defensiva
asm
easm
superficie-de-ataque

Gestión de la superficie de ataque (ASM y EASM)

Qué es la gestión de superficie de ataque (ASM y EASM), cómo descubre activos expuestos y por qué ya no basta con el escaneo de vulnerabilidades tradicional.

Equipo de Secra Solutions13 de julio de 202611 min de lectura

La gestión de la superficie de ataque (ASM, por sus siglas en inglés, Attack Surface Management) es la disciplina que descubre, inventaría y monitoriza de forma continua todos los activos digitales que una organización expone a internet, incluyendo aquellos que su propio equipo de TI desconoce. El problema es tangible: el informe State of Secrets Sprawl 2026 de GitGuardian detectó 28,65 millones de nuevos secretos hardcodeados en commits públicos de GitHub durante 2025, un 34% más que el año anterior y el mayor salto interanual registrado. Cada una de esas credenciales filtradas es una puerta abierta en una superficie de ataque que casi nadie está mirando.

Durante años, la seguridad perimetral asumía que el perímetro era conocido y estable: unos cuantos servidores, un rango de IP y poco más. Hoy esa premisa está rota. El perímetro se ha fragmentado en decenas de proveedores cloud, cientos de subdominios, integraciones SaaS, APIs públicas, repositorios de código y activos que sobreviven a migraciones olvidadas. En este artículo explicamos qué es la superficie de ataque, por qué crece de forma descontrolada, cómo funciona el ASM y el EASM, en qué se diferencian del escaneo de vulnerabilidades clásico y del CTEM, y por qué todo esto conecta directamente con el reconocimiento OSINT y el pentesting ofensivo.

Qué es la superficie de ataque

La superficie de ataque es el conjunto de todos los puntos por los que un atacante podría intentar entrar en tus sistemas o extraer datos. No es una sola cosa: se compone de activos digitales (dominios, subdominios, direcciones IP, puertos abiertos, servicios expuestos, aplicaciones web, APIs, buckets de almacenamiento, certificados), activos físicos (dispositivos, endpoints, hardware de red) y el factor humano (empleados susceptibles a ingeniería social, credenciales reutilizadas, información filtrada en redes sociales).

Cuando hablamos de ASM y EASM nos centramos sobre todo en la superficie digital y, más concretamente, en la parte que da a internet. Esa es la porción que un adversario ve sin necesidad de estar dentro de tu red, y por tanto la que primero explora.

La superficie de ataque externa: lo que ve el atacante

La superficie de ataque externa es todo lo que un actor de amenazas puede descubrir desde fuera, sin credenciales ni acceso previo. Un servidor web olvidado, un panel de administración expuesto, un subdominio de un entorno de pruebas, un endpoint de API sin autenticación o una clave de acceso publicada por error en un repositorio. Es exactamente el mismo mapa que dibuja un atacante en la fase de reconocimiento, y por eso la perspectiva ofensiva es tan valiosa para gestionarla.

Por qué la superficie de ataque crece sin control

La superficie de ataque no crece de forma lineal, sino explosiva, y por razones que casi nunca dependen de una mala decisión consciente. Estas son las causas principales.

Cloud y despliegue continuo

Cada equipo de desarrollo puede levantar infraestructura en minutos con una tarjeta de crédito y una cuenta de AWS, Azure o GCP. Instancias efímeras, funciones serverless, contenedores, balanceadores y buckets aparecen y desaparecen a un ritmo que ningún inventario manual puede seguir. Un bucket S3 mal configurado o una función Lambda expuesta amplían la superficie sin que nadie lo registre. Lo tratamos en detalle en nuestra guía de pentesting cloud en AWS, Azure y GCP.

Shadow IT

El shadow IT (tecnología adquirida o desplegada sin la aprobación del equipo de seguridad) es una de las mayores fuentes de exposición oculta. Según distintos estudios del sector, alrededor del 57% de las pymes tiene activos de shadow IT operando fuera del control de TI, y se estima que la proporción de empleados que crean o modifican tecnología sin conocimiento de su departamento podría alcanzar el 75% en 2027. Cada SaaS contratado por un departamento, cada integración no documentada, es un activo que nadie audita.

Activos olvidados y subdominios huérfanos

Migraciones a medias, proyectos cancelados, campañas de marketing con dominios propios, entornos de staging que nunca se apagaron. Estos activos quedan corriendo con software sin parchear y sin dueño. Los subdominios huérfanos (registros DNS que apuntan a servicios ya dados de baja) habilitan ataques de subdomain takeover, donde un atacante reclama el recurso apuntado y sirve contenido malicioso bajo tu marca.

