Gestión de la superficie de ataque
Su superficie de ataque es todo lo que un atacante puede apuntar. Cada servidor, cada puerto abierto, cada aplicación web, cada endpoint de API, cada correo de empleado, cada integración de terceros. Cuanto más grande sea su superficie de ataque, más oportunidades tienen los atacantes de encontrar una vía de entrada.
La mayoría de las empresas no conocen su superficie de ataque completa. Servidores olvidados, entornos de prueba que quedan en línea, TI en la sombra, activos de empresas adquiridas, integraciones de terceros — estos crean puntos ciegos. Los atacantes buscan exactamente estos puntos ciegos porque a menudo están menos protegidos.
La Gestión de la Superficie de Ataque (ASM) es la práctica de descubrir, catalogar y reducir continuamente su exposición. Este capítulo cubre qué son las superficies de ataque, cómo descubrir la suya y qué herramientas le ayudan a ver lo que ven los atacantes.
Por qué esto importa para las pequeñas empresas
Las pequeñas empresas a menudo piensan que su superficie de ataque es pequeña. No lo es. Una empresa típica de 50 personas podría tener:
- 5–10 aplicaciones web públicas
- 20–50 subdominios (muchos olvidados)
- Recursos en la nube en 2–3 proveedores
- Integraciones SaaS con docenas de proveedores
- Empleados remotos con dispositivos personales
- Contratistas externos con acceso al sistema
No puede proteger lo que no sabe que existe. ¿Ese servidor de prueba de 2021 con credenciales predeterminadas? ¿El entorno de staging con copia de la base de datos de producción? ¿La página de destino de marketing en un proveedor de alojamiento diferente? Estos son a menudo los puntos de entrada que los atacantes encuentran primero.
Los atacantes automatizan el descubrimiento. Herramientas como Shodan, Censys y scripts personalizados escanean continuamente todo Internet. Su activo mal configurado será encontrado, catalogado y sondeado — generalmente pocas horas después de ponerse en línea. Investigación de Palo Alto Networks encontró que el 80% de las exposiciones de seguridad son desconocidas para las organizaciones que las padecen.
Los equipos pequeños carecen de visibilidad. Sin personal de seguridad dedicado, nadie rastrea qué está expuesto. Los desarrolladores aprovisionan recursos, el marketing lanza campañas en nuevas plataformas y TI pierde el rastro de qué existe dónde.
¿Qué es una superficie de ataque?
Una superficie de ataque es la suma de todos los puntos donde un atacante podría intentar entrar o extraer datos de su entorno. Piense en ella como todas las puertas, ventanas y posibles puntos de entrada a un edificio — excepto en términos digitales.
Tipos de superficies de ataque
| Tipo | Qué incluye | Ejemplos |
|---|---|---|
| Red | Todos los activos accesibles por red | Puertos abiertos, servicios expuestos, VPNs, firewalls |
| Aplicación | Aplicaciones web, APIs, aplicaciones móviles | Páginas de inicio de sesión, APIs, paneles de administración, subidas de archivos |
| Nube | Recursos y configuraciones en la nube | Buckets S3, instancias EC2, configuraciones incorrectas de IAM |
| Humano | Personas y su acceso | Objetivos de phishing, ingeniería social, credenciales |
| Físico | Puntos de acceso físico | Salas de servidores, puertos USB, acceso con tarjeta |
| Cadena de suministro | Dependencias de terceros | Proveedores SaaS, bibliotecas de código abierto, contratistas |
Para la seguridad de TI y servidores, nos enfocamos principalmente en las superficies de ataque de red, aplicación y nube — estas son las que los atacantes pueden alcanzar de forma remota.
Superficie de ataque externa vs. interna
Superficie de ataque externa: Todo lo visible desde Internet. Esto es lo que los atacantes ven sin ningún acceso previo. Incluye IPs públicas, dominios, servicios expuestos.
Superficie de ataque interna: Lo que es visible una vez dentro de su red. Asume que el atacante tiene un punto de apoyo inicial (laptop de empleado comprometida, éxito de phishing, etc.). Incluye servicios internos, bases de datos, comparticiones de archivos.
