Explicación de la gestión continua de la exposición a amenazas (CTEM): el hito de 2026

Información clave

CTEM es un marco de trabajo, no un producto. El programa de cinco fases de Gartner —definición del alcance, análisis, priorización, validación y movilización— ofrece un enfoque continuo y alineado con el negocio para la reducción de riesgos que va mucho más allá de los análisis periódicos de vulnerabilidades.
Solo el 16 % de las organizaciones ha implementado el CTEM a nivel operativo, a pesar de que el 87 % de los responsables de seguridad reconoce su importancia, lo que genera una brecha cada vez mayor en la visibilidad de la superficie de ataque entre quienes lo han adoptado y quienes no.
La validación es la fase que la mayoría de los equipos se saltan, y es la más importante. Las investigaciones demuestran que comprobar la explotabilidad puede reducir la falsa sensación de urgencia en un 84 %, lo que permite a los equipos centrar sus medidas correctivas en el 2 % de las vulnerabilidades que realmente afectan a activos críticos.
La previsión de Gartner sobre las filtraciones para 2026 sigue estando respaldada en términos generales, pero no ha sido validada. Los primeros datos indican que las empresas que adoptan el modelo CTEM disfrutan de una visibilidad un 50 % superior y de una adopción de soluciones 23 puntos porcentuales mayor, pero aún no se ha publicado ningún estudio empírico sobre las tasas de filtraciones.
El CTEM y la detección son complementarios, no competidores. La reducción proactiva de la exposición (CTEM), combinada con la detección reactiva de amenazas (NDR, XDR, SIEM), crea un ciclo cerrado que abarca ambos aspectos de una brecha de seguridad.

La mayoría de los equipos de seguridad ya saben que tienen demasiadas vulnerabilidades y muy poco tiempo. Lo que les falta es una forma estructurada de decidir qué riesgos son realmente importantes, así como un proceso continuo para demostrar que están ganando en seguridad con el paso del tiempo. Ese es precisamente el problema que Gartner se propuso resolver cuando presentó la gestión continua de la exposición a amenazas (CTEM) en 2022, y es la razón por la que este marco fue designado como una de las principales tendencias en ciberseguridad para 2023. Ahora, en 2026, hemos llegado al año clave de la audaz predicción de Gartner de que los que adoptaran el CTEM tendrían tres veces menos probabilidades de sufrir una brecha de seguridad. Esta guía recorre las cinco etapas del marco CTEM, lo compara con los enfoques tradicionales, evalúa en qué punto se encuentra hoy la predicción y ofrece un modelo de madurez práctico que puede utilizar para comparar su propio programa de reducción de la superficie de ataque.

¿Qué es el CTEM?

El CTEM (gestión continua de la exposición a amenazas) es un marco de ciberseguridad de cinco etapas creado por Gartner en 2022 que ayuda a las organizaciones a identificar, detectar, priorizar, validar y actuar de forma continua frente a las vulnerabilidades presentes en toda su superficie de ataque. A diferencia de los análisis periódicos de vulnerabilidades, que se centran exclusivamente en los CVE, el CTEM aborda los problemas de configuración incorrecta, los riesgos de identidad, los permisos excesivos, las fugas de credenciales y otras vulnerabilidades no incluidas en los CVE que los atacantes aprovechan habitualmente.

Gartner introdujo el CTEM para subsanar una deficiencia fundamental en el funcionamiento de los programas de seguridad. Los enfoques tradicionales consideran la gestión de la exposición como una actividad puntual: se realiza un análisis, se genera un informe, se entrega al departamento de TI y se espera a que se apliquen los parches. El CTEM replantea este proceso como un ciclo continuo alineado con las prioridades empresariales, en lugar de con los límites tecnológicos.

El marco ganó popularidad rápidamente. En abril de 2023, Gartner señaló el CTEM como una de las principales tendencias en ciberseguridad y, a finales de 2025, se había generalizado lo suficiente como para que Gartner publicara su primer Cuadrante Mágico sobre plataformas de evaluación de la exposición (EAP), en el que se evaluaban 20 proveedores de esta categoría de productos emergente que permite la implementación de programas de CTEM.

Una distinción fundamental que conviene aclarar desde el principio: el CTEM es un programa y una metodología, no un producto que se pueda comprar ya listo para usar. Sin embargo, se ha creado un ecosistema de productos a su alrededor, con programas de asistencia al empleado (EAP), herramientas de simulación de brechas y ataques (BAS), plataformas de gestión de la superficie de ataque de los activos cibernéticos (CAASM) y soluciones de gestión de la superficie de ataque externa (EASM), todas ellas destinadas a etapas específicas del ciclo de vida del CTEM. Las encuestas del sector sugieren que el 71 % de las organizaciones podrían beneficiarse del CTEM, y el 60 % lo están implementando o considerando activamente.

Las cinco etapas del CTEM

Las cinco fases del CTEM forman un ciclo continuo, no una lista de comprobación que se aplica una sola vez. Cada fase da pie a la siguiente, y los resultados de la movilización se incorporan de nuevo a la definición del alcance a medida que evoluciona la superficie de ataque.

