compartidas de proveedores. Conclusión: la visibilidad de la superficie de ataque debe incluir la infraestructura compartida entre organizaciones.
Validación de alertas de ProjectDiscovery (2026). Un estudio de caso documentó cómo los equipos redujeron 1.198 alertas «críticas» a 31 problemas reales mediante una validación basada en pruebas (ProjectDiscovery). Conclusión: el ASM debe evolucionar más allá de la simple generación de alertas para ofrecer hallazgos validados y priorizados en función del riesgo.
ASM frente a la gestión de vulnerabilidades
La gestión de activos y seguridad (ASM) y la gestión de vulnerabilidades están relacionadas, pero son conceptos distintos. La ASM es un conjunto más amplio que parte de la identificación de activos desconocidos desde la perspectiva de un atacante. La gestión de vulnerabilidades se centra en corregir los fallos conocidos en los activos ya inventariados. Las organizaciones necesitan ambas, pero la ASM aborda la laguna crítica que suponen los activos que nunca han entrado en el ámbito de actuación del escáner de vulnerabilidades. Para obtener más información sobre la metodología de evaluación, consulte la sección sobre evaluación de vulnerabilidades.
ASM frente a EASM frente a CAASM
Capacidad
ASM
EASM
CAASM
Alcance
Todos los activos (externos + internos)
Solo recursos expuestos a Internet
Agregación interna de activos
Perspectiva
Perspectiva del atacante (de fuera hacia dentro + de dentro hacia fuera)
Perspectiva del atacante (de fuera hacia dentro)
Perspectiva del defensa (de dentro hacia fuera)
Función principal
Gestión del ciclo de vida completo
Detección y supervisión externas
Consolidación del inventario de activos
Fuentes de datos
Escaneos externos + telemetría interna + cloud
Escaneos externos, DNS, certificados
CMDB, cloud, SaaS, agentes de terminal
Comparación de las capacidades y el alcance de ASM, EASM y CAASM.
La gestión de la superficie de ataque (ASM) es la disciplina general. La gestión de la superficie de ataque externa (EASM) se ocupa del subconjunto orientado al exterior. La gestión de la superficie de ataque de los activos cibernéticos (CAASM) se centra en agregar y deduplicar los datos de los activos internos procedentes de múltiples fuentes. Los programas maduros de ASM integran tanto los flujos de datos de EASM como los de CAASM.
Modelo de madurez del programa ASM
Las organizaciones pueden evaluar su programa de gestión de la seguridad de los sistemas (ASM) en función de cuatro niveles de madurez, cada uno con características específicas e indicadores cuantificables.
Nivel
Características
Indicadores clave de rendimiento
Herramientas e integraciones
1. Ad hoc
Enfoque reactivo, análisis periódicos, ausencia de un inventario formal de activos, equipos aislados
Frecuencia de detección de activos (trimestral o menos), sin métricas de cobertura definidas
Herramientas manuales, hojas de cálculo, escaneo puntual
2. Definido
Procesos ASM establecidos, análisis programado, inventario básico de activos, asignación de responsabilidades
Ciclos de detección mensuales, seguimiento del porcentaje de cobertura de activos
Herramienta EASM específica, integración básica con la CMDB
3. Gestionado
Detección automatizada continua, priorización integrada de riesgos, indicadores clave de rendimiento (KPI) definidos
Detección semanal, seguimiento del MTTR, tendencias de la puntuación de riesgo, cobertura de activos superior al 80 %
EASM + CAASM, integración SIEM/SOAR, flujos de trabajo automatizados
4. Optimizado
Validación de la exposición en tiempo real, puntuación predictiva del riesgo, corrección automatizada y ASM integrado en el programa CTEM
Detección continua, resultados validados (no alertas sin procesar), cumplimiento de los acuerdos de nivel de servicio (SLA) en materia de corrección
Paquete completo de ASM, priorización basada en IA, integración con CTEM
Modelo de madurez del programa ASM de cuatro niveles con criterios de progresión cuantificables.
Hoy en día, la mayoría de las organizaciones operan en el nivel uno o dos. Pasar al nivel tres requiere herramientas específicas y la integración con los flujos de trabajo de seguridad existentes. El nivel cuatro representa lo último en tecnología: una gestión de la exposición validada en tiempo real integrada en un programa más amplio de gestión continua de la exposición a amenazas.
ASM y el cumplimiento normativo
El ASM se ajusta directamente a los requisitos de los principales marcos normativos, lo que lo convierte en un elemento imprescindible tanto para la seguridad como para el cumplimiento normativo. La siguiente tabla de correspondencias relaciona las fases del ciclo de vida del ASM con controles específicos.
Registros de evaluaciones de vulnerabilidad, resultados de pruebas de penetración
Actividades de ASM para establecer correspondencias entre los requisitos del marco normativo.
