Superficie de Ataque para Empresas: Guía ASM

Guía práctica de gestión de superficie de ataque (ASM) para empresas. Criterios de evaluación, hallazgos frecuentes en España y cómo empezar desde 49 €/mes.

K
Kevin Reyes
11 min de lectura

Ya sabes qué es ASM. Has leído los artículos, entiendes que tu superficie de ataque es más grande de lo que aparece en tus diagramas de red, y probablemente hayas tenido algún susto con un subdominio olvidado o un servicio que seguía expuesto meses después de que "lo desactiváramos". Si necesitas un repaso de los fundamentos, tenemos una guía completa sobre qué es ASM. También puedes revisar nuestra guía sobre EASM (External Attack Surface Management), el término preciso que usa la industria para referirse a la monitorización de la superficie de ataque externa.

Este artículo no es para explicar el concepto. Es para resolver la pregunta que viene después: ¿cómo implementamos monitorización continua de nuestra superficie de ataque sin necesitar un equipo SOC dedicado y sin gastar 50.000 € al año en herramientas enterprise?

Porque esa es la situación real de la mayoría de empresas españolas. Sabes que necesitas visibilidad sobre lo que está expuesto. Pero no tienes un presupuesto de seguridad de seis cifras ni un equipo de cinco analistas esperando a configurar la herramienta. Necesitas algo que funcione desde el primer día, que no requiera meses de implementación, y que te dé resultados accionables sin ahogarte en ruido.

Vamos a ver cómo se consigue eso.


Por qué el inventario manual ya no funciona

La primera reacción de muchas empresas cuando descubren que necesitan controlar su superficie de ataque es crear un documento. Una hoja de cálculo, un Confluence, un Notion. "Vamos a listar todos nuestros dominios, subdominios, IPs y servicios expuestos." Suena razonable. Y durante la primera semana, hasta funciona.

El problema es que tu infraestructura no se queda quieta.

El equipo de desarrollo despliega un nuevo microservicio para probar una integración. Necesita un subdominio, lo configura en el DNS, levanta el servicio y se pone a trabajar. No actualiza la hoja de cálculo porque "es temporal". Tres meses después, el servicio sigue ahí, con credenciales de prueba, y nadie lo ha revisado.

Marketing necesita una landing para una campaña de paid. Configura un CNAME apuntando a un servicio externo. Cuando la campaña termina, eliminan el contenido del servicio pero no el registro DNS. Ahora tienes un CNAME huérfano — un vector clásico de subdomain takeover.

Un proveedor externo necesita acceso a un entorno de staging para una integración. Se lo montan en staging-partner.tuempresa.com con acceso abierto "para que puedan trabajar sin fricciones". La integración se cancela. El subdominio no.

Hemos visto esto cientos de veces. Empresa que nos dice "tenemos 12 dominios", y cuando lanzamos el descubrimiento automático aparecen 47 activos expuestos. No porque estén mintiendo, sino porque el inventario manual es una foto fija de un sistema que cambia a diario.

La conclusión es sencilla: si tu inventario depende de que alguien recuerde actualizar un documento cada vez que se toca el DNS o se despliega algo nuevo, tu inventario está desactualizado. Siempre.


Qué buscar en una solución ASM

No todas las herramientas que se etiquetan como ASM hacen lo mismo. Algunas son escáneres de vulnerabilidades con un rebrand de marketing. Otras son plataformas de threat intelligence que añadieron descubrimiento de activos como funcionalidad secundaria. Si estás evaluando opciones, estos son los criterios que importan de verdad.

Descubrimiento automático sin inventario previo

La herramienta tiene que encontrar tus activos por sí sola. Le das tu dominio principal y ella descubre subdominios, servicios asociados, IPs relacionadas. Si necesitas proporcionarle una lista previa de lo que tiene que monitorizar, no es ASM — es un escáner con nombre nuevo.

Monitorización continua, no escaneos puntuales

La diferencia fundamental entre ASM y un pentest o un escaneo trimestral. La monitorización debe ser diaria o más frecuente. Cada nuevo subdominio, cada puerto que se abre, cada certificado que caduca debería detectarse en horas, no en semanas.

Priorización por riesgo real

Un escáner que te devuelve 500 alertas sin contexto es peor que no tener escáner, porque te crea una falsa sensación de que "estás mirando". Lo que necesitas es priorización basada en impacto real: un panel de administración expuesto a internet sin autenticación es crítico. Un certificado que caduca en 30 días es importante pero no urgente. Un puerto abierto en un servicio interno con acceso restringido por IP es informativo.

Integración con tus flujos de trabajo

Las alertas tienen que llegar donde tu equipo trabaja. Correo electrónico, Slack, Microsoft Teams. Los hallazgos tienen que poder exportarse para informes de compliance. Si la herramienta solo funciona dentro de su propio dashboard, los hallazgos se van a quedar ahí sin que nadie actúe.