Delimitación del alcance: define los límites de tu programa de exposición basándote en el impacto empresarial, no en los compartimentos estancos tecnológicos. Identifica qué activos, identidades y repositorios de datos son más importantes para la organización y adapta las decisiones sobre el alcance a la tolerancia al riesgo y a las prioridades estratégicas.
Detección: identifica todas las vulnerabilidades del entorno analizado, incluyendo vulnerabilidades, errores de configuración, riesgos de identidad, TI en la sombra, fugas de credenciales y permisos excesivos. La detección va mucho más allá del análisis tradicional de CVE para abarcar todo el espectro de posibles objetivos de los atacantes.
Priorización: clasifique las vulnerabilidades basándose en el contexto empresarial, la importancia de los activos y el análisis de las vías de ataque, en lugar de basarse únicamente en las puntuaciones CVSS. Los estudios demuestran que el 75 % de las vulnerabilidades son callejones sin salida que no conducen a otros activos, y que solo el 2 % llega realmente a sistemas críticos. Una priorización eficaz permite distinguir lo urgente del ruido.
Validación: comprueba si las vulnerabilidades priorizadas son realmente explotables en tu entorno específico. En esta fase se utilizan técnicas como BAS, red teaming y pruebas de penetración. Un estudio reveló que el 63 % de las vulnerabilidades clasificadas inicialmente como altas o críticas se redujeron a solo el 10 % tras la validación, lo que supone una reducción del 84 % en la falsa urgencia y permite a los equipos centrarse en lo que es realmente peligroso. Es aquí también donde las capacidades de búsqueda de amenazas demuestran su valor, al buscar de forma proactiva pruebas de que las vulnerabilidades ya han sido explotadas.
Movilización: impulsa la corrección interfuncional conectando a cloud de seguridad, operaciones de TI y cloud , así como a las partes interesadas en el gobierno corporativo, mediante flujos de trabajo estructurados. La movilización transforma los hallazgos en medidas concretas con responsabilidades claras, acuerdos de nivel de servicio (SLA) y pasos de verificación, y los resultados se incorporan al siguiente ciclo de definición del alcance. Una movilización eficaz depende de procesos maduros de respuesta a incidentes que puedan traducir los hallazgos sobre vulnerabilidades en medidas correctivas operativas.

Cómo se corresponden cada una de las fases con las exposiciones en la vida real

Las recientes revelaciones de vulnerabilidades ponen de manifiesto la importancia de cada fase del CTEM.

El caso de BeyondTrust CVE-2026-1731 (CVSS 9,9) es un ejemplo en el que las fases de detección y validación se complementan. Una organización que aplique el modelo CTEM detectaría los componentes afectados durante el inventario continuo de activos y, a continuación, validaría si la vulnerabilidad era accesible y explotable en su configuración específica antes de destinar recursos a la aplicación de parches de emergencia.

Las vulnerabilidades de la infraestructura de red, como la de Cisco SD-WAN (CVE-2026-20127), ponen de relieve la importancia de las fases de definición del alcance y de detección. Si los dispositivos de red quedan fuera del alcance del CTEM porque el programa solo cubre cloud , las vulnerabilidades críticas pasan desapercibidas.

La urgencia es real. Según los estudios de inteligencia sobre amenazas, el 61 % de las vulnerabilidades explotadas en 2025 se utilizaron con fines maliciosos en las 48 horas siguientes a su divulgación. Los análisis trimestrales periódicos simplemente no pueden seguir el ritmo de ese plazo. El ciclo continuo de CTEM —desde el descubrimiento hasta la validación— garantiza que las vulnerabilidades se identifiquen y evalúen antes de que los atacantes puedan explotarlas a gran escala.

Diagrama de flujo circular que muestra las cinco fases del CTEM —definición del alcance, exploración, priorización, validación y movilización— conectadas mediante flechas que indican un ciclo continuo. Cada fase da paso a la siguiente, y la fase de movilización vuelve a la de definición del alcance.

CTEM frente a la gestión de vulnerabilidades y enfoques relacionados

La pregunta más habitual sobre el CTEM es en qué se diferencia de la gestión tradicional de vulnerabilidades. La respuesta breve es: el CTEM es el programa global que coordina la gestión de vulnerabilidades, el ASM y las herramientas de validación en un ciclo continuo. La gestión tradicional de vulnerabilidades es uno de los componentes de ese programa más amplio.

Título: Cómo el CTEM va más allá de la gestión tradicional de vulnerabilidades

Dimensión	CTEM	Máquina virtual tradicional	Por qué es importante
Alcance	Superficie de ataque completa: vulnerabilidades CVE, errores de configuración, riesgos de identidad, permisos y fugas de credenciales	Principalmente CVE y vulnerabilidades de software conocidas	Los atacantes aprovechan mucho más que solo las vulnerabilidades CVE
Cadencia	Ciclo continuo y basado en eventos	Analizaciones periódicas (semanales, mensuales, trimestrales)	El 61 % de las vulnerabilidades se aprovechan en un plazo de 48 horas
Establecimiento de prioridades	Contexto empresarial, análisis de la ruta de ataque, importancia de los activos	Puntuaciones CVSS, a veces acompañadas de información sobre amenazas	El 75 % de las vulnerabilidades son callejones sin salida; el CVSS por sí solo no puede distinguirlas
Validación	Fase obligatoria: comprobar la explotabilidad real	Rara vez se incluye; se considera vulnerable si el CVSS es alto	Reducción del 84 % de las urgencias falsas tras la validación
Remediación	Movilización interfuncional con responsabilidad y acuerdos de nivel de servicio	Cola de incidencias de TI, a menudo sin contexto empresarial	La movilización cierra el círculo; las entradas por sí solas no lo hacen
Resultado	Reducción continua y cuantificable de la exposición	Reducción del número de vulnerabilidades en un momento dado	Los líderes empresariales necesitan tendencias, no instantáneas

CTEM frente a ASM. La gestión de la superficie de ataque es uno de los componentes del CTEM y se centra principalmente en la fase de detección, mediante la identificación de los activos expuestos al exterior y las vulnerabilidades. El CTEM va más allá del ASM, ya que incluye fases adicionales de priorización, validación y movilización.