La mayoría de la Gestión de la Superficie de Ataque se enfoca en las superficies externas — reducir lo que los atacantes pueden ver desde el exterior. Pero la superficie interna importa para limitar el daño tras la brecha inicial.
Componentes de la superficie de ataque de servidor/TI
Para un entorno TI típico de una pequeña empresa:
Capa de red
Activos orientados a Internet que rastrear:
- Servidores web (80, 443)
- Servidores API (443, 8080)
- Endpoints VPN (443, 1194, 500)
- Bastiones SSH (22)
- Servidores de correo (25, 587, 993)
- Servidores DNS (53)
- Puertos de base de datos si están expuestos (3306, 5432, 27017)
- Escritorio remoto (3389)
- Paneles de administración (
/admin,/wp-admin,/phpmyadmin)
Cada puerto abierto es un punto de entrada potencial. Cada servicio que se ejecuta detrás de esos puertos podría tener vulnerabilidades.
Capa DNS y de dominio
Sus dominios y subdominios revelan mucho:
empresa.com
├── www.empresa.com → Sitio web de producción
├── app.empresa.com → Aplicación principal
├── api.empresa.com → Servidor API
├── staging.empresa.com → Staging (a menudo menos seguro)
├── dev.empresa.com → Desarrollo (a veces expuesto)
├── mail.empresa.com → Servidor de correo
├── vpn.empresa.com → Endpoint VPN
├── jenkins.empresa.com → CI/CD (objetivo valioso)
├── grafana.empresa.com → Monitorización (expone la arquitectura)
├── old.empresa.com → Aplicación legacy (olvidada, vulnerable)
└── test-12345.empresa.com → Servidor de prueba (¿credenciales predeterminadas?)
La enumeración de subdominios es uno de los primeros pasos que dan los atacantes. Los subdominios viejos y olvidados son a menudo los eslabones más débiles.
Capa de aplicación
Cada aplicación amplía la superficie de ataque:
| Componente | Elementos de la superficie de ataque |
|---|---|
| Autenticación | Formularios de inicio de sesión, restablecimiento de contraseña, gestión de sesiones |
| Manejo de archivos | Formularios de subida, descargas de archivos, path traversal |
| Entrada de usuario | Formularios, búsqueda, APIs que aceptan datos |
| APIs | Endpoints, autenticación, limitación de tasa |
| Interfaces de administración | Paneles de administración, backends de CMS, herramientas de base de datos |
| Integraciones de terceros | OAuth, webhooks, contenido incrustado |
Capa de nube
Los recursos en la nube crean su propia superficie de ataque:
| Recurso | Riesgo de exposición |
|---|---|
| Buckets S3/GCS | Acceso público, listado habilitado |
| Metadatos de EC2/VM | SSRF a 169.254.169.254 |
| Credenciales IAM | Claves filtradas, roles excesivamente permisivos |
| Lambda/Cloud Functions | Ejecución de código, exposición de secretos |
| Registros de contenedores | Imágenes públicas con secretos |
| APIs de Kubernetes | Paneles expuestos, servidores API |
Descubrimiento de la superficie de ataque
Antes de poder reducir su superficie de ataque, necesita saber cuál es. El descubrimiento implica técnicas tanto pasivas (no intrusivas) como activas (escaneo).