Credenciales y secretos expuestos

Claves de API, tokens, contraseñas y ficheros de configuración filtrados en repositorios públicos, pastes o brechas de terceros amplían la superficie de forma silenciosa. Como muestran los 28,65 millones de secretos detectados en 2025, este vector no para de crecer. Según el IBM X-Force Threat Intelligence Index, la explotación de vulnerabilidades fue la principal causa de incidentes de seguridad, en torno al 40%, y, por separado, la explotación de aplicaciones públicas creció un 44% interanual.

Qué es el ASM y cómo funciona

El ASM es el proceso continuo de descubrir, clasificar, priorizar y monitorizar todos esos activos. A diferencia de un inventario estático, funciona en bucle permanente porque la superficie cambia cada día. Sus fases fundamentales son las siguientes.

Descubrimiento continuo de activos

El punto de partida es enumerar todo lo que existe, empezando por un dato semilla (un dominio, un nombre de empresa) y expandiendo hacia fuera: subdominios, IPs, ASNs, certificados TLS, tecnologías, servicios y activos relacionados. Aquí las técnicas coinciden con las del reconocimiento ofensivo. La enumeración de subdominios, el análisis de registros de transparencia de certificados y el rastreo de metadatos son las mismas herramientas que un atacante usaría. De hecho, buena parte del descubrimiento se apoya en inteligencia de fuentes abiertas u OSINT, en la búsqueda de dispositivos expuestos con Shodan y en técnicas de Google dorks para reconocimiento.

Inventario y contextualización

Descubrir no basta: hay que entender qué es cada activo, quién lo gestiona, qué datos maneja y qué criticidad tiene para el negocio. Un panel de facturación expuesto no vale lo mismo que un blog corporativo. Herramientas de mapeo de relaciones como Maltego ayudan a visualizar cómo se conectan dominios, IPs, personas y organizaciones dentro de la superficie.

Priorización por riesgo

No todos los hallazgos merecen la misma urgencia. El ASM prioriza en función de la exposición real (accesibilidad desde internet, existencia de exploits públicos, sensibilidad de los datos, presencia de credenciales válidas) y no solo de una puntuación CVSS aislada. El objetivo es responder a la pregunta que de verdad importa: de todo lo que tengo expuesto, qué es lo que un adversario atacaría primero.

Monitorización continua y remediación

Como la superficie muta constantemente, el ASM vigila los cambios: un puerto nuevo abierto, un certificado que caduca, un subdominio que aparece, una credencial que se filtra. Cada cambio genera una alerta que alimenta el flujo de remediación.

EASM: gestión de la superficie de ataque externa

El EASM (External Attack Surface Management) es la especialización del ASM centrada exclusivamente en lo que da a internet, adoptando la perspectiva del atacante externo. Mientras que el ASM en sentido amplio puede incluir activos internos con contexto y agentes, el EASM trabaja desde fuera hacia dentro, sin conocimiento previo ni acceso privilegiado. Descubre lo que un adversario descubriría.

Esta diferencia importa porque el EASM encuentra justamente lo que el equipo de seguridad no sabía que existía. No parte de un CMDB (base de datos de configuración) ni de una lista de activos aprobados, sino de datos públicos. Por eso destapa el shadow IT, los subdominios olvidados y los activos de filiales que el inventario oficial nunca registró.

El mercado refleja esta urgencia: la gestión de la superficie de ataque pasará de unos 1.540 millones de dólares en 2025 a unos 2.030 millones en 2026, con un crecimiento anual compuesto superior al 31%.

ASM frente al escaneo de vulnerabilidades tradicional

Es habitual confundir ASM con escaneo de vulnerabilidades, pero resuelven problemas distintos y complementarios.

El escaneo de vulnerabilidades clásico responde a la pregunta "qué fallos tienen los activos que ya conozco". Parte de una lista de objetivos definida y busca CVEs, configuraciones incorrectas y versiones vulnerables sobre esos activos. Su gran limitación es que no puede evaluar lo que no está en la lista. Si un subdominio olvidado no figura en el alcance, el escáner ni lo mira.

