Control de la exposición a amenazas

La ciberseguridad empresarial ha madurado considerablemente en capas como la identidad, el acceso o la protección del dato. Sin embargo, existen dimensiones de la exposición a amenazas que siguen recibiendo una atención insuficiente: la infraestructura de red como capa de seguridad, la gestión real de los endpoints, los entornos de tecnología operacional y la convergencia entre seguridad digital y física.

Estas cuatro dimensiones comparten un denominador común: representan superficies de ataque reales, en muchos casos subestimadas, cuya explotación puede comprometer toda la arquitectura de seguridad construida sobre ellas.

Las organizaciones han invertido significativamente en proteger sus aplicaciones, sus datos y sus identidades, pero con frecuencia operan sobre infraestructuras de red diseñadas hace años, en un contexto radicalmente diferente.

La adopción de entornos multicloud, el crecimiento del SaaS, la incorporación de IoT y la descentralización de los usuarios han multiplicado el número de conexiones y, con ello, la superficie de ataque disponible.

Cada nueva conexión hacia una nube, un proveedor de ciberseguridad o un servicio externo es un punto de entrada potencial que los atacantes pueden intentar explotar.

El problema se agrava porque el tráfico crítico circula con frecuencia por Internet público, sin que la organización tenga visibilidad ni control sobre el camino que recorren sus datos entre origen y destino.

Se protege el dato en origen y en destino, pero el trayecto intermedio queda fuera del perímetro de control. La tendencia que está ganando terreno es tratar la conectividad como una capa de ciberseguridad en sí misma: sustituir las conexiones aisladas hacia cada servicio y cada nube por plataformas de interconexión que consoliden esas conexiones en una infraestructura privada y gestionada.

Esto reduce drásticamente la superficie de ataque, mejora la visibilidad sobre el tráfico y permite acercarse a un modelo de Zero Trust real que cubra no solo el origen y el destino, sino también el camino.

La velocidad a la que se expande la superficie de ataque es uno de los cambios más disruptivos que ha introducido la inteligencia artificial en el panorama de amenazas. Las vulnerabilidades no son nuevas, ya existían, pero el tiempo disponible para detectarlas, mitigarlas y responder se ha comprimido de forma radical.

Lo que antes tomaba días o semanas puede ahora ser explotado en horas, y la tendencia apunta hacia ventanas de reacción aún más estrechas.

A esto se añade un factor estructural: la superficie de ataque ya no es estática ni está bajo control humano directo. Las APIs, las conexiones máquina a máquina, los agentes autónomos y los automatismos corporativos generan continuamente nuevos vectores de exposición que difícilmente pueden inventariarse con métodos tradicionales.

Los sistemas de seguridad fueron diseñados pensando en personas que acceden a aplicaciones y toman decisiones; no estaban concebidos para entornos donde agentes autónomos abren conexiones, consumen APIs y ejecutan acciones sin intervención humana.

El modelo reactivo de detectar-mitigar-responder resulta insuficiente en este contexto. La única ventaja defensiva posible es la anticipación: utilizar la propia inteligencia artificial para descubrir vulnerabilidades antes que los atacantes, mantener una visión continua y dinámica de la exposición, no una fotografía puntual, sino una película en tiempo real, y asumir que la brecha puede ocurrir, diseñando la arquitectura para minimizar su impacto mediante microsegmentación y contención.

Se tarda una media de 194 días en identificar una brecha de datos. El 68% de esas brechas involucran un endpoint que no estaba siendo gestionado. Y en la mayoría de las organizaciones existen aproximadamente 2,5 veces más aplicaciones en uso que las conocidas por el equipo de TI.

Estos tres datos ilustran un problema estructural: la inversión en soluciones de seguridad sofisticadas (antivirus, SIEM, SOC, inteligencia de amenazas) pierde eficacia si existe un dispositivo fuera del radar que no tiene esas protecciones instaladas, o si hay aplicaciones desconocidas que procesan información sensible sin ningún tipo de control.

