¿Qué es ASM (Attack Surface Management)? Guía 2026

Attack Surface Management (ASM) explicado: descubre activos expuestos, cierra puertas abiertas y reduce tu superficie de ataque. Guía 2026.

K
Kevin Reyes
10 min de lectura

Tu empresa tiene 3 dominios principales. Pero entre subdominios de staging, entornos de desarrollo olvidados, servicios cloud que alguien desplegó para una demo y nunca eliminó... la realidad es que tu superficie de ataque real es mucho mayor de lo que crees.

Hemos analizado la infraestructura externa de cientos de empresas. En casi todas encontramos lo mismo: activos expuestos a internet que nadie del equipo sabía que existían. Un Jenkins sin autenticación en un subdominio de pruebas. Un bucket S3 público con backups de base de datos. Un certificado SSL caducado hace seis meses en un servicio que "ya no se usa" pero sigue respondiendo peticiones.

Esto es exactamente el problema que resuelve ASM. Vamos a explicarlo desde cero.

¿Qué es ASM? Respuesta rápida

Attack Surface Management (ASM) es la disciplina de ciberseguridad que descubre, monitoriza y reduce en continuo todos los activos digitales expuestos de una organización en Internet: dominios, subdominios, APIs, servicios cloud y cualquier punto accesible desde el exterior.

A diferencia del pentesting tradicional, que es puntual y manual, ASM opera en tiempo cercano al real y detecta cambios en la superficie de ataque conforme ocurren: nuevos subdominios, certificados expirados, configuraciones DNS incorrectas, o activos olvidados tras una adquisición.

ASM se diferencia de EASM (External Attack Surface Management) en que ASM incluye la superficie interna y externa, mientras que EASM se centra sólo en lo accesible desde Internet. En empresas cloud-nativas, ambos términos son prácticamente equivalentes.

Qué es ASM (Attack Surface Management)

ASM, o Attack Surface Management, es el proceso continuo de descubrir, inventariar, clasificar y monitorizar todos los activos de una organización que están expuestos a internet.

La palabra clave aquí es continuo. No es un escaneo que lanzas una vez al trimestre. Es un sistema que vigila tu perímetro externo de forma permanente y te avisa cuando algo cambia.

En el sector de ciberseguridad, esta disciplina se conoce formalmente como EASM (External Attack Surface Management) — gestión de superficie de ataque externa. El término "ASM" se usa de forma coloquial, pero EASM es la denominación precisa que utilizan Gartner y los equipos de seguridad enterprise. Si quieres profundizar en las diferencias entre EASM, ASM genérico y CAASM, y entender por qué la terminología importa, tenemos una guía completa sobre EASM.

La diferencia con un escáner de vulnerabilidades tradicional es fundamental. Un escáner trabaja con una lista de activos que tú le proporcionas: "escanea estos 5 dominios y estas 10 IPs". ASM parte de la premisa opuesta: "dime qué dominios e IPs tienes, incluyendo los que no sabes que tienes".

Piénsalo así: no puedes proteger lo que no sabes que existe. Y la experiencia nos dice que la mayoría de empresas con más de un año de vida tienen activos expuestos que no aparecen en ningún inventario.

Qué incluye tu superficie de ataque

Cuando hablamos de superficie de ataque externa, nos referimos a todo lo que un atacante puede ver y tocar desde internet. La lista es más larga de lo que parece:

  • Dominios y subdominios: incluidos los de staging, QA, desarrollo y los que alguien registró "por si acaso"
  • Direcciones IP: tanto las que tienes asignadas directamente como las de servicios cloud asociados a tu organización
  • Puertos abiertos: cada puerto expuesto es un punto de entrada potencial. Un servicio SSH abierto al mundo, un panel de administración en el puerto 8080, un servidor de base de datos accesible sin VPN
  • APIs expuestas: endpoints de API sin autenticación o con tokens hardcodeados en el código del frontend
  • Buckets de almacenamiento público: S3, Google Cloud Storage, Azure Blob. Los buckets mal configurados siguen siendo una de las fuentes de brechas más frecuentes
  • Certificados SSL/TLS: certificados caducados, configuraciones débiles, dominios sin HTTPS
  • Registros DNS: registros MX sin SPF/DKIM/DMARC que permiten suplantar tu correo corporativo, CNAMEs huérfanos que apuntan a servicios cancelados (subdomain takeover)
  • Servicios SaaS con CNAME corporativo: cuando marketing configura landing.tuempresa.com apuntando a un servicio externo, ese activo es parte de tu superficie de ataque
  • Entornos olvidados: el clásico staging.tuempresa.com que desplegaron hace dos años, con credenciales por defecto, y que sigue siendo accesible

En nuestro estudio de startups españolas, encontramos que el 50% tenía problemas graves en su superficie externa. No eran vulnerabilidades complejas. Eran cosas que simplemente nadie estaba mirando.