El ASM responde a una pregunta anterior: "qué activos tengo realmente expuestos, incluidos los que no sabía que existían". Primero descubre y luego evalúa. En la práctica, el ASM alimenta al escaneo de vulnerabilidades ampliando su alcance, y el escaneo aporta profundidad técnica sobre cada activo descubierto. Ambos se integran en un programa maduro de gestión de vulnerabilidades y en las auditorías de infraestructura interna y externa.

ASM frente a CTEM

El CTEM (Continuous Threat Exposure Management, gestión continua de la exposición a amenazas) es un marco definido por Gartner que engloba al ASM dentro de un proceso más amplio de cinco fases: definición del alcance, descubrimiento, priorización, validación y movilización.

La relación es de contenido a contenedor. El ASM y el EASM cubren sobre todo las fases de alcance y descubrimiento: identifican qué está expuesto. El CTEM añade la validación (comprobar mediante técnicas ofensivas si la exposición es realmente explotable) y la movilización (activar los procesos de remediación en toda la organización). Gartner prevé que las organizaciones que prioricen sus inversiones con un programa de gestión continua de la exposición (CTEM) tendrán dos tercios menos de brechas para 2026. En otras palabras: el ASM te dice dónde estás expuesto y el CTEM cierra el ciclo hasta demostrar y reducir el riesgo real.

Por qué importa a las empresas: la perspectiva ofensiva

Aquí es donde la ciberseguridad ofensiva aporta un valor que ninguna plataforma automática iguala del todo. En Secra atacamos como un adversario para mapear tu exposición real. Un motor de EASM lista activos y probables vulnerabilidades, pero un equipo ofensivo confirma cuáles de esos activos son explotables de verdad, encadena hallazgos que por separado parecen inofensivos y demuestra el impacto de negocio de una intrusión.

El reconocimiento OSINT es la primera fase de cualquier ejercicio de pentesting o red team, y coincide punto por punto con el descubrimiento del EASM. La diferencia es que no nos quedamos en el inventario: usamos ese mapa para intentar entrar, como haría un atacante real. Esa validación ofensiva es lo que convierte una lista de activos en una imagen fiel del riesgo.

Este enfoque conecta además con otros riesgos emergentes de superficie ampliada, como las identidades no humanas y la gestión de secretos, donde cada token y cada credencial de servicio suma exposición, o el Shadow AI, que introduce activos y flujos de datos que ningún inventario tradicional contempla.

Preguntas frecuentes

¿Cuál es la diferencia entre ASM y EASM?

El ASM (Attack Surface Management) es la disciplina general de descubrir, inventariar y monitorizar todos los activos digitales de una organización, incluidos algunos internos con contexto. El EASM (External Attack Surface Management) es su especialización en lo que da a internet, adoptando la visión del atacante externo sin acceso previo. El EASM sobresale detectando activos desconocidos: shadow IT, subdominios huérfanos y activos de filiales.

¿El ASM sustituye al pentesting?

No. El ASM descubre y prioriza la exposición de forma continua, pero no demuestra que un activo sea explotable ni encadena vulnerabilidades para medir el impacto real. El pentesting y el red team validan ofensivamente los hallazgos del ASM. Son complementarios: el ASM amplía el alcance y el pentesting aporta la profundidad y la prueba del riesgo.

¿Con qué frecuencia debe ejecutarse el descubrimiento de activos?

De forma continua. La superficie de ataque cambia a diario por despliegues cloud, nuevos SaaS y activos temporales. Un inventario trimestral queda obsoleto casi de inmediato. El valor del ASM está precisamente en el descubrimiento permanente y la alerta ante cada cambio, no en fotografías puntuales.

¿Qué activos suelen quedar fuera del inventario oficial?

Los más peligrosos suelen ser los que nadie registró: subdominios de pruebas olvidados, buckets de almacenamiento mal configurados, paneles de administración expuestos, APIs sin autenticación, dominios de campañas antiguas, activos de empresas adquiridas y credenciales filtradas en repositorios públicos. El EASM está diseñado justamente para sacar a la luz esta parte invisible de la superficie.

Mapea tu exposición real con Secra

No puedes proteger lo que no sabes que tienes expuesto. En Secra combinamos el descubrimiento continuo propio del EASM con la validación ofensiva del pentesting y el red team: no solo listamos tus activos, atacamos como lo haría un adversario para demostrar qué es explotable de verdad y qué impacto tendría. Contacta con nuestro equipo y obtén una imagen fiel de tu superficie de ataque externa antes de que la mapee otro.

Sobre el autor

Equipo de Secra Solutions

Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

Compartir artículo