¿Qué es una superficie de ataque?

¿Qué es una superficie de ataque?

La superficie de ataque de una organización es la suma de vulnerabilidades, vías o métodos (a veces denominados vectores de ataque) que los hackers pueden aprovechar para obtener acceso no autorizado a la red o a datos confidenciales, o para llevar a cabo un ciberataque.

A medida que las organizaciones adoptan cada vez más servicios en la nube y modelos de trabajo híbridos (on premises/trabajo desde casa), sus redes y superficies de ataque asociadas son cada día más grandes y complejas. Según The State of Attack Surface Management 2022 de Randori, el 67 % de las organizaciones vieron crecer sus superficies de ataque en tamaño en los últimos dos años. 

Los expertos en seguridad dividen la superficie de ataque en tres subsuperficies: la superficie de ataque digital, la superficie de ataque física y la superficie de ataque de ingeniería social.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

Superficie de ataque digital

La superficie de ataque digital expone potencialmente la infraestructura local y en la nube de la organización a cualquier hacker con conexión a Internet. Los vectores de ataque comunes en la superficie de ataque digital de una organización incluyen:

  1. Contraseñas débiles
  2. Error de configuración
  3. Vulnerabilidades de software, sistema operativo (SO) y firmware
  4. Activos orientados a Internet
  5. Bases de datos y directorios compartidos
  6. Dispositivos, datos o aplicaciones anticuados u obsoletos
  7. TI en la sombra

  • Contraseñas débiles: las contraseñas que son fáciles de adivinar (o fáciles de descifrar mediante ataques de fuerza bruta) aumentan el riesgo de que los delincuentes cibernéticos puedan comprometer las cuentas de los usuarios para acceder a la red, robar información confidencial, propagar malware y dañar la infraestructura de otro modo. Según el  Informe del costo de una filtración de datos 2025 de IBM, las credenciales comprometidas están involucradas en el 10 % de las filtraciones.
     

  • Configuración incorrecta: los puertos de red, canales, puntos de acceso inalámbricos, cortafuegos o protocolos configurados incorrectamente sirven como puntos de entrada para los hackers. Los ataques de intermediario, por ejemplo, aprovechan los protocolos de cifrado débiles en los canales de paso de mensajes para interceptar las comunicaciones entre sistemas.
     

  • Vulnerabilidades de software, sistema operativo y firmware: los hackers y los delincuentes cibernéticos pueden aprovechar los errores de programación o implementación de aplicaciones, sistemas operativos y otro software o firmware de terceros para infiltrar en las redes, obtener acceso a los directorios de usuarios o plantar malware. Por ejemplo, en 2021, los delincuentes cibernéticos usaron una falla en la plataforma VSA (aparato de almacenamiento virtual) de Kaseya para distribuir ransomware, disfrazado de actualización de software, a los clientes de Kaseya.
     

  • Activos orientados a Internet: las aplicaciones web, los servidores web y otros recursos que enfrentan la Internet pública son inherentemente vulnerables a los ataques. Por ejemplo, los hackers pueden inyectar código malicioso en interfaces de programación de aplicaciones (API) no seguras, lo que hace que divulguen incorrectamente o incluso destruyan información confidencial en bases de datos asociadas.
     

  • Bases de datos y directorios compartidos: los hackers pueden explotar las bases de datos y los directorios que se comparten entre sistemas y dispositivos para obtener acceso no autorizado a recursos confidenciales o lanzar ataques de ransomware. En 2016, el ransomware Virlock se propagó infectando carpetas de archivos colaborativas a las que acceden múltiples dispositivos.
     

  • Dispositivos, datos o aplicaciones anticuados u obsoletos: La falta de aplicación sistemática de actualizaciones y parches crea riesgos de seguridad. Un ejemplo notable es el ransomware WannaCry, que se propagó al explotar una vulnerabilidad del sistema operativo Microsoft Windows para la cual había un parche disponible. Del mismo modo, cuando los endpoints obsoletos, los conjuntos de datos, las cuentas de usuario y las aplicaciones no se desinstalan, eliminan o descartan, crean vulnerabilidades no monitoreadas que los delincuentes cibernéticos pueden explotar fácilmente.
     

  • TI en la sombra: la TI en la sombra es software, hardware o dispositivos (aplicaciones gratuitas o populares, dispositivos de almacenamiento portátiles, un dispositivo móvil personal no seguro) que los empleados utilizan sin el conocimiento o la aprobación del departamento de TI. Al no estar monitorear por los equipos de TI o de seguridad, la TI en la sombra puede introducir graves vulnerabilidades que los hackers pueden explotar.

Superficie de ataque físico

La superficie de ataque físico expone activos e información a los que normalmente solo pueden acceder los usuarios con acceso autorizado a la oficina física o a los dispositivos finales de la organización (servidores,  computadoras, computadoras portátiles, dispositivos móviles, dispositivos IoT o hardware operativo).

  • Usuarios internos maliciosos: los empleados descontentos o sobornados o bien, otros usuarios con intenciones maliciosas pueden usar sus privilegios de acceso para robar datos confidenciales, deshabilitar dispositivos, plantar malware o algo peor.
     