Cobertura completa del perímetro externo

Una solución ASM seria debe cubrir como mínimo:

  • Subdominios: descubrimiento por fuerza bruta, DNS pasivo (registros históricos de resoluciones de dominio) y Certificate Transparency (registros públicos de certificados SSL emitidos)
  • Puertos y servicios: escaneo de puertos comunes y detección de servicios
  • Certificados SSL/TLS: estado, fecha de caducidad, configuración
  • Tecnologías expuestas: versiones de servidores web, frameworks, CMS
  • Credenciales filtradas: monitorización de brechas de terceros con credenciales corporativas
  • Registros DNS: configuración de SPF, DKIM, DMARC, detección de CNAMEs huérfanos

Precio transparente

Si para saber cuánto cuesta la herramienta necesitas reservar una demo de 45 minutos con un comercial, rellenar un formulario con el tamaño de tu empresa y esperar una "propuesta personalizada", probablemente no es una herramienta diseñada para tu tamaño de empresa. Busca pricing público, planes claros y la posibilidad de probar antes de pagar.


Los hallazgos más frecuentes en empresas españolas

Tras escanear empresas españolas de distintos tamaños — startups, PYMEs, empresas medianas con 200 o 300 empleados. Los patrones se repiten con una consistencia que ya no sorprende. Estos son los hallazgos que aparecen una y otra vez.

Subdominios de staging accesibles públicamente

Es el clásico. staging.tuempresa.com, dev.tuempresa.com, pre.tuempresa.com. Entornos que replican producción, a veces con datos reales de clientes, accesibles sin autenticación desde cualquier navegador. El razonamiento siempre es el mismo: "solo lo usamos internamente". Pero si responde a una petición HTTP desde fuera de tu red, no es interno.

Certificados SSL caducados en servicios secundarios

Los certificados del dominio principal están siempre al día. Pero los de api-legacy.tuempresa.com o panel-viejo.tuempresa.com llevan meses caducados. Esto no solo genera avisos de seguridad para cualquiera que acceda — indica que nadie está monitorizando esos servicios. Un atacante lo sabe leer.

Puertos RDP y SSH abiertos a internet

Servidores con el puerto 3389 (RDP) o 22 (SSH) accesibles desde cualquier IP del mundo. A veces con credenciales por defecto. A veces con versiones de OpenSSH vulnerables a CVEs conocidos. Y a veces el equipo de sistemas ni siquiera sabe que ese servidor sigue encendido.

Paneles de administración expuestos

Jenkins sin autenticación. Grafana con el usuario admin/admin. phpMyAdmin accesible en el puerto 8080. Kibana abierto al público. Estos paneles son caramelos para un atacante, porque no requieren explotar ninguna vulnerabilidad — están literalmente abiertos de par en par.

Credenciales corporativas en brechas de terceros

Cuando un servicio externo sufre una brecha de datos, las credenciales filtradas acaban en bases de datos públicas. Si tus empleados usan su correo corporativo para registrarse en servicios de terceros (y lo hacen, siempre), sus contraseñas están ahí fuera. Y si reutilizan contraseñas — cosa que ocurre más de lo que cualquier política de seguridad consigue evitar — esas credenciales son un vector de acceso directo a tus sistemas.

DNS dangling y subdomain takeover

Un CNAME que apunta a un servicio de Heroku que ya cancelaste. Un registro DNS configurado para una instancia de AWS que ya no existe. Un atacante puede reclamar ese recurso externo y tomar el control del subdominio de tu empresa. Es un ataque conocido, documentado y sorprendentemente común en empresas que no monitorizan sus registros DNS.


Caso de uso: de 0 a visibilidad completa en una tarde

Vamos a recorrer cómo es el proceso real de implementar monitorización ASM. Sin rodeos ni demos preparadas.

Paso 1: introduces tu dominio principal. No necesitas listar subdominios, ni IPs, ni servicios. Solo el dominio raíz. La plataforma se encarga de descubrir todo lo que cuelga de él.

Paso 2: descubrimiento automático. El motor de descubrimiento cruza múltiples fuentes — DNS pasivo, Certificate Transparency logs, fuerza bruta inteligente de subdominios, resolución de registros DNS. En minutos tienes un mapa completo de tu superficie de ataque. Es habitual que aparezcan entre dos y cinco veces más activos de los que el equipo tenía documentados.

Paso 3: primer escaneo. Cada activo descubierto se analiza automáticamente. Puertos abiertos, servicios expuestos, versiones de software, estado de certificados SSL, configuración DNS, tecnologías detectadas. Los resultados se priorizan por severidad: crítico, alto, medio, informativo.

Paso 4: resultados accionables. No recibes un PDF de 200 páginas. Recibes una lista priorizada de hallazgos con contexto: qué se encontró, por qué es un riesgo, y qué hacer para resolverlo. Las cosas críticas las ves en los primeros cinco minutos.

