SSPM (SaaS Security Posture Management) es la categoría de herramientas que evalúa de forma continua la configuración de seguridad de las aplicaciones SaaS que usa una organización, detectando misconfigurations, concesiones OAuth a aplicaciones de terceros, usuarios sobre-privilegiados y ausencia de MFA. Cubre las plataformas donde vive el trabajo real de la empresa: Microsoft 365, Google Workspace, Salesforce, Slack, GitHub, ServiceNow, Zoom o Workday. Nació hacia 2020 como respuesta a un problema que el CSPM no resuelve: proteger la capa de aplicación SaaS, no la infraestructura cloud sobre la que se ejecuta.
Esta guía explica qué detecta exactamente un SSPM, en qué se diferencia del CSPM, dónde se sitúa frente a CASB, SaaS-DLP e ITDR, cómo encaja dentro de CNAPP y SASE, cuál es el panorama de fabricantes en 2026 y qué ruta de adopción es realista para una organización mediana.
El CSPM protege cómo está montada tu infraestructura cloud. El SSPM protege cómo están configuradas las aplicaciones SaaS que usan tus empleados. Un bucket S3 público lo detecta el CSPM. Un usuario que aprueba una app OAuth con permiso
Mail.Readsobre todos los buzones lo detecta el SSPM.
CSPM frente a SSPM: dónde acaba uno y empieza el otro
Son categorías hermanas que resuelven capas distintas del mismo problema de postura. La confusión es habitual porque ambas hablan de "posture management", pero el objeto que auditan es diferente.
- CSPM audita la infraestructura cloud (IaaS y PaaS): cuentas AWS, suscripciones Azure, proyectos GCP. Detecta buckets expuestos, roles IAM con
*, Security Groups con0.0.0.0/0o cifrado desactivado. Es la postura de lo que tú despliegas. Lo tratamos en detalle en qué es CSPM. - SSPM audita las aplicaciones SaaS (el modelo SaaS del reparto IaaS, PaaS y SaaS): Microsoft 365, Google Workspace, Salesforce. Detecta administradores globales de más, MFA sin registrar, buzones con reenvío automático a dominios externos, sharing público en SharePoint o Drive y aplicaciones de terceros con tokens OAuth persistentes.
La diferencia clave está en el modelo de responsabilidad compartida. En SaaS el proveedor asegura la plataforma, pero la configuración del tenant (identidades, permisos, integraciones, retención, sharing) es responsabilidad del cliente. Ese conjunto de opciones de configuración es exactamente lo que un SSPM inventaría y evalúa.
Qué detecta un SSPM
El catálogo de hallazgos de un SSPM se agrupa en cuatro familias, que aplican de forma transversal a todos los SaaS conectados.
Misconfigurations del tenant
Ajustes inseguros expuestos en la consola de administración de cada aplicación. Ejemplos concretos por plataforma:
- Microsoft 365 / Entra ID: autenticación heredada (legacy auth) sin bloquear, Security Defaults desactivados sin Conditional Access que los sustituya, consentimiento de usuario a aplicaciones habilitado sin flujo de admin consent, buzones con reenvío automático externo, SharePoint con sharing "Anyone" por defecto.
- Google Workspace: verificación en dos pasos no forzada por unidad organizativa, sharing de Drive fuera del dominio sin restricción, apps de terceros con acceso a datos vía OAuth sin lista blanca, delegación de dominio (domain-wide delegation) concedida a service accounts.
- Salesforce: perfiles con "Modify All Data", connected apps sin política de IP, guest user con permisos de objeto excesivos (el vector detrás de varias filtraciones de Experience Cloud).
- Slack: workspaces que permiten instalar apps sin aprobación, tokens de bot (
xoxb) con scopes amplios, invitaciones a canales compartidos externos sin control.
Riesgo de aplicaciones OAuth de terceros
Es la aportación más diferencial del SSPM. Cuando un empleado conecta una app de productividad ("dame acceso a tu calendario y correo"), concede un token OAuth que persiste aunque cambie la contraseña y que a menudo sobrevive a MFA. Un SSPM inventaría cada grant, muestra los scopes concedidos (offline_access, Files.ReadWrite.All, Mail.Read), identifica apps no verificadas o abandonadas y detecta el patrón de illicit consent grant (consent phishing). Ataques reales como el de Midnight Blizzard contra Microsoft en 2024, o el robo masivo de tokens OAuth en el incidente de Salesloft Drift de 2025 que afectó a tenants de Salesforce, explotaron precisamente esta superficie.
Usuarios sobre-privilegiados
Demasiados administradores globales, cuentas de servicio con roles amplios, usuarios externos (guest) con acceso a datos internos, cuentas inactivas que conservan licencia y permisos. El SSPM cruza roles, últimos accesos y alcance efectivo para señalar el exceso.