  • Robo de dispositivos: los delincuentes pueden robar dispositivos endpoint u obtener acceso a ellos irrumpiendo en las instalaciones de una organización. Una vez que están en posesión del hardware, los hackers pueden acceder a los datos y procesos que están almacenados en estos dispositivos. También pueden usar la identidad y las licencias del dispositivo para acceder a otros recursos de la red. Los endpoints empleados por los trabajadores remotos, los dispositivos personales de los empleados y los dispositivos desechados incorrectamente son objetivos típicos de robo.
     

  • Baiting: el "baiting" es un ataque en el que los hackers dejan unidades USB infectadas con malware en lugares públicos, con el objetivo de engañar a los usuarios para que conecten los dispositivos a sus computadoras y descarguen el malware involuntariamente.

Superficie de ataque de ingeniería social

La ingeniería social manipula a las personas  que cometan errores que comprometen sus activos personales u organizacionales o su seguridad a través de diversas formas, tales como:

  • compartir información que no deberían compartir
  • descargar software que no deberían descargar
  • visitar sitios web que no deberían visitar
  • enviar dinero a delincuentes

Debido a que explota las debilidades humanas en lugar de las vulnerabilidades técnicas o del sistema digital, la ingeniería social a veces se denomina "hackeo a los humanos".

La superficie de ataque de ingeniería social de una organización equivale esencialmente a la cantidad de usuarios autorizados que no están preparados o son vulnerables a los ataques de ingeniería social.

El phishing es el vector de ataque de ingeniería social más conocido y frecuente. Según el informe Costo de una filtración de datos 2025 de IBM, el phishing es la principal causa de filtraciones de datos.

En un ataque de phishing, los estafadores envían correos electrónicos, mensajes de texto o mensajes de voz que intentan manipular a los destinatarios para que compartan información confidencial, descarguen software maligno, transfieran dinero o activos a las personas equivocadas o tomen otras medidas perjudiciales. Los estafadores elaboran mensajes de phishing para que parezcan o suenen como si provinieran de una organización o individuo confiable o creíble: un minorista popular, una organización gubernamental o, a veces, incluso un individuo que el destinatario conoce personalmente.

Gestión de la superficie de ataque

La gestión de la superficie de ataque (ASM) se refiere a los procesos y tecnologías que adoptan la visión y el enfoque de un hacker sobre la superficie de ataque de una organización, descubriendo y monitoreando continuamente los activos y vulnerabilidades que los hacker ven e intentan explotar cuando atacan a la organización. La ASM por lo general se compone de:

Descubrimiento, inventario y monitoreo continuos de activos potencialmente vulnerables. Cualquier iniciativa de ASM comienza con un inventario completo y continuamente actualizado de los activos de TI de una organización orientados a Internet, incluidos los activos on premises y en la nube. Adoptar el enfoque de un hacker garantiza el descubrimiento no solo de activos conocidos, sino también de aplicaciones o dispositivos de TI en la sombra. Es posible que estas aplicaciones o dispositivos se abandonaron pero no se eliminaron o desactivado (TI huérfana). O activos que son plantados por hackers o malware (TI no autorizada), y más, esencialmente cualquier activo que pueda ser explotado por un hacker o una amenaza cibernética.

Una vez descubiertos, los activos se monitorean continuamente, en tiempo real, en busca de cambios que aumenten su riesgo como vector de ataque potencial.

Análisis de la superficie de ataque, evaluación de riesgos y priorización. Las tecnologías ASM califican con puntajes los activos de acuerdo con las vulnerabilidades y los riesgos de seguridad que plantean, y los priorizan para la respuesta o corrección de amenazas.

Reducción y corrección de la superficie de ataque. Los equipos de seguridad pueden aplicar sus hallazgos del análisis de la superficie de ataque y el equipo rojo para tomar diversas acciones a corto plazo para reducir la superficie de ataque. Estos pueden incluir la aplicación de contraseñas más seguras, la desactivación de aplicaciones y dispositivos de endpoint que ya no están en uso, la aplicación de parches de aplicaciones y sistemas operativos, la capacitación de usuarios para reconocer estafas de phishing, la institución de controles de acceso biométrico para la entrada a la oficina o la revisión de controles y políticas de seguridad en torno a las descargas de software y los medios extraíbles.

Las organizaciones también pueden tomar medidas de seguridad más estructurales o a largo plazo para reducir su superficie de ataque, ya sea como parte de una iniciativa de gestión de la superficie de ataque o de forma independiente. Por ejemplo, implementar la autenticación de dos factores (2fa) o la autenticación multifactor puede reducir o eliminar posibles vulnerabilidades asociadas con contraseñas débiles o una mala higiene de contraseñas.

En una escala más amplia, un enfoque de seguridad de confianza cero puede reducir significativamente la superficie de ataque de una organización. Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos. Los principios y tecnologías de confianza cero (validación continua, acceso con privilegios mínimos, monitoreo continuo, microsegmentación de red) pueden reducir o eliminar muchos vectores de ataque y proporcionar datos valiosos para el análisis continuo de la superficie de ataque.
Soluciones relacionadas
Servicios de respuesta a incidentes

Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad

 Explore los servicios de respuesta a incidentes
Soluciones de detección y respuesta a amenazas

Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.

 Explorar las soluciones de detección de amenazas
IBM QRadar SOAR Solutions

Optimice los procesos de toma de decisiones, mejore la eficiencia de los SOC y acelere la respuesta ante incidentes con una solución de orquestación y automatización inteligente.

 Explore QRadar SOAR
Dé el siguiente paso

Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad

 Explore los servicios de respuesta a incidentes Más información sobre IBM X-Force