La Directiva NIS2 merece una atención especial por parte de las organizaciones europeas. La directiva exige medidas de gestión de riesgos, entre las que se incluyen la gestión de activos y el tratamiento de vulnerabilidades para las entidades esenciales, y prevé multas de hasta 10 millones de euros o el 2 % de la facturación global en caso deincumplimiento. A principios de 2025, solo nueve de los 27 Estados miembros de la UE habían transpuesto íntegramente la Directiva NIS2, y en algunas jurisdicciones las primeras auditorías de cumplimiento se han aplazado hasta el 30 de junio de 2026. Las organizaciones que operan en los mercados de la UE deben considerar la ASM como un requisito de cumplimiento, no como una capacidad opcional.
Enfoques modernos para la gestión de la superficie de ataque
El sector de la gestión de sistemas de almacenamiento (ASM) está evolucionando rápidamente. Cloud domina actualmente el mercado, representando el 58 % de las implementaciones de ASM en 2026, mientras que las grandes empresas acaparan el 58 % de la cuota de mercado total (Fortune Business Insights).
Los observadores del sector describen esta evolución en tres fases. ASM 1.0 se basaba en análisis periódicos e inventarios manuales de activos. ASM 2.0 introdujo la detección automatizada continua y la puntuación de riesgos. ASM 3.0 —la vanguardia actual— añade una gestión continua y validada de la exposición, en la que los resultados se confirman mediante pruebas basadas en pruebas antes de generar alertas (ProjectDiscovery). La detección basada en la inteligencia artificial y la priorización de riesgos se están convirtiendo en la norma en las tres fases.
La consolidación del mercado pone de manifiesto la madurez de la gestión de amenazas de seguridad (ASM) como categoría. En febrero de 2026, un importante proveedor de servicios de detección gestionada llevó a cabo una adquisición centrada en la ASM, lo que refleja la tendencia generalizada de que las capacidades de ASM se integren en plataformas de seguridad más amplias, en lugar de seguir siendo herramientas independientes.
Contexto del CTEM. ASM proporciona la capa de detección y supervisión dentro del marco más amplio de gestión continua de la exposición a amenazas. Gartner predijo que, para 2026, las empresas que adoptaran el CTEM tendrían tres veces menos probabilidades de sufrir una violación de seguridad —una predicción que, a fecha de marzo de 2026, aún no se ha validado, pero que ha impulsado una adopción significativa—. Para obtener información detallada sobre el marco, consulte nuestra guía de gestión continua de la exposición a amenazas.
Cómo Vectra AI la visibilidad de la superficie de ataque
El enfoque Vectra AI parte de la base de que la red moderna ES la superficie de ataque, y abarca infraestructuras locales,cloud, de identidad, SaaS, IoT/OT, perimetrales y de IA. En lugar de intentar catalogar todos los activos posibles, Vectra AI en Attack Signal Intelligence detectar a los atacantes que ya han penetrado en la superficie de ataque. Esto proporciona una visibilidad unificada de toda la superficie de ataque moderna mediante la detección de comportamientos en cada etapa de la cadena de ataque, complementando las capacidades de descubrimiento de ASM con la detección y respuesta de red y la detección y respuesta a amenazas de identidad. Juntas, ASM y la detección basada en señales forman las dos mitades de una estrategia de exposición completa: una encuentra las brechas y la otra encuentra a los atacantes que las explotan. Obtenga más información sobre la Vectra AI .
Conclusión
La gestión de la superficie de ataque ya no es opcional para las organizaciones que operan cloud híbridos ycloud . Esta disciplina ofrece la visibilidad continua desde la perspectiva del atacante que se necesita para detectar activos y vulnerabilidades que los inventarios de seguridad tradicionales pasan por alto, desde la TI en la sombra y las integraciones de terceros hasta la emergente superficie de ataque de la IA.
Para crear un programa de gestión de la superficie de ataque (ASM) eficaz, es necesario empezar por comprender su ciclo de vida de cinco fases, evaluar el nivel de madurez actual y dar prioridad a las categorías de la superficie de ataque más relevantes para su entorno. Adapte sus actividades de ASM a los marcos normativos desde el principio: los requisitos de cumplimiento normativo están convergiendo en torno a las mismas capacidades de detección de activos y supervisión continua que ya ofrecen los buenos programas de ASM.
Las organizaciones que consideren la gestión de la superficie de ataque (ASM) como una disciplina continua —en lugar de un análisis periódico— estarán en una posición óptima para reducir la exposición antes de que los atacantes la aprovechen. Los equipos que deseen complementar la ASM con una detección basada en señales en toda la superficie de ataque moderna pueden explorar cómo Vectra AI la visibilidad unificada de las amenazas.
Preguntas frecuentes
¿Qué es la gestión de la superficie de ataque?