Brechas de MFA e identidad
Usuarios sin MFA registrado, métodos débiles (SMS) en cuentas privilegiadas, políticas de Conditional Access con exclusiones olvidadas, ausencia de bloqueo geográfico. Aquí el SSPM se solapa con la disciplina de Zero Trust, a la que aporta el inventario de estado real por aplicación.
SSPM frente a CASB, SaaS-DLP e ITDR
El SSPM no vive solo. Comparte terreno con tres categorías con las que conviene no confundirlo.
| Categoría | Qué hace | Relación con SSPM |
|---|---|---|
| CASB | Proxy o API entre usuarios y SaaS: controla acceso, shadow IT y sesiones en tiempo real | Complementario: el CASB gobierna el tráfico, el SSPM gobierna la configuración |
| SaaS-DLP | Evita fuga de datos sensibles dentro y desde el SaaS | Complementario: mira el contenido, no la postura |
| ITDR | Detección y respuesta sobre identidades (ataques a Entra ID, Okta) | Solapamiento: el SSPM es preventivo, el ITDR es detección en runtime |
En la práctica, el CASB responde a "quién accede y a qué app", el DLP responde a "qué dato sale", el ITDR responde a "esta identidad está siendo atacada" y el SSPM responde a "esta aplicación está mal configurada y expone a la organización". Son piezas de un mismo puzle de seguridad SaaS, no sustitutos entre sí.
Dónde encaja SSPM en CNAPP y SASE
Dos macrocategorías absorben funciones adyacentes, y conviene saber dónde cae el SSPM.
- CNAPP (Cloud Native Application Protection Platform) unifica CSPM, CWPP, CIEM e IaC scanning. El SSPM queda fuera del CNAPP clásico, que se centra en infraestructura y workloads. Algunos fabricantes empiezan a añadir módulos SSPM, pero hoy sigue siendo mayoritariamente una categoría separada.
- SASE / SSE (Secure Service Edge) integra SWG, CASB, ZTNA y a veces DLP. El SSPM tiende a converger con el bloque CASB dentro de las plataformas SSE, sobre todo tras las adquisiciones del sector.
La conclusión operativa: en 2026 el SSPM sigue siendo una compra o un módulo diferenciado, aunque el mercado empuja hacia consolidarlo dentro de plataformas de identidad y de SSE.
Panorama de fabricantes 2026
El mercado SSPM es joven y se está consolidando por adquisiciones.
- AppOmni. Referente independiente, fuerte en cobertura profunda de SaaS empresarial (Salesforce, ServiceNow, M365) y en detección de exposición de datos.
- Obsidian Security. Enfoque en postura y en detección de amenazas de identidad sobre SaaS, con buena cobertura de OAuth y threat detection.
- Adaptive Shield. Pionero de la categoría, adquirido por CrowdStrike en 2024 e integrado en su plataforma Falcon.
- Wing Security. Orientado a descubrimiento de SaaS y riesgo de aplicaciones de terceros, con un enfoque de autoservicio.
- Grip Security, Nudge Security, DoControl, Valence, Reco. Segunda ola centrada en SaaS discovery, gobierno de identidades no humanas y remediación asistida.
- Microsoft Defender for Cloud Apps (MDCA). Antiguo MCAS, incorpora capacidades SSPM que generan recomendaciones de postura vía Secure Score para apps conectadas (Salesforce, ServiceNow, GitHub, Okta, Zoom). Es la opción natural si la organización ya vive en el ecosistema Microsoft.
El espacio se está consolidando: Adaptive Shield dentro de CrowdStrike es el ejemplo más claro de que el SSPM tiende a integrarse en plataformas mayores de endpoint, identidad o SSE.
Estándares y frameworks que mapea
Un SSPM serio traduce sus hallazgos a marcos reconocibles para auditoría:
- CISA SCuBA (Secure Cloud Business Applications). Baselines de configuración segura para Microsoft 365 y Google Workspace. Es la referencia más específica para postura SaaS.
- CIS Benchmarks para Microsoft 365 y Google Workspace.
- MITRE ATT&CK, matrices de Cloud y de SaaS, para mapear técnicas de abuso de OAuth, phishing de consentimiento y persistencia por token.
- ISO 27001:2022 (A.5.23 uso de servicios cloud, A.8.9 gestión de configuración) y SOC 2 (CC6 acceso lógico), donde el output del SSPM sirve como evidencia continua.
Ruta de adopción realista en una organización mediana
Cinco pasos para implantar SSPM sin que el proyecto descarrile.
- Descubre y conecta lo crítico primero. Empieza por los dos o tres SaaS que concentran el dato sensible: normalmente Microsoft 365 o Google Workspace y el CRM. La conexión es vía API (app registration, service account), sin agente.
- Prioriza por exposición real, no por volumen. La primera pasada genera cientos de hallazgos. Ataca primero lo que combina privilegio y exposición externa: admins globales sin MFA, apps OAuth de alto scope no verificadas, sharing público de datos.
