Superficie de ataque
¿Qué es Superficie de ataque?
Superficie de ataqueConjunto de todos los puntos por donde un atacante puede intentar entrar, extraer datos o manipular un sistema, incluidas redes, software, identidades, cadena de suministro y personas.
La superficie de ataque de una organizacion es el conjunto completo de puntos de entrada expuestos: activos accesibles desde Internet, SaaS de terceros, APIs, endpoints, apps moviles, protocolos de red, repositorios de codigo fuente, dispositivos IoT/OT, planos de control en la nube, identidades y canales humanos susceptibles a la ingenieria social. Es dinamica y crece con cada nueva funcionalidad, proveedor y cambio de configuracion. Los analistas suelen dividirla en la superficie digital (software y servicios expuestos), la superficie fisica (dispositivos y soportes) y la superficie social (personas atacadas mediante phishing).
La campana contra MOVEit Transfer de 2023 es una ilustracion de manual. Un unico fallo de inyeccion SQL, CVE-2023-34362, residia en un appliance de transferencia de archivos accesible desde Internet; Shodan mostraba cerca de 2.500 instancias de MOVEit expuestas en el momento de la divulgacion, y el grupo de ransomware Cl0p las exploto como un zero-day para vulnerar a cientos de organizaciones a traves de un borde olvidado de su superficie. La leccion es que los activos no gestionados o de "shadow IT" (un bucket S3 de desarrollo, un appliance VPN abandonado, un subdominio obsoleto vulnerable a takeover) son justo donde los atacantes miran primero.
Las herramientas de attack surface management (ASM) y external attack surface management (EASM) descubren activos de forma continua, los identifican y priorizan exposiciones. La reduccion se apoya en el endurecimiento, la retirada de servicios obsoletos, la minimizacion de privilegios, la segmentacion de redes, el parcheado rapido del software accesible desde Internet y la eliminacion de dependencias y cuentas sin uso.
flowchart TD
O[Organizacion] --> D[Superficie digital<br/>activos de Internet, APIs, SaaS, nube]
O --> P[Superficie fisica<br/>endpoints, IoT/OT, soportes]
O --> S[Superficie social<br/>empleados, objetivos de phishing]
D --> EASM[EASM descubrimiento continuo<br/>+ fingerprinting]
EASM --> X{Exposicion encontrada?}
X -->|Si: p. ej. MOVEit sin parchear| R[Parchear / retirar /<br/>segmentar / minimo privilegio]
X -->|No| M[Seguir monitorizando]
R --> M● Ejemplos
- 01
Un bucket S3 de desarrollo olvidado y un SaaS admin de CI/CD aparecen cada uno en un escaneo EASM como activos expuestos nuevos.
- 02
Apagar un appliance VPN sin uso reduce la superficie de ataque de la red.
● Preguntas frecuentes
¿Qué es Superficie de ataque?
Conjunto de todos los puntos por donde un atacante puede intentar entrar, extraer datos o manipular un sistema, incluidas redes, software, identidades, cadena de suministro y personas. Pertenece a la categoría de Cumplimiento y marcos en ciberseguridad.
¿Qué significa Superficie de ataque?
Conjunto de todos los puntos por donde un atacante puede intentar entrar, extraer datos o manipular un sistema, incluidas redes, software, identidades, cadena de suministro y personas.
¿Cómo defenderse de Superficie de ataque?
Las defensas contra Superficie de ataque combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.