Por qué el escaneo puntual ya no funciona

El modelo tradicional de seguridad perimetral se basa en escaneos periódicos: un pentest al año, un escaneo de vulnerabilidades al mes, quizá al trimestre. Este modelo tenía sentido cuando la infraestructura era estática. Tenías un data center, unos servidores fijos, y los cambios eran planificados y documentados.

Eso ya no refleja cómo funcionan las empresas. Veamos qué pasa entre dos escaneos trimestrales:

Semana 1: el equipo de desarrollo despliega un nuevo microservicio en un subdominio para probar una integración con un partner. Nadie lo documenta porque "es temporal".

Semana 3: marketing contrata un nuevo servicio de email marketing y configura un CNAME en el DNS corporativo. El proveedor no soporta HTTPS en dominios personalizados. Ahora tienes un subdominio sin cifrar.

Semana 5: la empresa adquiere una startup pequeña. Con ella llegan 4 dominios, 2 servidores cloud y una instancia de base de datos expuesta que nadie revisó.

Semana 8: un desarrollador sube un entorno de staging a un nuevo servidor. Usa credenciales de prueba y deja el panel de admin abierto. "Ya lo securizaré antes de producción".

Semana 12: llega el siguiente escaneo trimestral. Para entonces, llevas 3 meses con activos expuestos que ningún control ha revisado.

Cada cambio en tu infraestructura es una ventana de exposición. Si tu única herramienta de visibilidad es un escaneo periódico, estás volando a ciegas entre escaneos. Y los atacantes no esperan a que tú estés listo.

El tiempo medio para explotar una vulnerabilidad publicada se ha reducido a días. Esperar semanas o meses para descubrir que tienes algo expuesto ya no es aceptable.

Cómo funciona un sistema ASM

Un sistema ASM opera en cuatro fases que se repiten de forma continua:

1. Descubrimiento (Discovery)

Esta es la fase más importante y la que diferencia a ASM de un escáner convencional. El objetivo es encontrar activos que no sabes que tienes.

El sistema parte de lo que sí conoces (tus dominios principales, tu rango de IPs) y desde ahí expande la búsqueda. Enumera subdominios mediante registros DNS, certificados de transparencia (Certificate Transparency logs), y análisis de relaciones entre dominios. Identifica IPs asociadas a tu organización. Rastrea servicios cloud vinculados a tu infraestructura.

El resultado es un mapa completo de tu superficie de ataque real, no solo la que tú creías tener.

2. Inventario (Inventory)

Una vez descubiertos, los activos se catalogan y clasifican. Para cada uno se registra qué tecnología ejecuta, qué versión, qué puertos tiene abiertos, qué certificados usa, cuándo se detectó por primera vez y quién parece ser su propietario dentro de la organización.

Este inventario se actualiza con cada ciclo de escaneo. Si un activo desaparece, se marca. Si aparece uno nuevo, se señala.

3. Evaluación (Assessment)

Cada activo se evalúa según su nivel de riesgo. No todos los activos expuestos son igual de críticos. Un servidor web con un certificado caducado es un problema, pero un panel de administración de base de datos accesible desde internet sin autenticación es una emergencia.

La evaluación tiene en cuenta factores como: qué tipo de servicio es, si tiene vulnerabilidades conocidas (CVEs), si las credenciales por defecto siguen activas, si maneja datos sensibles, y cuál es la probabilidad real de explotación.

Un buen sistema ASM no te bombardea con 500 alertas. Te dice cuáles son las 5 que importan y por qué.

4. Monitorización (Monitoring)

ASM no termina con un informe. El sistema sigue vigilando y te alerta cuando algo cambia: un nuevo subdominio aparece, un certificado caduca, un puerto se abre, una configuración DNS cambia.

Esta monitorización continua es lo que cierra el hueco entre escaneos que describimos antes. En lugar de enterarte tres meses después, te enteras en horas.

ASM vs. otras herramientas de seguridad

Es normal preguntarse dónde encaja ASM respecto a otras herramientas que ya conoces. Aclaremos:

ASM vs. escáner de vulnerabilidades: son complementarios. El escáner de vulnerabilidades (Nessus, Qualys, OpenVAS) analiza activos conocidos en busca de CVEs y configuraciones débiles. ASM primero descubre qué activos tienes y luego los evalúa. Sin ASM, tu escáner solo cubre lo que le dijiste que escaneara, y eso siempre es un subconjunto incompleto.

ASM vs. CSPM (Cloud Security Posture Management): ASM mira tu infraestructura desde fuera, como la vería un atacante. CSPM mira desde dentro, revisando configuraciones de tus cuentas cloud (IAM, security groups, políticas de cifrado). Ambos son necesarios. ASM detecta el bucket S3 público desde internet; CSPM detecta la política de IAM que permite a cualquier usuario crear buckets públicos.