CTEM frente a EASM. La gestión de la superficie de ataque externa (EASM) se centra específicamente en los activos expuestos a Internet. Aporta información a la fase de detección del CTEM, pero no abarca las vulnerabilidades internas, los riesgos de identidad ni las fases de validación y movilización que completan el ciclo.

CTEM frente a RBVM. La gestión de vulnerabilidades basada en el riesgo (RBVM) mejora la gestión de vulnerabilidades tradicional al incorporar el contexto empresarial en el proceso de priorización. La RBVM se corresponde con la fase de priorización del CTEM, pero no incluye la definición del alcance, la detección de exposiciones no relacionadas con CVE, la validación ni la movilización.

Conclusión clave: el CTEM es la capa de coordinación. ASM, EASM, RBVM y BAS son herramientas y enfoques que facilitan el desarrollo de etapas específicas dentro del programa general del CTEM.

El punto de referencia CTEM de 2026: ¿se ha cumplido la predicción de Gartner?

En 2022, Gartner hizo una predicción audaz: «Las organizaciones que prioricen sus inversiones en seguridad basándose en un programa de gestión continua de la exposición a amenazas tendrán tres veces menos probabilidades de sufrir una filtración de datos para 2026». Ahora estamos en 2026. ¿Se ha cumplido esta predicción?

La respuesta sincera: hay indicios que lo respaldan, pero no está validado empíricamente.

Todavía no se ha realizado ningún estudio independiente que haya evaluado las tasas de violaciones de seguridad específicamente entre las empresas que han adoptado el CTEM y las que no lo han hecho. La predicción se concibió como una premisa de planificación estratégica —una herramienta para que los responsables de seguridad justificaran la inversión— y no como una hipótesis falsable con criterios de medición incorporados.

Lo que sí tenemos son datos indicativos. El estudio «CTEM Divide», realizado en 2026 entre 128 profesionales de la seguridad, reveló que las organizaciones que cuentan con programas operativos de CTEM presentan una visibilidad de la superficie de ataque un 50 % superior y una adopción de soluciones de seguridad 23 puntos más alta en comparación con aquellas que no los han adoptado. Estas métricas sugieren que las organizaciones que han adoptado el CTEM están mejor preparadas para prevenir las violaciones de seguridad, aunque la cifra de «tres veces menos probable» no haya sido confirmada de forma independiente.

La brecha en la adopción es sorprendente. Según el mismo estudio, el 87 % de los responsables de seguridad reconocen la importancia del CTEM, pero solo el 16 % lo ha implementado de forma operativa. Esa diferencia de 71 puntos entre el reconocimiento y la acción significa que la mayoría de las organizaciones se están quedando cada vez más atrás, mientras que las que lo han adoptado antes se están adelantando.

Desde entonces, Gartner ha ampliado sus previsiones sobre el CTEM. Se prevé que, para 2028, las organizaciones que combinen el CTEM con un fuerte enfoque en la movilización experimenten una reducción del 50 % en el número de ciberataques que prosperan. Además, Gartner prevé que, para 2028, más del 50 % de las exposiciones a amenazas se deban a vulnerabilidades no técnicas que la aplicación automática de parches no puede solucionar, lo que refuerza la importancia de que el CTEM tenga un alcance más amplio.

Línea de tiempo horizontal que muestra los hitos del CTEM. 2022: Gartner presenta el marco CTEM con la predicción de que «se reducirá en tres veces». 2023: El CTEM es nombrado la principal tendencia en ciberseguridad. Noviembre de 2025: Se publica el primer Cuadrante Mágico de Gartner sobre plataformas de evaluación de la exposición. 2026: Se alcanza el año previsto para la predicción; hay indicios que respaldan los beneficios de su adopción, pero no se ha publicado ninguna validación empírica de la tasa de incidentes.

Ventajas, retorno de la inversión y el análisis de viabilidad del CTEM

Los responsables de seguridad que elaboren un análisis de viabilidad para la inversión en CTEM pueden señalar varias ventajas cuantificables documentadas en estudios del sector.

Mejoras cuantificables en materia de seguridad:

Las empresas que han adoptado CTEM presentan una visibilidad de la superficie de ataque un 50 % superior y una adopción de soluciones de seguridad 23 puntos más alta en comparación con las que no lo han hecho (The Hacker News, 2026)
Un estudio de Forrester sobre el impacto económico total, encargado por un proveedor, indica un retorno de la inversión del 400 % y una reducción de las infracciones del 90 % para las soluciones alineadas con el CTEM (nota: encargado por un proveedor; considérese orientativo)
Las pruebas de validación reducen las falsas alarmas en un 84 %, lo que libera recursos de corrección para las vulnerabilidades realmente críticas
La tasa de ataques varía en función de la complejidad del dominio: las organizaciones que gestionan entre 51 y 100 dominios se enfrentan a una tasa de ataques del 18 %, frente al 5 % de aquellas con menos de 10 dominios

Dinámica del mercado:

El mercado específico de la CTEM crecerá a una tasa compuesta anual del 10,15 % entre 2025 y 2034
Se prevé que el mercado general de la gestión de la exposición crezca de 2.540 millones de dólares en 2024 a 23.260 millones de dólares en 2033 (con una tasa compuesta de crecimiento anual del 27,9 %), lo que refleja el amplio ecosistema de herramientas que hacen posibles los programas de CTEM
Los organismos gubernamentales están adoptando cada vez más los marcos de CTEM, y los organismos estatales y locales están utilizando enfoques de CTEM basados en el riesgo para cumplir con los requisitos normativos

Eficiencia operativa: CTEM aborda directamente las limitaciones de recursos a las que se enfrentan la mayoría de los equipos de seguridad. Dado que el 82 % de los CISO se ven presionados a reducir personal mediante la automatización basada en la inteligencia artificial, las fases estructuradas de priorización y validación de CTEM garantizan que las limitadas horas de trabajo de los analistas se dediquen a las vulnerabilidades que suponen una amenaza real para la empresa. El seguimiento de métricas de ciberseguridad como el MTTD (tiempo medio de detección), el MTTR (tiempo medio de corrección), la cobertura de la superficie de ataque y la tasa de validación proporciona a los responsables de seguridad los datos que necesitan para demostrar una mejora continua ante los consejos de administración y los auditores.