Descubrimiento pasivo
Recopile información sin tocar los sistemas objetivo:
Enumeración DNS:
# Encontrar subdominios usando fuentes públicas
# subfinder - descubrimiento pasivo de subdominios
subfinder -d empresa.com -o subdomains.txt
# amass - enumeración completa
amass enum -passive -d empresa.com -o amass-results.txt
# Verificar los registros de Transparencia de Certificados
curl -s "https://crt.sh/?q=%.empresa.com&output=json" | jq -r '.[].name_value' | sort -u
WHOIS y registros DNS:
# Información WHOIS
whois empresa.com
# Todos los registros DNS
dig empresa.com ANY
# Encontrar todos los registros A para subdominios
cat subdomains.txt | xargs -I {} dig {} A +short
Motores de búsqueda y bases de datos públicas:
# Google dorks (buscar manualmente)
site:empresa.com
site:empresa.com filetype:pdf
site:empresa.com inurl:admin
# Shodan (requiere cuenta)
shodan search "empresa.com"
shodan search "org:Nombre de empresa"
# Censys
censys search "empresa.com"
Descubrimiento activo
Sondee directamente su infraestructura:
Escaneo de puertos:
# Nmap - escaneo completo de puertos
nmap -sS -sV -p- --open -oA scan-results target.empresa.com
# Escaneo rápido de puertos comunes
nmap -sS -p 21,22,23,25,53,80,110,143,443,445,3306,3389,5432,8080 empresa.com
# Masscan - muy rápido, usar con cuidado
masscan -p1-65535 --rate=10000 -oL results.txt IP_RANGE
Identificación de servicios:
# Banner grabbing
nc -v target.empresa.com 22
nc -v target.empresa.com 80
# Cabeceras HTTP
curl -I https://empresa.com
# Información SSL/TLS
openssl s_client -connect empresa.com:443 </dev/null | openssl x509 -text
Descubrimiento de aplicaciones web:
# Encontrar directorios y archivos
gobuster dir -u https://empresa.com -w /usr/share/wordlists/common.txt
# Detección de tecnología
whatweb https://empresa.com
# CLI de Wappalyzer
wappalyzer https://empresa.com
Reducción de la superficie de ataque
El descubrimiento solo es útil si actúa sobre él. Así se reduce su superficie de ataque:
Eliminar la exposición innecesaria
| Acción | Cómo implementarla |
|---|---|
| Cerrar puertos no utilizados | Reglas de firewall, grupos de seguridad, deshabilitar servicios |
| Eliminar aplicaciones antiguas | Auditar y retirar aplicaciones no utilizadas |
| Eliminar subdominios olvidados | Eliminar registros DNS para hosts no utilizados |
| Deshabilitar funciones no utilizadas | Apagar servicios que no necesita |
| Eliminar páginas predeterminadas | Borrar páginas predeterminadas de Apache/nginx |
| Bloquear paneles de administración desde Internet | Acceso solo por VPN, lista de IPs permitidas |
Minimizar lo que está expuesto
# Ejemplo: Restringir el acceso SSH solo a VPN (AWS Security Group)
aws ec2 authorize-security-group-ingress \
--group-id sg-xxx \
--protocol tcp \
--port 22 \
--source-group sg-vpn-only
# Eliminar el acceso público a SSH
aws ec2 revoke-security-group-ingress \
--group-id sg-xxx \
--protocol tcp \
--port 22 \
--cidr 0.0.0.0/0
Fortalecer lo que queda
Para los servicios que deben ser públicos:
- Usar Web Application Firewall (WAF)
- Habilitar limitación de tasa
- Implementar autenticación fuerte
- Mantener el software actualizado
- Monitorizar anomalías
- Usar HTTPS en todas partes
- Deshabilitar métodos HTTP innecesarios
- Establecer cabeceras de seguridad
Segmentación de red
Limite el radio de explosión si algo se ve comprometido:
El tráfico fluye a través de cuatro niveles, cada uno aislado de los demás:
- Internet → WAF / CDN — todo el tráfico público pasa por un firewall de aplicaciones web o CDN antes de llegar a su infraestructura
- DMZ (pública) — servidores web, gateway de API, balanceador de carga; expuesto a Internet pero aislado de los sistemas internos
- Nivel de aplicación — servidores de aplicaciones y trabajadores en segundo plano; accesibles solo desde la DMZ, no directamente desde Internet
- Nivel de datos — bases de datos, caché, almacenamiento; accesibles solo desde el nivel de aplicación
Cada nivel solo puede comunicarse con los niveles adyacentes. Los servidores de base de datos no pueden ser alcanzados desde Internet.
