Explicación de la jerga de TI

¿Qué es una superficie de ataque?

Una superficie de ataque es la totalidad de posibles puntos de entrada que pueden utilizarse para acceder a un entorno de TI, normalmente con el fin de lanzar un ciberataque.

«Superficie de ataque» es un concepto que ha suscitado un interés creciente recientemente. Google Trends muestra un crecimiento sostenido de «superficie de ataque» como término de búsqueda durante los últimos cinco años.

Google Trends results for 'attack surface' from April 2018 to April 2023

Resultados de Google Trends para «superficie de ataque» de abril de 2018 a abril de 2023

El creciente interés por las superficies de ataque como tema coincide lógicamente con el crecimiento de las superficies de ataque reales. Dos tercios de las organizaciones afirman que sus superficies de ataque crecieron durante el último año. La expansión del trabajo remoto y el mayor uso de activos accesibles desde Internet, como aplicaciones en la nube y endpoints de IoT, figuran entre los principales impulsores.

La situación ha llegado a un punto en el que resulta fundamental que los profesionales de TI y seguridad no solo conozcan el tema, sino que también puedan actuar para identificar, gestionar y reducir las superficies de ataque de su organización.

Serie de informes de investigación sobre el estado de la ciberseguridad

Informe de gestión de la superficie de ataque 2024

Las superficies de ataque de las organizaciones se están ampliando rápidamente. La investigación de Ivanti analiza la magnitud del problema y las estrategias para una gestión integral de la superficie de ataque.

Informe de ASM

¿Qué es una superficie de ataque en ciberseguridad?

Como sucede con cualquier concepto técnico, al hablar de superficies de ataque es importante comprender la terminología asociada al concepto para que todas las partes utilicen un lenguaje común. Por tanto, empezaremos nuestra explicación de las superficies de ataque por ahí.

Las definiciones de «superficie de ataque» varían. Estas son algunas de autoridades de referencia en el ámbito de la ciberseguridad:

Definiremos «superficie de ataque» como la totalidad de posibles puntos de entrada que pueden utilizarse para acceder a un entorno de TI, normalmente con el fin de lanzar un ciberataque. Esos puntos de entrada pueden ser digitales, físicos o humanos.


Más información: 8 prácticas recomendadas para reducir la superficie de ataque de su organización

¿Qué es una superficie de ataque digital?

Las superficies de ataque digitales comprenden todo aquello que expone la infraestructura y los sistemas de TI de una organización —ya estén en la nube o en local— a terceros con conexión a Internet. En otras palabras, los puntos de entrada digitales a su entorno.

Hay quienes consideran que las superficies de ataque digitales son básicamente superficies de ataque de red, ya que constan de todo el hardware y software conectado a la red de una empresa. Sin embargo, los componentes que conforman una superficie de ataque digital son numerosos y variados. Más allá de «hardware» y «software», esos componentes incluyen, entre otros:

  • Código.
  • Aplicaciones y servidores expuestos a Internet.
  • Configuración incorrecta de sistemas, activos y herramientas de TI.
  • Activos de TI obsoletos, como dispositivos y aplicaciones.
  • Contraseñas.
  • Puertos.
  • Puntos de acceso no autorizados.
  • TI en la sombra.
  • Base de datos compartida.
  • Directorios compartidos.
  • Vulnerabilidades en software, firmware y sistemas operativos.
  • Sitios web.

Los atacantes pueden explotar todos estos elementos para acceder a un entorno de TI.

¿Qué es una superficie de ataque física?

Las superficies de ataque físicas hacen referencia a cualquier objeto físico que pueda ser objetivo de actores maliciosos. Del mismo modo que algunos consideran que las superficies de ataque digitales son superficies de ataque de red, casi podría clasificarse a las superficies de ataque físicas como superficies de ataque de endpoints, ya que suelen estar compuestas principalmente por ordenadores de sobremesa, portátiles, dispositivos móviles y dispositivos IoT. Estos dispositivos a menudo acaban en manos de actores maliciosos tras perderse o ser robados.

Además de los endpoints, las superficies de ataque físicas también incluyen:

  • Puertos USB.
  • Cámaras de seguridad y webcams USB.
  • Discos duros.
  • Hardware de red.
  • Equipos de oficina, como impresoras.
  • Puntos de entrada a ubicaciones físicas, como oficinas y centros de datos.
  • Datos de usuario y credenciales de inicio de sesión almacenados en hardware desechado o escritos en papel.
  • Tarjetas de identificación de empleados, llaveros de acceso o tokens de autenticación perdidos.

En resumen, si es algo que se puede tocar físicamente, forma parte de una superficie de ataque física.

¿Qué es una superficie de ataque humana?

Se presta mucha atención a las superficies de ataque de redes y endpoints, pero existe otra superficie de ataque que a menudo se pasa por alto: la superficie de ataque humana. Esto podría explicar por qué el 74 % de las brechas analizadas para el Informe de investigación de brechas de datos de 2023 (DBIR) de Verizon implicaron un elemento humano.

Las superficies de ataque humanas se forman por el incumplimiento, por parte de usuarios o administradores, de las prácticas recomendadas de seguridad. Estos fallos consisten principalmente en personas que caen en ataques de ingeniería social. Según el informe de Verizon, el phishing y el pretexting —que a menudo se utiliza junto con el phishing— son los dos tipos de ingeniería social que causan más víctimas. No sorprende que el 43 % de las organizaciones encuestadas para el Press Reset: informe sobre el estado de la ciberseguridad 2023 hayan sufrido un ataque de phishing en los últimos dos años.

Otros componentes que conforman una superficie de ataque humana pueden incluir:

  • No aplicar parches a los sistemas de forma periódica.
  • Uso de contraseñas débiles y reutilizadas.
  • Asignación incorrecta de privilegios de usuario.
  • Dejar abierta la puerta de un edificio de oficinas.
  • Permitir que personas no autorizadas entren a rebufo o se cuelen detrás en un espacio seguro.
  • No eliminar fallos de diseño de la red.
  • Permitir el robo de información confidencial mediante observación por encima del hombro.
  • Caer en un ataque de señuelo al conectar una unidad USB desconocida a un ordenador.
  • Desechar datos confidenciales de forma inadecuada.

La lista es interminable. Y aunque los ejemplos compartidos hasta ahora suelen ser actos involuntarios atribuibles a la ingenuidad y la negligencia, las superficies de ataque humanas también incluyen las acciones deliberadas de usuarios internos maliciosos. Según la Cybersecurity & Infrastructure Security Agency (CISA), una amenaza intencionada es «la posibilidad de que una persona interna utilice su acceso autorizado o su conocimiento de una organización para perjudicar a dicha organización».

Tenga en cuenta que distintos vectores de ataque pueden considerarse parte de varios tipos de superficies de ataque. Por ejemplo, la puerta dejada abierta podría considerarse parte tanto de una superficie de ataque humana, ya que la dejó abierta una persona, como de una superficie de ataque física, porque la puerta es un objeto físico que ofrece entrada a una ubicación física. Lo verdaderamente importante no es el tipo de superficie de ataque al que se atribuye un vector de ataque, sino que usted identifique, gestione y, cuando sea posible, elimine dicho vector.


Más información: Descubrimiento de la superficie de ataque: cómo identificar la superficie de ataque de su organización