EASM (Gestión de la Superficie de Ataque Externa)
Una disciplina de seguridad enfocada en descubrir, mapear y monitorear continuamente la superficie de ataque externa de una organización para identificar y remediar exposiciones.
¿Qué Es EASM?
EASM (Gestión de la Superficie de Ataque Externa) es una disciplina de ciberseguridad que descubre, inventaría, analiza y monitorea continuamente todos los activos digitales orientados a internet de una organización, alertando a los equipos de seguridad sobre exposiciones antes de que los atacantes puedan explotarlas.
La palabra clave es externa: EASM se centra exactamente en lo que los adversarios pueden ver y sondear desde el internet público, sin ningún conocimiento previo ni credenciales. Responde a la pregunta: “¿Qué ve un actor de amenaza cuando mira nuestra organización?”
A diferencia del escaneo interno de vulnerabilidades (que requiere saber qué activos escanear), EASM comienza desde la perspectiva del atacante y trabaja hacia adentro, descubriendo activos que los propios equipos pueden haber olvidado, configurado incorrectamente o nunca haber sabido que existían.
Por Qué Surgió EASM
La gestión tradicional de activos y el escaneo de vulnerabilidades asumían que las organizaciones sabían lo que poseían. Esa suposición se rompió cuando:
- La adopción de la nube hizo trivial crear nueva infraestructura en minutos
- El Shadow IT se extendió al adoptar cada unidad de negocio su propia pila SaaS
- La aceleración DevOps significó que el código se desplegara continuamente, no trimestralmente
- La actividad de M&A fusionó superficies de ataque externas desconocidas de la noche a la mañana
- El trabajo remoto extendió el perímetro a routers domésticos y dispositivos personales
El resultado: la mayoría de las organizaciones tienen docenas o cientos de activos orientados a internet desconocidos en un momento dado. Los atacantes escanean todo el internet continuamente usando herramientas como Shodan, Censys y FOFA. EASM da a los defensores la misma visibilidad externa.
Cómo Funciona EASM
Paso 1: Descubrimiento de Activos Semilla
EASM comienza con un pequeño conjunto de activos “semilla” conocidos—típicamente:
- Los nombres de dominio principales de la organización (ej.,
empresa.com) - Rangos de IP y ASNs conocidos
- Nombres de marca y subsidiarias
Paso 2: Enumeración Recursiva
A partir de las semillas, las plataformas EASM descubren activos conectados usando:
- Enumeración DNS — subdominios, registros MX, registros NS, DNS wildcard
- Registros de transparencia de certificados — los certificados SSL/TLS revelan nuevos subdominios en cuanto se emiten
- Búsquedas de IP inversa — encontrar todos los dominios alojados en los mismos bloques de IP
- Expansión de rangos de IP y ASN — mapear todo el espacio IP propiedad de la organización
- Web crawling — seguir enlaces para descubrir dominios y servicios relacionados
- Datos WHOIS y de registro — identificar dominios registrados por la misma entidad
Paso 3: Fingerprinting y Clasificación
Cada activo descubierto es sondeado (de forma no intrusiva) para determinar:
- Qué tecnología está ejecutando (servidor web, base de datos, CMS, frameworks)
- Qué versión y si aplican CVEs conocidos
- Si se requiere autenticación
- Validez y configuración de certificados SSL/TLS
- Puertos abiertos y servicios expuestos
Paso 4: Puntuación de Exposición y Alertas
Los activos descubiertos se puntúan por riesgo:
- Crítico — interfaces de gestión expuestas sin autenticación, bases de datos con acceso público, sistemas con CVEs activamente explotados
- Alto — certificados expirados, servicios con vulnerabilidades críticas conocidas, apps Shadow IT
- Medio — software desactualizado con exploits públicos, subdominios con cabeceras de seguridad faltantes
- Bajo — hallazgos informativos, configuraciones incorrectas menores
Los equipos reciben alertas cuando aparecen nuevos activos o los existentes cambian de estado.
Capacidades Clave de EASM
Descubrimiento de Activos
Encuentra automáticamente todos los activos orientados a internet que su organización posee u opera:
- Dominios y subdominios (incluyendo wildcard y dominios aparcados)
- Direcciones IP y rangos CIDR
- Activos alojados en la nube (AWS, Azure, GCP, otros proveedores)
- Aplicaciones web y portales de inicio de sesión
- APIs y endpoints para desarrolladores
- Servidores de correo e infraestructura de mail
- Gateways VPN y de acceso remoto
- Certificados SSL/TLS y estado de vencimiento
- Activos alojados por terceros (CDNs, páginas SaaS, páginas de estado)
Clasificación de Activos
Organiza el inventario descubierto por:
- Tipo de activo — aplicación web, API, base de datos, dispositivo de red, servidor de correo, etc.