Herramientas de gestión de la superficie de ataque
Herramientas gratuitas / de código abierto
Descubrimiento y enumeración
| Herramienta | Propósito | Instalación | Enlace |
|---|---|---|---|
| Subfinder | Descubrimiento de subdominios | go install github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest | github.com/projectdiscovery/subfinder |
| Amass | Enumeración completa | go install github.com/owasp-amass/amass/v4/...@master | github.com/owasp-amass/amass |
| httpx | Sondeo HTTP | go install github.com/projectdiscovery/httpx/cmd/httpx@latest | github.com/projectdiscovery/httpx |
| dnsx | Kit de herramientas DNS | go install github.com/projectdiscovery/dnsx/cmd/dnsx@latest | github.com/projectdiscovery/dnsx |
| Nmap | Escaneo de puertos | apt install nmap / brew install nmap | nmap.org |
| Masscan | Escaneo rápido de puertos | apt install masscan | github.com/robertdavidgraham/masscan |
| Rustscan | Escaneo rápido de puertos | cargo install rustscan | github.com/RustScan/RustScan |
Escaneo de vulnerabilidades
| Herramienta | Propósito | Instalación | Enlace |
|---|---|---|---|
| Nuclei | Escáner de vulnerabilidades basado en plantillas | go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest | github.com/projectdiscovery/nuclei |
| Nikto | Escáner de servidores web | apt install nikto | github.com/sullo/nikto |
| OWASP ZAP | Escáner de seguridad de aplicaciones web | Descargar del sitio web | zaproxy.org |
| OpenVAS | Escáner de vulnerabilidades completo | Imagen Docker disponible | openvas.org |
| Trivy | Escaneo de contenedores e IaC | brew install trivy | trivy.dev |
| testssl.sh | Prueba de configuración SSL/TLS | git clone https://github.com/drwetter/testssl.sh | testssl.sh |
Inteligencia y reconocimiento
| Herramienta | Propósito | Acceso | Enlace |
|---|---|---|---|
| Shodan | Datos de escaneo de todo Internet | Nivel gratuito disponible | shodan.io |
| Censys | Búsqueda de activos en Internet | Nivel gratuito disponible | censys.io |
| SecurityTrails | Historial DNS, subdominios | Nivel gratuito disponible | securitytrails.com |
| BuiltWith | Detección de tecnología | Nivel gratuito disponible | builtwith.com |
| crt.sh | Transparencia de Certificados | Gratis | crt.sh |
| Have I Been Pwned | Datos de brechas | API gratuita | haveibeenpwned.com |
Herramientas comerciales / empresariales
Para organizaciones que necesitan monitorización continua y soluciones gestionadas:
| Herramienta | Categoría | Precio | Mejor para |
|---|---|---|---|
| Detectify | ASM externo, DAST | Desde $275/mes | Seguridad de aplicaciones web, monitorización continua |
| Intruder | Escaneo de vulnerabilidades | Desde $108/mes | Equipos pequeños, configuración fácil |
| UpGuard | Riesgo de proveedores, ASM | Basado en presupuesto | Gestión de riesgos de terceros |
| Qualys CSAM | Seguridad en la nube, ASM | Basado en presupuesto | Empresarial, multi-nube |
| Tenable.io | Gestión de vulnerabilidades | Basado en presupuesto | Gestión completa de vulnerabilidades |
| CrowdStrike Falcon Surface | ASM externo | Basado en presupuesto | Empresarial, integración de inteligencia de amenazas |
| Microsoft Defender EASM | ASM externo | Basado en presupuesto | Entornos con mucho Azure |
| Palo Alto Cortex Xpanse | ASM empresarial | Basado en presupuesto | Grandes empresas |
| Mandiant Attack Surface Management | ASM informado por amenazas | Basado en presupuesto | Enfoque en inteligencia de amenazas |
Plataformas todo en uno (con niveles gratuitos)
| Plataforma | El nivel gratuito incluye | Características de pago | Enlace |
|---|---|---|---|
| ProjectDiscovery Cloud | Subfinder, httpx, nuclei en la nube | Funciones de equipo, monitorización continua | cloud.projectdiscovery.io |
| Shodan | Búsquedas limitadas | Monitorización continua, acceso a API | shodan.io |
| Snyk | Escaneo de código abierto | Contenedor, IaC, escaneo de código | snyk.io |
| Intruder | 1 aplicación | Más aplicaciones, escaneo continuo | intruder.io |
Guía de selección de herramientas
Para una pequeña empresa que comienza con ASM:
| Presupuesto | Stack recomendado |
|---|---|
| $0 | Subfinder + httpx + Nuclei + Nmap + Shodan (nivel gratuito) |
| $100–300/mes | Lo anterior + Intruder o Detectify para monitorización continua |
| $500+/mes | Plataforma ASM empresarial (Tenable, Qualys, Microsoft EASM) |
Auditoría práctica de la superficie de ataque
Aquí hay un proceso paso a paso para auditar su superficie de ataque:
Paso 1: Inventario de activos
Empiece con lo que conoce:
## Inventario de activos conocidos
### Dominios
- empresa.com (principal)
- empresa.io (redirección)
- empresaapp.com (producto)
### Cuentas en la nube
- AWS: account-id-1 (producción)
- AWS: account-id-2 (staging)
- GCP: project-name
### Rangos de IP
- AWS: dinámico (verificar Security Groups)
- Oficina: 203.0.113.0/24
### Servicios de terceros
- GitHub
- Slack
- Jira
- Salesforce
- etc.