La gestión de endpoints ha evolucionado desde el MDM tradicional hacia plataformas de gestión autónoma que operan en tiempo real: descubren el inventario de dispositivos, evalúan su estado de configuración y cumplimiento, priorizan las vulnerabilidades según su impacto real y remedian de forma automatizada sin esperar a que el equipo de TI pueda dedicarle tiempo.

El shadow IT (aplicaciones utilizadas sin licencia y sin conocimiento de la organización, incluyendo herramientas de IA que pueden estar procesando información confidencial) es otro vector que esta capa de gestión debe cubrir. No se puede proteger lo que no se ve, ni priorizar lo que no se entiende.

La tecnología operacional (sistemas de control industrial, infraestructuras críticas, edificios inteligentes) representa uno de los espacios de mayor crecimiento en términos de ataques y uno de los de menor madurez en términos de defensa.

El 81% del malware diseñado actualmente tiene como objetivo causar interrupciones en entornos OT. Las estimaciones apuntan a un incremento del 600% en ciberataques sobre infraestructuras críticas en los próximos cinco años.

La frontera entre IT y OT, que en el pasado funcionaba como una barrera natural, ha desaparecido: los sistemas operacionales están conectados a redes corporativas y expuestos a los mismos vectores de ataque que el resto de la infraestructura.

El marco regulatorio refleja esta realidad: la NIS2 incorpora expresamente el principio de vigilancia continua, reconociendo que una auditoría puntual no es suficiente para garantizar la seguridad de infraestructuras en constante evolución.

El desafío para muchas organizaciones no es solo disponer de herramientas de monitorización, sino saber qué hacer con la información que estas proporcionan: qué vulnerabilidades priorizar, cómo actuar sobre sistemas heterogéneos y multivendor, y cómo documentar el cumplimiento normativo de forma continua.

Uno de los vectores de ataque más ignorados en la mayoría de las organizaciones son los dispositivos de seguridad física: cámaras de videovigilancia, sistemas de control de acceso, sensores de incendio, equipos de climatización.

Estos dispositivos, que históricamente han estado bajo la responsabilidad de áreas ajenas a TI, se encuentran en la actualidad conectados a redes corporativas, frecuentemente sin parchear, con credenciales por defecto (admin/admin, contraseñas pegadas en post-its) y con vulnerabilidades conocidas que están indexadas en plataformas públicas.

Una búsqueda básica en herramientas de inteligencia de red permite identificar millones de dispositivos de este tipo expuestos a Internet, incluyendo cámaras de organizaciones públicas y privadas en España.

La tendencia del mercado apunta hacia una seguridad convergente que integre en una misma estrategia la ciberseguridad tradicional, la seguridad de la infraestructura OT y la seguridad física.

No se trata de unificar equipos organizativos de inmediato, sino de reconocer que una cámara sin parchear, un sistema de control de acceso con credenciales débiles o un grabador de vídeo con acceso a la red corporativa son puertas de entrada tan reales como cualquier vulnerabilidad de software.

La responsabilidad sobre estos activos está migrando hacia los equipos de TI y los responsables de seguridad, y la normativa (NIS2, Esquema Nacional de Seguridad) está acelerando ese proceso.

La seguridad holística no puede limitarse al mundo digital: debe incluir todos los activos conectados, independientemente de su naturaleza física o lógica.

La falta de visibilidad es el reto más transversal que identifican los expertos en sus conversaciones con clientes: visibilidad sobre el tráfico de red, sobre los activos físicos conectados y sobre los agentes autónomos que operan en la infraestructura sin que nadie sepa exactamente qué hacen ni dónde están.

A esto se suma la complejidad creciente de unas infraestructuras que han ido acumulando soluciones, conexiones y proveedores hasta convertirse en entornos difícilmente gestionables, con gran parte del tráfico crítico circulando por Internet público sin control.