Puesta en marcha de un programa CTEM

Para poner en marcha un programa de CTEM es necesario abordarlo como un proceso operativo continuo, y no como un proyecto puntual. Según la guía práctica de ctem.org, el error más habitual es que las organizaciones completen un ciclo y luego den por concluido el proceso, en lugar de integrar el CTEM en las operaciones habituales del SOC.

Pasos prácticos para la implementación:

Empiece por la superficie de ataque externa. Comience a definir el alcance del CTEM con los activos conectados a Internet antes de ampliarlo a los sistemas internos. Un estudio de caso del sector de los servicios financieros reveló que el 30 % de los activos externos no figuraban en la base de datos de gestión de configuraciones (CMDB) de la organización y que algunas vulnerabilidades críticas llevaban más de 90 días sin parchear.
Defina el alcance en función del impacto en el negocio, no de los límites tecnológicos. Adapte las decisiones sobre el alcance a los sistemas generadores de ingresos, los repositorios de datos regulados y la infraestructura crítica, en lugar de organizarlas por equipos de TI o por pila tecnológica.
Crea flujos de trabajo de movilización interfuncionales. La corrección de incidencias requiere la coordinación entre los equipos de seguridad, TI, cloud y gobernanza. Sin procesos de traspaso estructurados, los hallazgos se quedan estancados en las colas de incidencias.
Realice mediciones de forma continua. Realice un seguimiento del MTTD, el MTTR, la cobertura de la superficie de ataque (objetivo: superior al 90 %) y la tasa de validación (objetivo: superior al 80 %) como indicadores clave de rendimiento (KPI) fundamentales del CTEM.
Aprende de casos reales. Cloud de Oracle Cloud —que afectó a 140 000 clientes y a más de seis millones de registros— demostró cómo un servidor heredado sin supervisar puede convertirse en un riesgo que la fase de «Descubrimiento» del CTEM habría detectado.

La reducción de la fatiga por alertas es una consecuencia natural de una gestión eficaz de la gestión de amenazas y la seguridad cibernética (CTEM). Cuando la validación elimina las falsas urgencias y la priorización descarta las exposiciones sin salida, los analistas dedican su tiempo a las amenazas reales en lugar de perseguir el ruido.

Modelo de madurez CTEM

Utiliza este modelo de cinco niveles para evaluar la situación actual de tu organización y planificar una trayectoria de desarrollo.

Leyenda: Modelo de madurez CTEM con criterios de autoevaluación por nivel

Nivel	Nombre	Características	Indicadores clave
1	Ad hoc	Análisis periódicos de vulnerabilidades sin un programa formal de gestión de riesgos. Las medidas correctivas son reactivas y carecen de coordinación.	Sin alcance definido; priorización basada únicamente en CVSS; sin fase de validación
2	Reactivo	Se han implementado herramientas básicas para máquinas virtuales con una priorización manual. Existe un inventario de activos, pero está incompleto.	Frecuencia trimestral de análisis; cobertura parcial de los activos; corrección basada en tecnologías de la información
3	Definido	Las fases del CTEM se han formalizado. El alcance se ha adaptado a los activos de la empresa. La fase de análisis abarca los riesgos no relacionados con CVE.	Ámbito de trabajo alineado con los objetivos empresariales; fase de análisis semanal; priorización basada en el riesgo
4	Gestionado	Se han implantado flujos de trabajo de validación continua, priorización automatizada y movilización entre equipos.	Ritmo continuo; validación por parte del equipo de seguridad y del equipo de simulación de ataques; corrección basada en el acuerdo de nivel de servicio (SLA)
5	Optimizado	Automatización basada en IA, reducción de la exposición en tiempo real, integrada con el sistema de detección. Circuito cerrado desde la exposición hasta la respuesta.	Priorización potenciada por IA; detección en tiempo real; informes para la junta directiva

Responsabilidades específicas del CTEM según el puesto

CISO: Es responsable de las decisiones relativas al alcance, gestiona el presupuesto, informa al consejo de administración sobre la situación de riesgo y define los umbrales de exposición aceptables.
Arquitecto de seguridad: integra las herramientas de CTEM en la infraestructura existente, diseña flujos de trabajo automatizados y garantiza que los resultados de CTEM se incorporen a la capa de detección.
Analista de SOC: realiza pruebas de validación, complementa las alertas con información sobre el contexto de la exposición y crea tickets de intervención con detalles que permiten actuar.
Equipo de GRC: asigna los resultados del CTEM a los controles de cumplimiento, mantiene registros de pruebas de auditoría y mide la eficacia de los controles a lo largo del tiempo.

CTEM y cumplimiento normativo

El ciclo continuo del CTEM se adapta de forma natural a los principales marcos de cumplimiento. En lugar de considerar el cumplimiento como una actividad independiente, las organizaciones pueden utilizar los resultados del programa CTEM como prueba continua de la eficacia de los controles de seguridad en múltiples marcos de seguridad.