- Entorno de alojamiento — proveedor cloud, on-premise, terceros
- Propiedad de unidad de negocio — qué equipo es responsable
- Stack tecnológico — CMS, framework, software de servidor, SO
- Nivel de riesgo — basado en exposición y criticidad
Monitoreo Continuo
EASM no es un escaneo puntual —monitorea continuamente:
- Alertas de nuevos activos — notificación inmediata cuando se descubre un nuevo dominio o IP
- Monitoreo de certificados — alertas antes de que expiren los certificados
- Deriva de configuración — detecta cuando cambia la postura de seguridad de un activo
- Correlación de CVE — cuando se divulga una nueva vulnerabilidad, EASM identifica cuáles de sus activos están afectados
- Monitoreo de eliminación — alertas cuando reaparece un activo previamente eliminado
Detección de Exposiciones
Identifica configuraciones incorrectas y riesgos comunes en activos externos:
- Autenticación predeterminada o inexistente en interfaces de administración
- Bases de datos expuestas (MongoDB, Elasticsearch, Redis)
- Almacenamiento cloud abierto (buckets S3 públicos, Azure Blobs)
- Certificados SSL/TLS faltantes o inválidos
- Versiones TLS obsoletas (TLS 1.0, 1.1)
- Cabeceras de seguridad faltantes (CSP, HSTS, X-Frame-Options)
- Software desactualizado con CVEs públicos
- Entornos de desarrollo y staging expuestos
- Registros DNS huérfanos (riesgo de subdomain takeover)
EASM vs. Otras Disciplinas de Seguridad
EASM vs. Gestión de Vulnerabilidades
| EASM | Gestión de Vulnerabilidades |
|---|---|
| Descubre activos desconocidos | Escanea activos conocidos |
| Perspectiva del atacante externo | Vista interna con credenciales |
| Encuentra Shadow IT olvidado | Profundidad sobre amplitud |
| No requiere credenciales ni acceso de red | Requiere acceso a los objetivos de escaneo |
| Monitoreo continuo de internet | Ciclos de escaneo programados |
| Encuentra lo que no sabía que tenía | Encuentra defectos en lo que conoce |
Ambos programas son complementarios. EASM alimenta el inventario de activos que la gestión de vulnerabilidades necesita para ser completa.
EASM vs. Pruebas de Penetración
| EASM | Pruebas de Penetración |
|---|---|
| Continuo, automatizado | Puntual, manual |
| Cobertura amplia de todos los activos | Inmersión profunda en objetivos específicos |
| Identifica exposiciones | Explota vulnerabilidades para demostrar impacto |
| Herramienta de seguridad operacional | Actividad de cumplimiento y garantía |
| Suscripción continua | Compromiso anual o trimestral |
Las pruebas de penetración son más impactantes cuando EASM ya ha identificado y remediado los problemas fáciles.
Casos de Uso Comunes de EASM
Due Diligence en M&A
Al adquirir otra empresa, EASM puede evaluar la superficie de ataque externa del objetivo en días, identificando servicios expuestos, activos vulnerables y brechas de seguridad antes de que se cierre el trato.
Descubrimiento de Shadow IT
Las unidades de negocio despliegan regularmente apps cloud, entornos de desarrollo y micrositios sin informar a TI. EASM hace visibles estos activos para que puedan ponerse bajo gobierno de seguridad o descomisionarse.
Gestión de Certificados
EASM monitorea continuamente el vencimiento de certificados SSL/TLS en todos los activos descubiertos, previniendo interrupciones del servicio y riesgos de man-in-the-middle por certificados expirados.
Prevención de Ransomware
Los vectores de acceso inicial de ransomware más comunes son orientados a internet: RDPs expuestos, VPNs sin parche, phishing a través de formularios web comprometidos. EASM los identifica antes que los actores de ransomware.
Riesgo de Cadena de Suministro
EASM puede monitorear las superficies de ataque externas de proveedores y socios críticos, proporcionando alerta temprana cuando la infraestructura de un proveedor está comprometida o expuesta.
EASM para Pymes
Las grandes empresas tienen equipos de seguridad dedicados a la gestión de la superficie de ataque. Las pymes típicamente carecen de esta capacidad, pero enfrentan las mismas amenazas.
Las plataformas EASM diseñadas para pymes proporcionan:
- Descubrimiento automatizado sin requerir experiencia interna en TI
- Hallazgos priorizados para que el personal de seguridad limitado se centre en lo que más importa
- Monitoreo continuo a una fracción del costo de las evaluaciones manuales
- Informes en lenguaje claro accesibles para partes interesadas no técnicas
threats.report está construido específicamente para dar a las pymes visibilidad de la superficie de ataque externa de nivel empresarial, haciendo visibles sus exposiciones más críticas en un formato accionable sin un equipo SOC dedicado.
Implementación de EASM: Primeros Pasos
Fase 1: Descubrimiento (Semana 1–2)
- Ingresar activos semilla (dominios principales, rangos de IP, nombres de subsidiarias)
- Ejecutar escaneo inicial de descubrimiento
- Revisar el inventario de activos descubiertos para verificar precisión
- Identificar exposiciones críticas inmediatas
Fase 2: Priorización (Semana 2–3)
- Clasificar activos por criticidad de negocio y exposición
- Puntuar vulnerabilidades por CVSS y explotabilidad real
- Construir un backlog de remediación priorizado por riesgo
Fase 3: Remediación (Continuo)
- Abordar exposiciones críticas de inmediato (parchear, restringir o descomisionar)
- Establecer responsabilidad para cada clase de activo
- Construir procesos para manejar alertas de nuevos activos
Fase 4: Monitoreo Continuo (Continuo)
- Configurar alertas para nuevos activos y cambios de configuración
- Integrar hallazgos EASM en el flujo de trabajo de gestión de vulnerabilidades
- Revisar métricas mensualmente: tendencias de recuento de activos, MTTR por severidad
Métricas Clave de EASM
| Métrica | Qué Mide |
|---|---|
| Recuento de activos externos | Tamaño y tendencia de crecimiento de la superficie de ataque |
| Tasa de activos desconocidos | % de activos no previamente en inventario |
| Recuento de exposiciones críticas | Activos con hallazgos de severidad crítica |
| Tiempo Medio de Remediación (MTTR) | Velocidad de respuesta de seguridad por severidad |
| Cobertura de certificados | % de certificados monitoreados activamente |
| Tasa de descubrimiento de Shadow IT | Nuevos activos no sancionados encontrados por período |