El Informe sobre el estado de la ciberseguridad 2025 de Ivanti reveló algo nada sorprendente: que las organizaciones declaran una brecha de preparación significativa (es decir, la brecha entre el nivel de amenaza percibido y su grado de preparación) en todos los vectores de amenaza y vulnerabilidades sobre los que les preguntamos.

Aunque los equipos de seguridad dedican acertadamente recursos a crear resiliencia para poder responder a los ataques y recuperarse de ellos con rapidez, cerrar esas brechas de preparación requiere medidas de ciberseguridad proactiva.

Ciberseguridad reactiva frente a proactiva: ¿cuál es la diferencia?

La ciberseguridad proactiva hace referencia a lo que se hace antes de un ciberataque para mejorar la postura de seguridad y reducir la superficie de ataque; la ciberseguridad reactiva interrumpe un ataque que ya ha vulnerado sus sistemas, lo contiene y minimiza el daño que puede causar.

No son en absoluto mutuamente excluyentes. La seguridad proactiva reduce el riesgo, pero no lo elimina. “Reactiva” puede tener una connotación ligeramente negativa, pero las capacidades que permiten responder a un ataque, por mucho que se haya reducido la exposición al riesgo, son de vital importancia.

Ejemplos de medidas de ciberseguridad proactiva

La seguridad proactiva es una filosofía, no un plan. Se basa en la idea de que tomar medidas para minimizar la exposición mucho antes de que un riesgo se materialice es la mejor forma de aprovechar el tiempo y los recursos de seguridad.

Dicho esto, existen capacidades específicas que puede desarrollar para adoptar esa filosofía, entre ellas, aunque desde luego no exclusivamente, el análisis de vulnerabilidades, la gestión de la superficie de ataque, la gestión de vulnerabilidades, la validación de la exposición, la gestión de parches, la gestión de configuraciones y la formación de usuarios.

Gestión de la superficie de ataque

La gestión de la superficie de ataque tiene como objetivo comprender todos los puntos de entrada de una organización —digitales, físicos o humanos— que los hackers pueden utilizar para acceder a su entorno de TI.

La superficie de ataque incluye dispositivos (conocidos y desconocidos), pero el entorno va más allá de los dispositivos. También incluye aplicaciones, software, cuentas de redes sociales y otros espacios o activos digitales utilizados por personas asociadas a la empresa.

Relacionado:Lista de comprobación de la superficie de ataque

Análisis de vulnerabilidades

El análisis de vulnerabilidades es exactamente lo que parece: escáneres especializados evalúan redes y activos de TI en busca de vulnerabilidades que puedan explotarse y las señalan para que los equipos de seguridad las aborden. Dado que existen miles de vulnerabilidades conocidas (y cada día aparecen más), el análisis de vulnerabilidades resulta más eficaz cuando está automatizado.

Los análisis externos de vulnerabilidades revisan una red desde fuera hacia dentro para tratar de identificar formas en que un hacker podría acceder a ella. Los análisis internos adoptan el punto de vista de alguien que ya ha entrado en la red y de las vulnerabilidades que podría explotar desde dentro.

Gestión de vulnerabilidades

El análisis de vulnerabilidades y la gestión de la superficie de ataque alimentan el ciclo más amplio y completo de gestión de vulnerabilidades. Se trata de un proceso continuo en el que las vulnerabilidades se identifican y se clasifican con un determinado nivel de prioridad antes de que los equipos decidan cuál es la mejor forma de resolverlas.

Un enfoque predeterminado para la gestión de vulnerabilidades consiste en priorizar por gravedad, pero este enfoque puede sobrevalorar algunas vulnerabilidades y pasar por alto otras. Añadir contexto de amenazas —¿se está explotando activamente esta vulnerabilidad?— y contexto de riesgo —¿qué perjuicio supondría para mi organización la explotación de esta vulnerabilidad?— ofrece una visión más clara de la verdadera prioridad.

Validación de la exposición

La validación de la exposición comprueba la viabilidad de un ataque y la solidez de sus contramedidas mediante la ejecución de escenarios de ataque. Este enfoque también se denomina seguridad ofensiva. Los dos métodos más habituales son las pruebas de penetración y el red teaming.

  • Las pruebas de penetración (o pen testing) consisten en que hackers éticos intenten hackear su sistema y, después, ofrezcan comentarios sobre qué funcionó bien y qué áreas requieren más mejoras. El pen testing también puede realizarse con herramientas automatizadas.
  • El red teaming, similar al pen testing, consiste en hacer que hackers éticos lleven a cabo un ciberataque planificado con el objetivo de descubrir dónde pueden mejorarse sus defensas. El red teaming es una simulación basada en escenarios, mientras que el pen testing implica buscar el mayor número posible de vulnerabilidades diferentes.