Tabla de correspondencias del marco de cumplimiento del CTEM

Leyenda: Etapas del CTEM asignadas a los principales controles del marco normativo

Etapa CTEM	LCR 2.0 DEL NIST	PCI DSS 4.0.1	ISO 27001	NIS2	DORA
Definición del alcance	ID.AM (Gestión de activos), ID.RA (Evaluación de riesgos)	Requisito 2 (Configuraciones seguras), Requisito 12 (Políticas)	A.8.1 (Inventario de activos)	Art. 21 (Gestión de riesgos)	Art. 6 (Gestión de riesgos de las TIC)
Descubrimiento	ID.AM, DE.CM (Monitorización continua)	Requisito 6 (Sistemas seguros), Requisito 11 (Pruebas)	A.12.6 (Gestión de vulnerabilidades técnicas)	Art. 21 (Seguimiento)	Art. 9 (Detección)
Establecimiento de prioridades	ID.RA, ID.RM (Estrategia de gestión de riesgos)	Requisito 6.3 (Clasificación de vulnerabilidades)	A.18.2 (Revisiones de seguridad)	Art. 21 (Enfoque basado en el riesgo)	Art. 6 (Clasificación de riesgos)
Validación	DE.DP (Procesos de detección), PR.IP (Procesos de protección)	Requisito 11.3 (Pruebas de penetración)	A.12.6, A.18.2 (Revisiones)	Art. 21 (Pruebas)	Art. 26 (Pruebas de penetración basadas en amenazas)
Movilización	RS.RP (Planificación de la respuesta), RC.RP (Planificación de la recuperación)	Requisito 12.10 (Respuesta ante incidentes)	A.16 (Gestión de incidentes)	Art. 23 (Notificación de incidentes)	Art. 17 (Notificación de incidentes)

La fase de validación del CTEM también aprovecha el MITRE ATT&CK marco para la emulación de adversarios, que compara las pruebas de validación con técnicas de ataque reales, incluido el acceso inicial (0001), persistencia (0003), escalada de privilegios (0004), evasión de la defensa (0005), acceso mediante credenciales (0006), descubrimiento (0007), y movimiento lateral (0008). Esto garantiza que la validación refleje el comportamiento real de los atacantes, y no puntuaciones de riesgo teóricas. El Marco MITRE ATT&CK ofrece una taxonomía de técnicas que permite que los resultados de la validación sean aplicables y comparables entre organizaciones.

Enfoques modernos para la gestión de la exposición

El panorama del CTEM está evolucionando rápidamente a medida que las nuevas tecnologías transforman la forma en que las organizaciones aplican este marco.

IA agentiva y operaciones de gestión de riesgos automatizadas. Los agentes de IA están empezando a automatizar el ciclo de «detección-investigación-corrección-verificación» que constituye el núcleo del CTEM. Las operaciones de gestión de riesgos agentivas suponen un cambio de los flujos de trabajo dirigidos por personas a ciclos continuos potenciados por la IA, en los que los agentes se encargan de las tareas rutinarias de priorización y validación, mientras que los analistas se centran en los riesgos complejos.

Integración de CTEM y MITRE INFORM. La combinación del ritmo operativo de CTEM con el enfoque de defensa basado en la inteligencia sobre amenazas de MITRE INFORM da lugar a un enfoque más estructurado de la validación. Mientras que CTEM define el proceso, MITRE INFORM garantiza que los comportamientos de los adversarios sometidos a prueba durante la validación reflejen la inteligencia sobre amenazas actual.

Ampliación de la superficie de ataque de la IA. A medida que las organizaciones adoptan infraestructuras de IA, el alcance del CTEM debe ampliarse para abarcar las implementaciones de IA en la «IA en la sombra», los inventarios de servidores MCP y los modelos de IA cloud. Las principales plataformas de gestión de riesgos están ampliando su cobertura a las superficies de ataque de la IA, al reconocer que la infraestructura de IA introduce nuevas categorías de riesgos que las herramientas de detección tradicionales pasan por alto.

Madurez de las plataformas de evaluación de vulnerabilidades. Las investigaciones revelan que el 74 % de las vulnerabilidades identificadas son callejones sin salida y que, históricamente, el 90 % de los esfuerzos de corrección se han desperdiciado en ellas. Las plataformas de evaluación de vulnerabilidades abordan este problema combinando el análisis de las vías de ataque con el contexto empresarial, lo que ayuda a los equipos a centrar sus esfuerzos en las vulnerabilidades que realmente suponen una amenaza para los activos críticos.

El CTEM y la pila de detección: el papel de NDR, XDR y SIEM

El CTEM actúa «antes de que se produzca el ataque», reduciendo la superficie de ataque antes de que se produzca una intrusión. La detección y respuesta de red (NDR), la detección y respuesta ampliadas (XDR) y el SIEM actúan «después de que se produzca el ataque», detectando los ataques que ya están en marcha.

Se trata de enfoques complementarios, no contrapuestos. El CTEM reduce los objetivos potenciales de los atacantes. El sistema de detección detecta lo que logra colarse. Juntos, crean un ciclo cerrado: la información del CTEM sirve para ajustar la detección de amenazas, y los resultados de la detección se incorporan al alcance del CTEM para identificar nuevas categorías de exposición.