Paso 5: monitorización continua. A partir de aquí, cualquier cambio en tu superficie de ataque genera una alerta. Nuevo subdominio detectado, puerto que se abre, certificado que caduca, credencial filtrada. Sin que nadie tenga que acordarse de lanzar un escaneo.

No necesitas instalar agentes. No necesitas dar acceso a tus sistemas internos. No necesitas configurar firewalls ni abrir puertos. Todo el análisis se hace desde fuera, exactamente como lo haría un atacante.

El proceso completo — desde registrarte hasta tener visibilidad de tu superficie de ataque — lleva una tarde. No una semana, no un proyecto de tres meses con un integrador externo. Una tarde.


ASM y compliance: ISO 27001, ENS, NIS2

La monitorización continua de la superficie de ataque no es solo buena práctica de seguridad. Es un control que mapea directamente a varios marcos de compliance que probablemente te afectan o te van a afectar pronto.

ISO 27001

Dos controles del Anexo A son especialmente relevantes:

A.5.9 — Inventario de activos de información. La norma exige mantener un inventario actualizado de los activos asociados a la información. Un inventario manual que se queda obsoleto cada semana no cumple el espíritu de este control. ASM automatiza el descubrimiento y mantiene el inventario actualizado de forma continua, lo que simplifica enormemente las auditorías.

A.8.8 — Gestión de vulnerabilidades técnicas. Este control requiere identificar vulnerabilidades técnicas de forma oportuna y tomar medidas correctivas. La monitorización continua de ASM detecta puertos abiertos, servicios vulnerables y configuraciones incorrectas de forma automática, generando evidencias auditables de que estás identificando y gestionando vulnerabilidades de forma proactiva.

Si estás en proceso de certificación ISO 27001 o ya la tienes y necesitas mantenerla, ASM te genera evidencia continua para estos controles sin esfuerzo manual adicional. Puedes ver más sobre los controles técnicos de ISO 27001 en nuestro blog.

NIS2

La directiva NIS2, según su artículo 21, exige a las entidades esenciales e importantes una evaluación continua de riesgos de ciberseguridad. No un análisis de riesgos anual guardado en un cajón — una evaluación continua. ASM proporciona exactamente eso para el perímetro externo: visibilidad permanente de tu exposición, con alertas cuando algo cambia.

NIS2 también requiere medidas de gestión de vulnerabilidades y la capacidad de evaluar la eficacia de las medidas de seguridad implementadas. Los informes históricos de ASM demuestran cómo evoluciona tu superficie de ataque a lo largo del tiempo y cómo respondes a los hallazgos.

ENS (Esquema Nacional de Seguridad)

Si trabajas con la administración pública española o aspiras a hacerlo, el ENS te afecta. Los requisitos de inventario de activos y gestión de vulnerabilidades del ENS se alinean con lo que ASM proporciona. Dicho esto, la categorización ENS y los controles específicos que aplican dependen de la categoría del sistema (básica, media, alta) y es recomendable contar con un especialista en ENS para la implementación completa del marco. ASM cubre la parte de visibilidad del perímetro externo, pero el ENS va mucho más allá.


Monitorización continua sin complicaciones

Vulnerabbit ofrece monitorización ASM diseñada para equipos que necesitan resultados, no proyectos de implementación de tres meses.

Descubrimiento automático de toda tu superficie de ataque externa a partir de un dominio. Subdominios, puertos, servicios, certificados, tecnologías, credenciales filtradas, configuración DNS. Sin necesidad de proporcionar un inventario previo.

Monitorización continua con alertas cuando algo cambia. Nuevo activo descubierto, puerto que se abre, certificado próximo a caducar, credencial filtrada en una brecha. Las alertas llegan donde trabaja tu equipo.

Priorización por riesgo real. No 500 alertas sin contexto. Hallazgos clasificados por severidad con recomendaciones claras de remediación.

Precio transparente desde 49 €/mes. Publicado en la web, sin necesidad de hablar con un comercial. Sin contratos anuales obligatorios. Puedes consultar los planes y precios directamente.

Setup en minutos, no en semanas. Sin agentes, sin acceso a sistemas internos, sin configuración compleja.

Si lo que buscas es visibilidad continua de tu superficie de ataque sin la complejidad y el coste de las plataformas enterprise, échale un vistazo a nuestra solución de gestión de superficie de ataque. Puedes probarla hoy mismo y tener resultados antes de que acabe el día.

Comprueba si tu dominio es vulnerable

Nuestro escáner gratuito analiza SSL, cabeceras de seguridad, DNS y configuración de email en menos de 5 minutos. Sin instalar nada.

Lanzar Auditoría Gratuita
Kevin Reyes

Escrito por

Kevin Reyes

Fundador & CEO de Vulnerabbit

Ingeniero DevSecOps con más de 7 años de experiencia en cloud security, CI/CD y automatización de infraestructura. Fundó Vulnerabbit con la misión de hacer la ciberseguridad sencilla, proactiva y accesible para startups y pymes.

LinkedIn
Escanea tu dominio gratis