La validación adversarial de la exposición, o AEV, también está surgiendo como una práctica en la que se utiliza software para realizar simulaciones de ataque de forma continua y autónoma con el fin de demostrar la existencia de exposiciones.

Gestión de parches

Una vez que las vulnerabilidades se han identificado mediante la gestión de la superficie de ataque y el análisis de vulnerabilidades, se han priorizado mediante la gestión de vulnerabilidades y se han validado posteriormente mediante la validación de la exposición, la pregunta es: ¿cómo debemos reaccionar? La gestión de parches es una forma de responder a las vulnerabilidades y cerrarlas, en concreto las vulnerabilidades de software para las que existen parches.

La gestión de parches es un objetivo ideal para la automatización, sobre todo cuando se combina con la gestión de vulnerabilidades basada en riesgos. Los flujos de trabajo que avanzan automáticamente desde la detección hasta la toma de decisiones y el despliegue acortan el tiempo medio de remediación y minimizan los errores humanos.

La gestión de parches sí tiene un punto ciego importante: la TI en la sombra. Sin un inventario preciso del software que utilizan los empleados, es imposible hacer cumplir la aplicación de parches. Por eso el componente de descubrimiento de la gestión de la superficie de ataque es tan crítico.

Gestión de configuraciones

La gestión de configuraciones, al igual que la gestión de parches, es una forma de responder a vulnerabilidades identificadas; en este caso, vulnerabilidades que afectan a los propios dispositivos, no al software que se ejecuta en ellos. La configuración se refiere a las medidas de ciberseguridad proactiva que se establecen a nivel de dispositivo, como la aplicación de la autenticación multifactor o el cifrado. Aunque estas medidas puede aplicarlas individualmente el usuario final, se imponen con mayor eficacia mediante software de gestión de endpoints.

De nuevo, al igual que ocurre con la gestión de parches, la TI en la sombra complica la situación. Los dispositivos desconocidos y no gestionados pueden no cumplir los estándares de seguridad de su organización: no hay forma de saberlo. Y, como sucede con la gestión de parches, el componente de descubrimiento de la gestión de la superficie de ataque es crítico. Al identificar dispositivos que antes eran desconocidos e incorporarlos a la gestión, los equipos de TI pueden hacer cumplir las normas.

Formación de usuarios

Su superficie de ataque no es únicamente digital: también tiene un componente humano. El phishing y otras formas de ingeniería social aprovechan las vulnerabilidades humanas, a menudo encadenándolas con exposiciones digitales (vulnerabilidades de software, configuraciones incorrectas, etc.) para lanzar un ataque. Formar a los empleados ayuda a minimizar las exposiciones, igual que lo hace remediar las vulnerabilidades digitales.

Cómo conseguir apoyo para las medidas de ciberseguridad proactiva

Conseguir apoyo para las medidas de ciberseguridad proactiva es, en cierto modo, más difícil que para las medidas de ciberseguridad reactiva. La amenaza aún no se ha materializado, por lo que a las partes interesadas que no pertenecen al área de seguridad les resulta más difícil comprender las concesiones necesarias, como interrupciones temporales del negocio u otros aspectos que dificultan la productividad, al menos a corto plazo. La formación de usuarios exige tiempo en agendas ya de por sí ocupadas. El despliegue de parches puede dejar aplicaciones sin conexión o requerir resolución de problemas.

Para conseguir y mantener el apoyo a este tipo de medidas, los equipos de seguridad deben procurar minimizar la interrupción que puede causar la remediación (por ejemplo, mediante el despliegue por anillos, que implementa actualizaciones de software en “anillos” cada vez más amplios, identificando problemas y resolviéndolos en cada paso antes de extenderlas a toda la base de usuarios).

Un ejercicio de evaluación de riesgos también puede ayudar a que una amenaza que aún no se ha materializado resulte real para otras partes interesadas. Una medición objetiva de su exposición y del coste de los riesgos asociados —especialmente si puede cuantificar esa exposición en términos financieros— puede marcar la diferencia entre una aceptación a regañadientes y un verdadero apoyo a la seguridad proactiva.

Relacionado:Evaluar objetivamente el riesgo cibernético: guía para evaluaciones de riesgo basadas en datos

Por qué es importante la ciberseguridad proactiva

Una estrategia de ciberseguridad proactiva no está reñida con la seguridad reactiva: una organización sana cuenta con capacidades sólidas para abordar el riesgo antes y después de que se materialice. Pero las medidas preventivas mejoran su postura de riesgo y hacen que las ocasiones en que un riesgo llega a materializarse sean menos frecuentes y estén más espaciadas. Las medidas de ciberseguridad proactiva, como la gestión de la superficie de ataque, la aplicación de parches, las configuraciones adecuadas y la concienciación de los usuarios, son inversiones claras en la seguridad a largo plazo de su organización.