Diagrama de flujo que muestra dos zonas. El lado izquierdo, etiquetado como «A la izquierda del bang», contiene el CTEM con las cinco etapas que reducen la superficie de ataque. El lado derecho, etiquetado como «A la derecha del bang», contiene el NDR, el XDR y el SIEM, que detectan amenazas activas. Las flechas conectan las dos zonas en un bucle cerrado, en el que el CTEM influye en el ajuste de la detección y los resultados de la detección se retroalimentan en la definición del alcance del CTEM.

Cómo Vectra AI la gestión de la exposición

Vectra AI en el ámbito de la detección «inmediata», proporcionando Attack Signal Intelligence complementa la reducción proactiva de vulnerabilidades de CTEM. La filosofía de «asumir el compromiso» encaja de forma natural con el reconocimiento por parte de CTEM de que no todas las vulnerabilidades pueden eliminarse. Cuando un programa de CTEM reduce la superficie de ataque, el NDR garantiza que los puntos ciegos restantes queden cubiertos mediante la detección continua del comportamiento. Esto crea el ciclo cerrado que requieren los programas de seguridad maduros: el CTEM reduce los objetivos a los que pueden dirigirse los atacantes, y Vectra AI los ataques que aún logran pasar. El resultado es una resiliencia cuantificable: no solo un menor número de vulnerabilidades, sino un camino demostrablemente más rápido desde la detección de la exposición hasta la respuesta a la amenaza.

Tendencias futuras y consideraciones emergentes

El panorama del CTEM está entrando en un periodo de rápida aceleración impulsado por la convergencia de factores relacionados con la inteligencia artificial, la regulación y la maduración del mercado.

Operaciones de CTEM basadas en IA. En los próximos 12 a 24 meses, se prevé que la IA agentiva pase de los programas piloto a una automatización de CTEM apta para la producción. Los agentes de IA se encargarán del descubrimiento continuo, los ajustes de priorización en tiempo real y las pruebas de validación automatizadas para las categorías de exposición rutinarias. Esto responde a la necesidad del 82 % de los CISO, que se ven presionados a reducir la plantilla mediante la automatización: los programas de CTEM se convierten en el marco lógico para dirigir esa automatización de forma específica.

La convergencia normativa impulsa la adopción. La aplicación de la Directiva NIS2 en toda la UE, los requisitos de gestión de riesgos de las TIC de la Directiva DORA para los servicios financieros y las normas de supervisión más estrictas de la norma PCI DSS 4.0.1 están impulsando conjuntamente a las organizaciones hacia una gestión continua de la exposición. CTEM ofrece un marco operativo unificado que cumple simultáneamente con múltiples obligaciones normativas, lo que reduce la carga que supone mantener programas independientes para cada marco.

La brecha en la medición se cerrará. La predicción de Gartner de que «la probabilidad de sufrir una violación de seguridad se reducirá a una tercera parte» sigue sin estar validada a fecha de marzo de 2026, pero el sector está creando la infraestructura de medición necesaria para comprobarla. A medida que las plataformas EAP maduren y generen datos longitudinales sobre las tendencias de exposición, los estudios de correlación de brechas serán viables. Las organizaciones que comiencen a realizar un seguimiento de las métricas CTEM ahora —MTTD, MTTR, cobertura de la superficie de ataque, tasa de validación— estarán en condiciones de demostrar el retorno de la inversión cuando surjan esos puntos de referencia.

La superficie de ataque de la IA como categoría de primer orden en el CTEM. La detección de IA oculta, el inventario de modelos de lenguaje a gran escala, la cartografía de servidores MCP y la supervisión del comportamiento de los agentes de IA se convertirán en objetivos habituales dentro de los programas de CTEM. Las organizaciones que traten la infraestructura de IA como una cuestión de seguridad independiente, en lugar de integrarla en su ciclo de vida de CTEM, corren el riesgo de crear las mismas lagunas de visibilidad que el CTEM fue diseñado para eliminar.

Conclusión

El CTEM ha pasado de ser una predicción de Gartner en 2022 a convertirse en un marco operativo generalizado en 2026. El ciclo de cinco etapas —definición del alcance, descubrimiento, priorización, validación y movilización— ofrece a los equipos de seguridad un enfoque estructurado y continuo para reducir la exposición que va mucho más allá de los análisis periódicos de vulnerabilidades. Aunque la predicción de Gartner de que «la probabilidad de sufrir una brecha se reduce a una tercera parte» sigue sin estar validada formalmente, las pruebas que apuntan en esa dirección son claras. Las organizaciones que han puesto en marcha programas de CTEM disfrutan de una visibilidad demostrablemente mejor, una corrección más centrada y una postura de seguridad más sólida que aquellas que siguen confiando en los enfoques tradicionales.

El camino a seguir es práctico. Empieza por delimitar la superficie de ataque externa, avanza hacia una validación continua y mide el progreso con indicadores clave de rendimiento (KPI) concretos. Tanto si tu organización se encuentra en el nivel de madurez uno como en el cuatro, cada ciclo del CTEM potencia el valor del anterior.

Para descubrir cómo la detección de amenazas basada en IA complementa la gestión proactiva de la exposición, visita la descripción generalVectra AI y descubre cómo Attack Signal Intelligence el círculo entre la reducción de la exposición y la respuesta activa ante las amenazas.

Preguntas frecuentes

¿Qué es el CTEM en el ámbito de la ciberseguridad?