En el ámbito de los dispositivos, la inercia es otro freno importante: muchas organizaciones evitan migrar a plataformas más modernas y seguras por la pereza que genera mover flotas de decenas de miles de dispositivos ya configurados, aunque esa resistencia al cambio frecuentemente supone más coste en tiempo y riesgo que la propia migración.

En el entorno físico, el problema es que ni los propios responsables de tecnología tienen un inventario completo de los activos (cámaras, sistemas de control de acceso, sensores) que podrían estar expuestos, y en muchos casos esos activos se adquieren e instalan sin que los equipos de TI o seguridad tengan voz en el proceso.

Los consejos que se repiten con más frecuencia apuntan a simplificar la infraestructura apoyándose en plataformas de interconexión y consolidación, cambiar la mentalidad desde una visión reactiva hacia una gestión continua del riesgo, integrar a los responsables de seguridad en las decisiones sobre nuevas infraestructuras físicas desde el inicio, y priorizar soluciones cuya facilidad de uso y migración no penalice su adopción.

La inteligencia artificial domina el horizonte de tendencias, pero los expertos señalan matices relevantes más allá del consenso general. Una dimensión poco mencionada es la necesidad de educar a los empleados en el uso seguro de las herramientas de IA: dado que es imposible impedir su uso, el foco debe desplazarse hacia la formación de las personas para que no introduzcan datos confidenciales o los oculten adecuadamente cuando sea necesario.

Otra tendencia que emerge con fuerza es la capacidad de entender no solo quién accede a los sistemas, sino qué intenta conseguir la IA cuando interactúa con las aplicaciones corporativas, lo que exige nuevas capas de análisis de intención y comportamiento.

El paso del modelo reactivo al proactivo, anticiparse a las vulnerabilidades antes de que los atacantes las exploten, es otra dirección hacia la que apunta el mercado con claridad, impulsada por proyectos que usan la propia IA para descubrir y parchear debilidades de forma continua.

La computación cuántica, aunque pueda parecer lejana, ya está generando implicaciones prácticas: los datos robados hoy con cifrado convencional podrían descifrarse en el futuro con capacidades cuánticas, lo que hace necesario adoptar cifrado resistente a la cuántica desde ahora.

En el plano geopolítico, se observa una migración progresiva desde fabricantes de bajo coste con reputación cuestionable hacia proveedores con mayor solidez y trayectoria, tendencia que la regulación europea está acelerando en sectores críticos.

Y como marco general, la materialización real del Zero Trust, pasar de la teoría a la implementación efectiva en infraestructuras híbridas y multicloud, seguirá siendo uno de los grandes desafíos operativos de los próximos años.

Los entornos híbridos, la IA y el multicloud son una realidad inevitable; lo que sí puede evitarse es la complejidad innecesaria con la que se están construyendo. La pregunta que cada organización debe hacerse es si su seguridad empieza antes o después del impacto: tener herramientas que reduzcan la exposición de forma anticipada, que proporcionen visibilidad continua y que permitan aislar y contener cuando todo lo demás falla es el estándar mínimo al que hay que aspirar.

La autocrítica es imprescindible: muchas organizaciones subestiman su exposición real, especialmente en el entorno físico, donde controles de acceso obsoletos o mal configurados representan puertas abiertas que nadie ha decidido cerrar conscientemente.

La ciberseguridad ha dejado de ser algo en lo que se piensa solo cuando ocurre un incidente: la tendencia es incorporarla como una prioridad desde el origen de cualquier proyecto, de forma centralizada y con criterio, comprando soluciones que realmente se van a utilizar en el día a día y no simplemente para cubrir un expediente.

No existe el estado de «ser seguro» como destino final; la seguridad es un proceso continuo de adaptación que exige socios solventes, plataformas abiertas y una visión estratégica sostenida en el tiempo.