La superficie de ataque que nadie vigila

No tener un inventario de servicios expuestos a internet no es un descuido menor: es dejar la puerta trasera abierta y olvidarse de que existe.

Pregunta a cualquier equipo de TI cuántos servicios tiene su organización expuestos a internet. La respuesta más honesta, en la mayoría de los casos, será un silencio incómodo seguido de una cifra aproximada: "creemos que son unos veinte... quizás treinta". Esa incertidumbre no es un detalle menor. Es la grieta por la que entran los atacantes.

No puedes proteger lo que no sabes que tienes. Simple hasta parecer trivial, esta frase resume uno de los problemas más persistentes y subestimados en ciberseguridad corporativa: la ausencia de un inventario actualizado de los servicios expuestos a internet.

¿Qué es la superficie de ataque expuesta?

Es el conjunto de todos los puntos de entrada digitales accesibles desde el exterior: servidores web, APIs, paneles de administración, servicios de correo, VPNs, bases de datos con puerto abierto, instancias en la nube mal configuradas... y todo lo que desplegaste "temporalmente" hace dos años y sigue corriendo.

El problema estructural es que esta superficie no es estática. Crece constantemente. Cada proyecto nuevo despliega un servicio. Cada migración deja instancias olvidadas. Cada desarrollador que levanta un entorno de prueba "solo para esta demo" añade un punto de entrada que nadie elimina cuando ya no es necesario.

"Un atacante con un escáner automatizado tiene más visibilidad sobre tu superficie de ataque que tú mismo si no mantienes un inventario."

El ciclo del descuido

El deterioro no ocurre de golpe. Es gradual, casi imperceptible, y sigue siempre el mismo patrón:

• Despliegue sin registro: El servicio se lanza para cubrir una necesidad. Nadie lo registra formalmente porque "ya se hará".
• Pérdida de dueño: El responsable técnico rota, cambia de proyecto o la empresa se reorganiza. El servicio queda huérfano.
• Versión congelada: Sin dueño asignado, nadie aplica parches. La versión instalada envejece mientras el ecosistema de amenazas avanza
• CVE publicado, exploit disponible: Se descubre una vulnerabilidad en esa versión. En horas hay un exploit circulando en foros y herramientas automatizadas
• Brecha consumada: El atacante lo encuentra antes que tú. El vector inicial es ese servidor que nadie recordaba

El reloj corre desde que se publica el CVE

Los grupos de amenaza —incluidos actores de ransomware— escanean internet de forma masiva en cuanto se publica un CVE crítico. La variable crítica no es si tienes la versión vulnerable instalada: es si sabes que la tienes

Hora 0 — CVE publicado

Se publica la vulnerabilidad con detalles técnicos suficientes para reproducirla.

Horas 1–12 — Escáneres activos

Grupos automatizados comienzan a mapear internet buscando versiones afectadas. Con o sin inventario, ya te están mirando.

Con inventario — Respuesta en horas

Identificas las instancias afectadas, priorizas remediación, aplicas mitigaciones temporales antes de que llegue el atacante.

Sin inventario — Respuesta en días o semanas

Tardas días en saber que el problema te afecta. Semanas en resolverlo. Esa ventana es exactamente lo que explota el atacante.

Shadow IT: lo que ni siquiera sospechas

Un agravante frecuente y raramente reconocido es el shadow IT: servicios desplegados por áreas de negocio o desarrolladores individuales sin pasar por los procesos de TI corporativos.

Instancias en AWS o Azure levantadas con una tarjeta de crédito personal. Herramientas SaaS conectadas a sistemas internos mediante integraciones no auditadas. Entornos de desarrollo accesibles públicamente "solo mientras terminamos la demo" — que siguen activos tres meses después.

Estos activos no aparecen en ningún registro. No tienen propietario formal. No están en los procesos de gestión de parches. Y sin embargo, están ahí, visibles desde internet, esperando ser encontrados. Los atacantes no distinguen entre activos "oficiales" y activos en la sombra. Cualquier puerto abierto es una oportunidad.

Qué herramientas usar para ganar visibilidad

Shodan

Motor de búsqueda de dispositivos conectados. Permite descubrir qué servicios de tu organización son visibles desde internet y con qué versiones.

Censys

Similar a Shodan pero con mayor detalle en certificados TLS y datos de configuración. Muy útil para mapear la huella digital corporativa.

Nmap + scripts NSE

Para escaneos internos y de perímetro. Con los scripts adecuados detecta versiones de servicios y vulnerabilidades conocidas.

Plataformas EASM

Soluciones como Tenable ASM, CyCognito o Axonius automatizan el descubrimiento continuo y mantienen el inventario actualizado en tiempo real.

Un plan de acción concreto

Resolver el problema de visibilidad no es complejo en su concepto —aunque requiere disciplina en su ejecución. Esta es la hoja de ruta básica:

Checklist: del descuido a la visibilidad

• Descubrir: Escanea tu organización desde fuera con Shodan o Censys. El ejercicio suele deparar sorpresas desagradables.
  
• Registrar: Cada servicio debe tener propietario, propósito, versión en uso y fecha del último parche. Un inventario vivo, no un documento estático.
  
• Asignar responsables: Sin dueño claro, no hay quien parchee. Cada activo necesita una persona o equipo accountable.
  
• Gestionar el ciclo de vida: Todo servicio que ya no cumple una función debe ser dado de baja. La inercia organizacional es el enemigo silencioso.
  
• Monitorizar continuamente: Cualquier nuevo despliegue activa su registro. Cualquier CVE nuevo dispara una consulta contra el inventario.
  
• Automatizar el descubrimiento: Confiar en procesos manuales garantiza que el inventario quedará desactualizado. Busca integración con tu pipeline de CI/CD.
  

El impacto regulatorio: cumplimiento en riesgo

Más allá del riesgo técnico, la falta de inventario tiene implicaciones directas en el cumplimiento normativo. Marcos como ISO 27001, el Esquema Nacional de Seguridad (ENS) o la directiva NIS2 exigen explícitamente el mantenimiento de un inventario de activos de información.

Una auditoría que encuentre ausencia de inventario no solo señalará una no conformidad: pondrá en cuestión la madurez del programa completo de seguridad. Y en caso de brecha, la ausencia de inventario agrava significativamente la exposición regulatoria ante la autoridad de protección de datos.

La pregunta que define tu postura de seguridad

No es si algún servicio olvidado en tu red será encontrado por un atacante. Es si lo encontrarás tú antes que él. La visibilidad no es un lujo: es el punto de partida.