El CTEM (gestión continua de la exposición a amenazas) es un marco de cinco etapas creado por Gartner en 2022 que ayuda a las organizaciones a identificar, priorizar, validar y corregir de forma continua las exposiciones en toda su superficie de ataque. A diferencia de la gestión tradicional de vulnerabilidades, que se centra principalmente en los CVE conocidos mediante análisis periódicos, el CTEM aborda un espectro más amplio de riesgos, entre los que se incluyen las configuraciones erróneas, las vulnerabilidades de identidad, los permisos excesivos y las fugas de credenciales. Las cinco etapas del marco —definición del alcance, descubrimiento, priorización, validación y movilización— forman un ciclo continuo que alinea la reducción de la exposición con las prioridades empresariales. El CTEM fue nombrado una de las principales tendencias de ciberseguridad de Gartner para 2023 y, en 2025, Gartner publicó su primer Cuadrante Mágico para las plataformas de evaluación de la exposición que permiten los programas de CTEM. Las encuestas del sector sugieren que el 71 % de las organizaciones podrían beneficiarse de la adopción de un enfoque CTEM, aunque solo el 16 % ha logrado su implementación operativa a fecha de 2026.

¿Cuáles son las cinco fases del CTEM?

Las cinco etapas son: delimitación del alcance (definición de los activos críticos para el negocio y los límites de exposición), descubrimiento (identificación de todas las exposiciones, incluidos los riesgos no relacionados con CVE), priorización (clasificación de las exposiciones según el contexto empresarial y el análisis de las vías de ataque), validación (comprobación de si las exposiciones son realmente explotables) y movilización (impulso de medidas correctivas interfuncionales con una responsabilidad clara). El ciclo se repite continuamente, en lugar de funcionar como una evaluación puntual. Cada etapa se basa en la anterior: el alcance determina lo que se descubre, el descubrimiento alimenta la priorización, la priorización centra los esfuerzos de validación y la validación informa de las prioridades de movilización. El resultado de la movilización vuelve al alcance, ya que la corrección modifica la superficie de ataque. Las investigaciones demuestran que este enfoque es significativamente más eficaz que la gestión lineal de vulnerabilidades, ya que concentra los esfuerzos en el 2 % estimado de exposiciones que realmente alcanzan los activos críticos.

¿Es CTEM un producto o un marco de trabajo?

CTEM es un marco y una metodología, no un producto que se pueda adquirir a un único proveedor. Gartner lo diseñó como un enfoque programático para la reducción continua de la exposición que las organizaciones implementan mediante una combinación de herramientas, procesos y flujos de trabajo multifuncionales. Sin embargo, se ha formado un ecosistema de productos en torno al marco. Las plataformas de evaluación de la exposición (EAP) sirven como principal facilitador tecnológico, y Gartner publicó su primer Cuadrante Mágico para EAP en noviembre de 2025, en el que evaluó a 20 proveedores. Otras categorías de productos que dan soporte a etapas específicas del CTEM incluyen las herramientas EASM (descubrimiento), las plataformas CAASM (alcance y descubrimiento), las soluciones BAS (validación) y las herramientas RBVM (priorización). La distinción es importante porque las organizaciones deben evaluar la preparación para el CTEM como una cuestión de madurez del programa, más que como una decisión de adquisición de productos.

¿Cómo priorizan las herramientas CTEM las amenazas de forma dinámica?

La priorización de CTEM va más allá de las puntuaciones CVSS estáticas al incorporar tres niveles de contexto. En primer lugar, el contexto empresarial: comprender qué activos respaldan los procesos generadores de ingresos, almacenan datos regulados o sustentan operaciones críticas. En segundo lugar, el análisis de la ruta de ataque: determinar si una vulnerabilidad puede encadenarse realmente con otras debilidades para alcanzar objetivos de alto valor. Las investigaciones muestran que el 75 % de las vulnerabilidades detectadas son callejones sin salida que no conectan con activos críticos, lo que significa que solo alrededor del 2 % requiere atención urgente. En tercer lugar, la inteligencia sobre amenazas: superponer datos sobre qué vulnerabilidades se están explotando activamente en el mundo real. Este enfoque dinámico ajusta las prioridades a medida que evoluciona el panorama de amenazas, cambia el contexto empresarial y las medidas de corrección modifican la superficie de ataque. El resultado es una priorización continuamente actualizada que refleja el riesgo real en lugar de la gravedad teórica.

¿Cómo mejora el CTEM el nivel de seguridad con el paso del tiempo?

El CTEM crea un ciclo de mejora continua en el que cada ciclo perfecciona la eficacia del programa. En el primer ciclo, la definición del alcance establece una referencia de los activos críticos para el negocio. Los ciclos posteriores amplían la cobertura, descubren nuevas categorías de exposición y validan que las medidas correctivas anteriores fueron eficaces. Las organizaciones que cuentan con programas de CTEM operativos muestran una visibilidad de la superficie de ataque un 50 % superior en comparación con aquellas que carecen de ellos, según un estudio del sector realizado en 2026 entre 128 profesionales de la seguridad. El efecto acumulativo proviene de tres mecanismos. En primer lugar, el descubrimiento mejora a medida que las herramientas aprenden el entorno y descubren activos previamente desconocidos. En segundo lugar, la priorización se vuelve más precisa a medida que se acumulan datos de validación, lo que permite distinguir las exposiciones realmente explotables de los riesgos teóricos. En tercer lugar, los flujos de trabajo de movilización maduran a medida que los equipos desarrollan procesos de traspaso establecidos y SLA de corrección. Con el tiempo, esto genera reducciones cuantificables en el MTTD y el MTTR.

¿Cuál es la diferencia entre CTEM y ASM?