La gestión de la superficie de ataque es el proceso continuo de detectar, clasificar, priorizar y corregir las vulnerabilidades de seguridad en toda la huella digital de una organización. Adopta la perspectiva de un atacante, identificando activos y vulnerabilidades que los inventarios tradicionales pasan por alto, como la TI en la sombra, cloud no gestionadas, las integraciones de terceros y la infraestructura de IA implementada fuera del ámbito de control de TI. A diferencia de las auditorías de seguridad periódicas, la gestión de la superficie de ataque (ASM) funciona como un ciclo de vida continuo, escaneando constantemente en busca de nuevos activos y configuraciones modificadas para mantener una visibilidad en tiempo real de la postura de exposición de una organización. Esta disciplina ha crecido rápidamente a medida que las organizaciones reconocen que la gestión tradicional de activos de dentro hacia fuera pasa por alto los activos a los que realmente se dirigen los atacantes.
¿Cuáles son los tres tipos de superficies de ataque?
Los tres tipos tradicionales son: digital (software, redes, cloud , API), físico (dispositivos, instalaciones, hardware) e ingeniería social (el factor humano: empleados vulnerables al phishing, al pretexting o a la manipulación). Los marcos modernos amplían esta taxonomía de forma significativa. La categoría digital se subdivide ahora en dimensiones externas, internas, cloud y de cadena de suministro. La infraestructura de IA —incluidos los puntos finales de LLM, las API de modelos y los flujos de datos de entrenamiento— está surgiendo como una cuarta categoría diferenciada. Las organizaciones que desarrollen programas de ASM deben planificar teniendo en cuenta las seis categorías modernas, en lugar de limitar el alcance a las tres tradicionales.
¿Cuál es la diferencia entre ASM y la gestión de vulnerabilidades?
La gestión de activos y seguridad (ASM) es un concepto más amplio que parte de la identificación de activos desconocidos desde la perspectiva de un atacante. La gestión de vulnerabilidades se centra en corregir los fallos conocidos en los activos ya inventariados. La diferencia clave radica en el alcance: la gestión de vulnerabilidades da por hecho que se sabe qué se tiene y busca fallos en ello, mientras que la ASM comienza por localizarlo todo, incluyendo la TI en la sombra, los servidores olvidados y las integraciones de terceros a las que los escáneres de vulnerabilidades nunca llegan.
¿Por qué es importante la gestión de la superficie de ataque?
Las organizaciones se enfrentan a superficies de ataque cada vez más amplias (el 87 % de los incidentes abarca dos o más superficies), ventanas de explotación cada vez más reducidas (entre 24 y 48 horas desde la divulgación hasta la explotación) y una brecha de corrección cada vez mayor (13 333 vulnerabilidades al año, de las cuales solo se corrige el 50 %). El coste medio global de una violación de seguridad alcanzó los 4,44 millones de dólares en 2025, y la participación de terceros en las violaciones se duplicó hasta alcanzar el 30 %. ASM proporciona la visibilidad continua necesaria para cerrar estas brechas. Sin ella, las organizaciones defienden un perímetro que no pueden ver en su totalidad, una situación que los atacantes están cada vez mejor equipados para explotar a la velocidad de una máquina.
¿Qué es la gestión de la superficie de ataque externa (EASM)?
EASM es un subconjunto de ASM centrado específicamente en detectar y supervisar los activos expuestos a Internet y visibles para los atacantes externos. Esto incluye dominios, direcciones IP, certificados SSL/TLS, aplicaciones web, API expuestas y cloud accesibles desde la red pública de Internet. Las herramientas EASM realizan análisis de «fuera hacia dentro» —el mismo reconocimiento que llevaría a cabo un atacante— para crear un inventario de la exposición externa. EASM se diferencia de CAASM, que agrega datos de activos internos. La mayoría de las organizaciones comienzan su andadura en ASM con EASM porque los activos externos representan la superficie de ataque más inmediata.
¿Cuál es la diferencia entre EASM y CAASM?
EASM detecta los activos expuestos al exterior partiendo desde fuera hacia dentro, imitando el proceso de reconocimiento de un atacante para localizar dominios, direcciones IP y servicios expuestos. La gestión de la superficie de ataque de activos cibernéticos (CAASM) adopta el enfoque contrario, agregando datos de activos internos procedentes de múltiples fuentes —CMDB, cloud , herramientas SaaS y agentes de endpoints— para crear un inventario completo y deduplicado. EASM responde a la pregunta «¿qué pueden ver los atacantes?», mientras que CAASM responde a «¿qué tenemos realmente?». Los programas completos de ASM combinan ambos enfoques para lograr una visibilidad total de las superficies externas e internas.
¿Qué relación hay entre el CTEM y la gestión de la superficie de ataque?
La gestión continua de la exposición a amenazas (CTEM) es un marco más amplio de cinco etapas —definición del alcance, detección, priorización, validación y movilización— que abarca todo el ciclo de vida de la gestión de la exposición. ASM proporciona la capa de detección y supervisión dentro de CTEM. Piensa en ASM como el motor que identifica y cataloga continuamente las exposiciones, mientras que CTEM añade la gobernanza, la validación y la coordinación de las medidas correctivas en torno a ello. Las organizaciones que se encuentran en el nivel cuatro de madurez de ASM suelen integrar su programa de ASM dentro de un marco de CTEM.