Paso 2: Enumeración de subdominios
# Ejecutar múltiples herramientas y combinar resultados
subfinder -d empresa.com -silent >> all_subs.txt
amass enum -passive -d empresa.com >> all_subs.txt
curl -s "https://crt.sh/?q=%.empresa.com&output=json" | jq -r '.[].name_value' >> all_subs.txt
# Deduplicar
sort -u all_subs.txt > subdomains.txt
# Verificar cuáles están activos
cat subdomains.txt | httpx -silent -o alive_subs.txt
Paso 3: Escaneo de puertos
# Obtener IPs para subdominios activos
cat alive_subs.txt | dnsx -silent -a -resp-only > ips.txt
# Escanear puertos comunes
nmap -sS -sV -p 21,22,23,25,53,80,110,143,443,445,993,995,3306,3389,5432,8080,8443 \
-iL ips.txt -oA nmap_results
Paso 4: Identificación de servicios
# Sondear servicios HTTP
cat alive_subs.txt | httpx -tech-detect -status-code -title -o http_info.txt
# Verificar rutas interesantes
cat alive_subs.txt | while read url; do
echo "Checking $url"
gobuster dir -u "$url" -w common.txt -q -o "gobuster_$(echo $url | tr '/:' '_').txt"
done
Paso 5: Escaneo de vulnerabilidades
# Ejecutar Nuclei con plantillas comunes
nuclei -l alive_subs.txt -t cves/ -t exposures/ -t misconfiguration/ -o vulnerabilities.txt
# Verificar la configuración SSL/TLS
cat alive_subs.txt | while read url; do
testssl.sh --quiet "$url"
done
Paso 6: Documentar y priorizar
## Resultados de auditoría de la superficie de ataque
### Hallazgos críticos
1. `dev.empresa.com` - SSH expuesto a Internet, OpenSSH desactualizado
2. `jenkins.empresa.com` - Sin autenticación requerida
3. `api.empresa.com` - Introspección de GraphQL habilitada
### Hallazgos altos
1. `staging.empresa.com` - Usa la base de datos de producción
2. `old.empresa.com` - Ejecuta versión PHP EOL
3. Múltiples servicios sin redirección HTTPS
### Hallazgos medios
1. Cabeceras de seguridad faltantes en varias aplicaciones
2. TLS 1.0/1.1 todavía habilitado
3. Las páginas de error predeterminadas exponen versiones de tecnología
### Prioridades de remediación
| Hallazgo | Responsable | Fecha límite | Estado |
|---------|-------------|-------------|--------|
| Autenticación Jenkins | DevOps | 24 horas | En progreso |
| Exposición SSH | DevOps | 24 horas | Abierto |
| BD de staging | Dev | 1 semana | Abierto |
Monitorización continua
Una auditoría única no es suficiente. Su superficie de ataque cambia constantemente:
- Se crean nuevos subdominios
- Se aprovisionan recursos en la nube
- Los servicios se exponen accidentalmente
- Los certificados expiran
- Se descubren nuevas vulnerabilidades
Configuración de monitorización automatizada
Escaneo semanal de subdominios (GitHub Actions):
name: Attack Surface Monitor
on:
schedule:
- cron: '0 8 * * 1' # Cada lunes a las 8 AM
workflow_dispatch:
jobs:
scan:
runs-on: ubuntu-latest
steps:
- name: Install tools
run: |
go install github.com/projectdiscovery/subfinder/v2/cmd/subfinder@latest
go install github.com/projectdiscovery/httpx/cmd/httpx@latest
go install github.com/projectdiscovery/nuclei/v3/cmd/nuclei@latest
- name: Subdomain enumeration
run: subfinder -d empresa.com -o subdomains.txt
- name: Probe alive hosts
run: cat subdomains.txt | httpx -silent -o alive.txt
- name: Compare with baseline
run: |
# Descargar línea de base anterior
# Comparar y alertar sobre nuevos subdominios
comm -23 alive.txt baseline.txt > new_hosts.txt
if [ -s new_hosts.txt ]; then
echo "New hosts discovered:"