La gestión de la superficie de ataque (ASM) es un componente del marco más amplio del CTEM, que se centra principalmente en la fase de detección mediante la identificación de activos expuestos al exterior y de vulnerabilidades. Las herramientas de ASM analizan continuamente los activos visibles en Internet, los subdominios, los servicios expuestos y las configuraciones erróneas. El CTEM va mucho más allá de la ASM al añadir cuatro fases adicionales. La definición del alcance determina qué activos son relevantes para la empresa antes de que comience la detección. La priorización clasifica las vulnerabilidades descubiertas según el contexto empresarial y la accesibilidad de la ruta de ataque, en lugar de limitarse a señalar todo lo que se encuentra. La validación comprueba si las vulnerabilidades son realmente explotables en el entorno específico de la organización. La movilización impulsa la corrección interfuncional con flujos de trabajo estructurados y responsabilidad. Piénsalo de esta manera: la ASM te dice qué está expuesto. El CTEM te dice qué está expuesto, qué es relevante, qué es realmente explotable y si se ha solucionado.

¿Qué es la validación CTEM?

La validación CTEM (cuarta fase) comprueba si las vulnerabilidades detectadas y priorizadas son realmente explotables en el entorno específico de la organización. En lugar de dar por sentado que todas las vulnerabilidades con un CVSS alto suponen el mismo riesgo, la validación utiliza técnicas como la simulación de brechas y ataques (BAS), la emulación de adversarios, los ejercicios de «red teaming» y las pruebas de penetración para determinar la explotabilidad en el mundo real. Un estudio examinó un escenario de validación de Log4j en el que el 63 % de las vulnerabilidades clasificadas inicialmente como altas o críticas se redujeron a solo el 10 % tras las pruebas contextuales, lo que representa una reducción del 84 % en la falsa urgencia. La validación utiliza el MITRE ATT&CK para garantizar que las pruebas reflejen las técnicas reales de los adversarios, incluyendo el acceso inicial, la escalada de privilegios, el movimiento lateral y el acceso a credenciales. Esta etapa es donde muchas organizaciones se quedan cortas. Sin validación, los equipos de seguridad desperdician esfuerzos de corrección en exposiciones que suponen un riesgo real mínimo, mientras que pueden pasar por alto vías de ataque menos obvias pero genuinamente peligrosas.

¿En qué se diferencia el CTEM de la gestión tradicional de amenazas?

La gestión tradicional de amenazas suele funcionar de forma reactiva: detecta y responde a las amenazas una vez que estas han surgido. El CTEM da un giro a este modelo al identificar y reducir de forma proactiva las vulnerabilidades antes de que los atacantes puedan aprovecharlas. Los enfoques tradicionales se basan en gran medida en análisis periódicos de vulnerabilidades, detección basada en firmas y respuesta reactiva a incidentes. El CTEM introduce un alcance continuo alineado con las prioridades empresariales, el descubrimiento de vulnerabilidades no CVE (configuraciones erróneas, riesgos de identidad, permisos excesivos), la validación de la explotabilidad real y una movilización estructurada y multifuncional. La diferencia de cadencia es fundamental. Los programas tradicionales se ejecutan según calendarios fijos —escaneos trimestrales, pruebas de penetración anuales—, mientras que el CTEM opera de forma continua. Dado que el 61 % de las vulnerabilidades de 2025 fueron explotadas en las 48 horas siguientes a su divulgación, la evaluación periódica deja brechas peligrosas. El CTEM garantiza que el ciclo de gestión de la exposición se mantenga al ritmo de la velocidad a la que surgen nuevos riesgos.

¿Qué herramientas se utilizan para el CTEM?

No existe una única herramienta que abarque las cinco etapas del CTEM. Las organizaciones suelen crear una pila tecnológica que incluye plataformas de evaluación de exposiciones (EAP) como capa central de coordinación, herramientas EASM para la detección de activos externos, plataformas CAASM para la agregación del inventario de activos internos, soluciones BAS para la validación automatizada y herramientas RBVM para la priorización basada en el riesgo. La pila de detección —NDR, XDR y SIEM— complementa el CTEM al detectar amenazas que aprovechan las vulnerabilidades antes de que puedan remediarse. El primer Cuadrante Mágico de Gartner para plataformas de evaluación de vulnerabilidades (noviembre de 2025) evaluó a 20 proveedores en esta categoría emergente, lo que indica la madurez del mercado. La consideración clave a la hora de evaluar las herramientas es la cobertura de las cinco etapas, más que la profundidad en una sola etapa.

Rentabilidad de la inversión en la gestión continua de la exposición a amenazas

El retorno de la inversión (ROI) del CTEM se manifiesta en tres dimensiones. En primer lugar, la reducción del riesgo: las empresas que adoptan el CTEM muestran una visibilidad de la superficie de ataque un 50 % superior, y los informes de investigación encargados por los proveedores indican una reducción de las brechas de seguridad de hasta el 90 % (aunque estas cifras deben considerarse orientativas y no universales). En segundo lugar, la eficiencia operativa: las pruebas de validación reducen las falsas alarmas en un 84 %, lo que significa que los analistas dedican sus esfuerzos de corrección a las vulnerabilidades realmente críticas, en lugar de perseguir pistas sin salida. En tercer lugar, la eficiencia en el cumplimiento normativo: un único programa de CTEM genera pruebas que se ajustan simultáneamente a NIST CSF 2.0, PCI DSS 4.0.1, ISO 27001, NIS2 y DORA, lo que reduce el coste de mantener programas de cumplimiento separados. El mercado específico de CTEM está creciendo a una tasa compuesta anual (CAGR) del 10,15 % entre 2025 y 2034, mientras que se prevé que el mercado más amplio de gestión de exposiciones alcance los 23 260 millones de dólares estadounidenses en 2033. Esta trayectoria de inversión refleja la confianza de las empresas en que el CTEM ofrece beneficios cuantificables.