- Gobierna el OAuth de terceros. Establece admin consent obligatorio, revoca tokens de apps abandonadas y define una lista blanca. Es el hallazgo que más incidentes evita por euro invertido.
- Integra con ticketing e identidad. Envía findings a Jira o ServiceNow, e integra con el IdP (Entra ID, Okta) para cerrar el ciclo de remediación con ownership claro.
- Revisión periódica y drift. El SSPM corre en continuo y alerta sobre desviaciones nuevas. Una revisión quincenal del equipo de seguridad mantiene la herramienta viva y evita el clásico abandono a los 90 días.
Limitaciones honestas del SSPM
- Cobertura desigual por aplicación. Todos los SSPM cubren bien M365 y Google Workspace; la profundidad en SaaS de nicho varía mucho entre fabricantes. Verifica la cobertura de tus aplicaciones concretas antes de firmar.
- Es preventivo, no es detección en runtime. El SSPM te dice que una configuración es insegura, no que estén explotándola ahora. Para eso hace falta ITDR o el motor de detección del propio SaaS.
- Depende de la calidad de la conexión API. Scopes de solo lectura mal dimensionados dejan puntos ciegos. La configuración inicial de permisos determina lo que la herramienta puede ver.
Preguntas frecuentes
¿SSPM y CSPM son lo mismo?
No. El CSPM audita la postura de la infraestructura cloud (AWS, Azure, GCP): buckets, IAM, redes, cifrado. El SSPM audita la postura de las aplicaciones SaaS (Microsoft 365, Google Workspace, Salesforce): administradores, MFA, sharing y apps OAuth de terceros. Son categorías hermanas que cubren capas distintas del stack cloud y se complementan.
¿Necesito SSPM si ya uso las funciones de seguridad nativas de Microsoft 365?
Ayudan, pero no bastan si tienes varios SaaS. Secure Score cubre bien el tenant de Microsoft, pero no unifica Google Workspace, Salesforce o Slack en una sola vista, ni inventaría de forma consistente los grants OAuth entre plataformas. El SSPM aporta cobertura multi-SaaS unificada y un catálogo de reglas mantenido.
¿SSPM sustituye a un CASB?
No, son complementarios. El CASB controla el tráfico y el acceso en tiempo real (quién usa qué app, shadow IT, sesiones), mientras que el SSPM audita la configuración de seguridad dentro de cada aplicación. Muchas organizaciones acaban con ambos, y en plataformas SSE tienden a converger.
¿Qué es el riesgo de OAuth de terceros y por qué lo cubre SSPM?
Cuando un empleado conecta una app externa a su cuenta SaaS, concede un token OAuth que persiste aunque cambie la contraseña y suele sobrevivir a MFA. Una app maliciosa o comprometida con scopes amplios (Mail.Read, Files.ReadWrite.All) puede leer correo o archivos de forma persistente. El SSPM inventaría estos grants, evalúa sus permisos y permite revocarlos, cerrando un vector detrás de incidentes reales de 2024 y 2025.
¿Cómo se empieza a implantar SSPM en una empresa mediana?
Conectando primero los dos o tres SaaS con más dato sensible (habitualmente Microsoft 365 o Google Workspace y el CRM), priorizando los hallazgos que combinan privilegio y exposición externa, y gobernando desde el inicio el consentimiento OAuth con admin consent obligatorio. A partir de ahí se integra con ticketing e IdP y se establece una revisión quincenal.
Recursos relacionados
- Qué es CSPM: Cloud Security Posture Management: la categoría hermana que protege la infraestructura cloud en lugar de la capa SaaS.
- Errores de configuración cloud en AWS y Azure: el equivalente en infraestructura de los misconfig que el SSPM detecta en SaaS.
- IaaS, PaaS y SaaS: diferencias y modelo de seguridad: dónde encaja el SSPM en el reparto de responsabilidad compartida.
- Qué es DLP: prevención de fuga de datos: la capa de contenido que complementa la postura de configuración del SSPM.
- Seguridad de Microsoft Copilot 365 en la empresa: los riesgos de la capa de productividad que el SSPM ayuda a gobernar.
Postura de seguridad SaaS con Secra
En Secra combinamos la evaluación de postura SaaS con auditorías ofensivas de identidad y cloud para entregar una visión accionable: el SSPM cubre la amplitud y la continuidad, mientras que la revisión manual valida qué configuraciones y qué grants OAuth son realmente explotables. Si quieres una revisión de la postura de tus tenants de Microsoft 365, Google Workspace o Salesforce, o ayuda para implantar y operar SSPM, consulta nuestra auditoría de servicios cloud o escríbenos a través de contacto y te respondemos con una primera valoración.
Sobre el autor
Equipo de Secra Solutions
Ethical hackers certificados OSCP, OSEP, OSWE, CRTO, CRTL y CARTE, con más de 7 años de experiencia en ciberseguridad ofensiva. Autores de los CVE-2025-40652 y CVE-2023-3512.