cat new_hosts.txt
# Enviar alerta (Slack, correo, etc.)
fi
- name: Vulnerability scan new hosts
run: |
if [ -s new_hosts.txt ]; then
nuclei -l new_hosts.txt -t cves/ -t exposures/ -severity high,critical
fi
- name: Update baseline
run: cp alive.txt baseline.txt
# Confirmar y empujar la línea de base
Monitorización en Shodan:
# Crear alerta de Shodan para su organización
shodan alert create "Company Assets" "net:YOUR_IP_RANGE"
# O monitorizar consultas específicas
shodan alert create "Open MongoDB" "org:CompanyName mongodb"
Alertar sobre cambios
Configure notificaciones para:
- Nuevos subdominios que aparecen
- Nuevos puertos abiertos detectados
- Certificados SSL que expiran
- Nuevas vulnerabilidades que coinciden con su stack
- Credenciales que aparecen en volcados de brechas
Errores comunes a evitar
Ejecutar escaneos sin autorización. Incluso contra su propia infraestructura, coordine con TI. El escaneo agresivo puede activar alertas, que se bloquee su IP o causar problemas en el servicio.
Solo auditorías únicas. La superficie de ataque cambia constantemente. Un escaneo de hace 6 meses no refleja la realidad actual. Automatice el escaneo regular.
Enfocarse solo en el dominio principal. Verifique los dominios de empresas adquiridas, dominios de productos antiguos y dominios usados para campañas de marketing. Los atacantes los verifican todos.
Ignorar el desarrollo y el staging. Estos entornos a menudo tienen menor seguridad pero datos reales. Son objetivos principales.
No actuar sobre los hallazgos. Un informe hermoso no significa nada si las vulnerabilidades permanecen abiertas. Rastree la remediación, establezca fechas límite, haga seguimiento.
Escanear producción en horas pico. Programe los escaneos pesados para horas de menor actividad. Algunas herramientas pueden afectar el rendimiento.
Ejemplos del mundo real
Toma de control de subdominio de Uber (2019): Los investigadores de seguridad descubrieron que saostatic.uber.com apuntaba a un bucket S3 sin reclamar. Podrían haber reclamado el bucket y servido contenido malicioso en un dominio legítimo de Uber. Fuente: HackerOne
Tomas de control de subdominios de Microsoft (en curso): Los investigadores encuentran regularmente registros DNS colgantes que apuntan a recursos de Azure retirados. Cualquiera puede reclamar estos recursos y secuestrar el subdominio. Fuente: The Hacker News
Toma de control de subdominio de Starbucks (2020): El subdominio abandonado que apuntaba a Azure permitió a los investigadores tomar el control y demostrar el potencial para phishing y robo de cookies. Fuente: Detectify
Incidentes de exposición de paneles de administración: Innumerables empresas han sido vulneradas a través de paneles de administración expuestos (Jenkins, Grafana, Kibana, phpMyAdmin) encontrados mediante Shodan. Estos paneles a menudo tienen credenciales predeterminadas o autenticación ausente.
Taller: auditoría de la superficie de ataque
Parte 1: Descubrimiento
-
Liste sus dominios conocidos:
Principal: empresa.com
Productos: app.empresa.com, api.empresa.com
Corporativo: careers.empresa.com, blog.empresa.com
Antiguos: legacy.empresa.com, v1.empresa.com -
Ejecute la enumeración de subdominios:
subfinder -d empresa.com -o discovered.txt
cat discovered.txt | wc -l
# ¿Cuántos NO conocía? -
Verifique cuáles están activos:
cat discovered.txt | httpx -silent -status-code -title -
Documente los activos desconocidos — añádalos a su inventario
Parte 2: Análisis
-
Escanee de puertos sus IPs públicas:
nmap -sS -sV -p- your_public_ip -
Para cada puerto abierto, documente:
- ¿Debería estar abierto este puerto?