ASM vs. pentest: un pentest es un ejercicio puntual, profundo, donde un equipo humano intenta explotar vulnerabilidades. ASM es continuo y automatizado, enfocado en mantener visibilidad. El pentest te dice "esto es explotable y así lo demuestro". ASM te dice "estos activos existen y tienen este nivel de riesgo". Lo ideal es usar ASM como base continua y complementar con pentests periódicos para validación profunda.

Qué buscar en una herramienta ASM

Si estás evaluando soluciones ASM, estos son los criterios que importan:

  • Frecuencia de escaneo: diario como mínimo. Si solo escanea una vez a la semana, sigue dejando ventanas de exposición demasiado amplias
  • Cobertura tecnológica: que detecte subdominios, puertos, servicios, tecnologías web, certificados, configuraciones DNS y servicios cloud. Cuanto más amplia sea la cobertura, menos puntos ciegos tendrás
  • Scoring de riesgo contextual: no basta con decir "crítico" o "alto". Necesitas contexto: qué tipo de activo es, qué datos maneja, cuál es la probabilidad de explotación real
  • Soporte para múltiples dominios: si tu empresa opera varias marcas o ha hecho adquisiciones, necesitas cubrir todo desde una sola vista
  • Integración con tus herramientas: Slack para alertas, Jira para tickets, SIEM para correlación. Si la información no llega donde tu equipo trabaja, no sirve
  • Alertas configurables: poder definir qué tipo de cambios te generan una alerta y con qué prioridad. No todo merece despertar a alguien a las 3 de la mañana
  • Informes claros: que un CTO o un lead developer pueda entender el estado de la superficie de ataque sin necesitar un máster en ciberseguridad

Vulnerabbit ASM cubre todos estos puntos. Escaneo diario, descubrimiento automático de subdominios, evaluación de riesgo con contexto, integraciones con Slack y Jira, y un copiloto de IA que genera recomendaciones de remediación específicas para tu stack. Puedes ver los detalles en la página de producto.

Conclusión

Si tu empresa gestiona más de un dominio, despliega con frecuencia, o ha crecido absorbiendo servicios y herramientas a lo largo del tiempo, necesitas visibilidad continua sobre tu superficie de ataque. El escaneo puntual no cubre los huecos. ASM sí.

No necesitas empezar con un despliegue completo. Puedes hacerte una idea del estado de tu perímetro ahora mismo con nuestro escáner gratuito. Analiza tu dominio en segundos y recibe un informe con los hallazgos principales.

Preguntas frecuentes

¿Qué es ASM (Attack Surface Management)?

Attack Surface Management (ASM) es la disciplina de descubrir, monitorizar y reducir todos los activos expuestos de una organización en Internet: dominios, subdominios, APIs, servicios cloud y cualquier punto accesible desde el exterior. A diferencia del pentesting puntual, ASM opera en continuo y detecta cambios en tiempo cercano al real.

¿Qué diferencia hay entre ASM y EASM?

EASM (External Attack Surface Management) es un subconjunto de ASM centrado exclusivamente en la superficie externa — lo accesible desde Internet. ASM como término general también puede incluir activos internos y superficie desde la perspectiva de un insider. En la práctica, muchos vendors usan ambos términos de forma intercambiable.

¿Por qué las empresas necesitan ASM en 2026?

Porque el perímetro ya no existe. La mayoría de filtraciones modernas empiezan en activos olvidados: subdominios de staging, APIs sin autenticación, buckets S3 públicos, dominios parked sin protección. ASM es la única forma de mantener un inventario vivo de lo que tu empresa expone realmente a un atacante externo.

¿ASM sirve para cumplir ISO 27001 o ENS?

Sí. ASM cubre de forma directa los controles A.8.16 (Monitorización) y A.5.7 (Inteligencia de amenazas) de ISO 27001:2022, y la medida op.mon.3 del ENS. Es una de las herramientas con mayor retorno documental para un auditor moderno.

¿Cómo empiezo con ASM sin instalar nada?

Con un escáner externo que sólo necesita tu dominio raíz. Vulnerabbit ofrece un escaneo gratuito en vulnerabbit.com/escaner-gratuito que en minutos te devuelve el mapa de superficie externa de tu empresa: dominios relacionados, subdominios descubiertos, servicios expuestos y configuraciones de email.

Comprueba si tu dominio es vulnerable

Nuestro escáner gratuito analiza SSL, cabeceras de seguridad, DNS y configuración de email en menos de 5 minutos. Sin instalar nada.

Lanzar Auditoría Gratuita
Kevin Reyes

Escrito por

Kevin Reyes

Fundador & CEO de Vulnerabbit

Ingeniero DevSecOps con más de 7 años de experiencia en cloud security, CI/CD y automatización de infraestructura. Fundó Vulnerabbit con la misión de hacer la ciberseguridad sencilla, proactiva y accesible para startups y pymes.

LinkedIn
Escanea tu dominio gratis