- ¿Está el servicio actualizado?
- ¿Se requiere autenticación?
-
Verifique Shodan para su organización:
- Busque el nombre de su empresa
- Busque sus rangos de IP
- ¿Qué ve Shodan?
Parte 3: Reducción
-
Identifique 3 cosas a eliminar:
- Cerrar puertos innecesarios
- Eliminar subdominios olvidados
- Restringir el acceso al panel de administración
-
Cree un plan de remediación con fechas límite
-
Implemente cambios y vuelva a escanear para verificar
Artefactos a producir
- Documento de inventario de activos — todos los dominios, IPs y recursos en la nube conocidos
- Lista de subdominios — enumeración completa con estado
- Informe de superficie de ataque — hallazgos categorizados por gravedad
- Plan de remediación — correcciones priorizadas con responsables y fechas límite
- Automatización de monitorización — flujo de trabajo de escaneo programado
Preguntas de autoevaluación
- ¿Cuál es la diferencia entre la superficie de ataque externa e interna?
- Nombre tres herramientas para la enumeración de subdominios.
- ¿Por qué los entornos de staging son a menudo riesgos de seguridad?
- ¿Qué es la toma de control de subdominios y cómo ocurre?
- ¿Con qué frecuencia debería escanear su superficie de ataque?
- ¿Qué es lo primero que buscan los atacantes en Shodan?
- ¿Cómo reduce la superficie de ataque sin afectar las operaciones del negocio?
- ¿Qué información revela la Transparencia de Certificados?
Cómo explicar esto al liderazgo
Empiece con la visibilidad: «Hicimos una auditoría y descubrimos que tenemos 47 subdominios, no los 15 que pensábamos. Algunos son servidores antiguos que olvidamos.»
Cuantifique el riesgo: «Los atacantes usan herramientas automatizadas para encontrar activos expuestos. Ahora mismo, Shodan muestra [X servicios] que estamos ejecutando. Algunos no deberían ser visibles.»
Muestre hallazgos concretos: «Encontramos un servidor de desarrollo antiguo con acceso a datos de clientes. Usaba credenciales predeterminadas. Lo hemos asegurado.»
Proponga la monitorización: «Una sola auditoría no es suficiente. Por $0–$300/mes, podemos configurar una monitorización continua que nos alerte cuando algo cambie.»
Conecte con los incidentes: «Las empresas son vulneradas a través de activos olvidados todo el tiempo. Uber perdió 57 millones de registros a través de un bucket S3 expuesto. Estamos reduciendo ese riesgo.»
Enlaces y recursos
Herramientas de descubrimiento
- ProjectDiscovery tools suite — subfinder, httpx, nuclei y más
- OWASP Amass — enumeración completa
- Nmap — escaneo de red
- Shodan — base de datos de escaneo de todo Internet
- Censys — búsqueda de activos en Internet
Escaneo de vulnerabilidades
- Nuclei templates — plantillas de detección de vulnerabilidades
- OWASP ZAP — escáner de aplicaciones web
- OpenVAS — escáner de vulnerabilidades completo
Mejores prácticas
- OWASP Attack Surface Analysis
- NIST Cybersecurity Framework — incluye gestión de activos
- CIS Controls — inventario y control de activos
Plataformas comerciales
- Detectify — ASM externo
- Intruder — escaneo de vulnerabilidades
- Microsoft Defender EASM
Conclusión
No puede proteger lo que no conoce. La gestión de la superficie de ataque es la disciplina de conocer su exposición antes de que un atacante la encuentre por usted.
Ejecute el escaneo. Corrija el servidor olvidado. Expire el subdominio no utilizado. La fruta más fácil de coger siempre está ahí.
Qué sigue
Siguiente: construir una comunidad de Security Champions — escalar la seguridad más allá de una persona construyendo una red de campeones en todos los equipos.