enero 21, 2026
xmcyber.jpg

Gartner® no crea nuevas categorías a la ligera. Generalmente, un nuevo acrónimo sólo surge cuando la “lista de tareas pendientes” colectiva de la industria ya no puede completarse matemáticamente. Por lo tanto, parece que la introducción de la categoría Plataformas de evaluación de exposición (EAP) es una admisión formal de que la gestión de vulnerabilidades (VM) tradicional ya no es una forma viable de proteger una empresa moderna.

El alejamiento de lo tradicional Guía del mercado de evaluación de vulnerabilidades a lo nuevo Cuadrante Mágico para EAP representa un alejamiento del “tubo de vulnerabilidad”, es decir, el flujo interminable de CVE, hacia un modelo de Gestión Continua de la Exposición a Amenazas (CTEM). Para nosotros, esto es más que un simple cambio de terminología; Es un intento de resolver la paradoja del “callejón sin salida” que ha afectado a los equipos de seguridad durante una década.

En el primer informe del Cuadrante Mágico de la categoría, Gartner evaluó a 20 proveedores según su capacidad para respaldar la detección continua, la priorización basada en riesgos y la visibilidad integrada en las capas de identidad, en las instalaciones y en la nube. En este artículo, profundizamos en los hallazgos clave del informe, los impulsores detrás de la nueva categoría, las características que la definen y lo que creemos que son las conclusiones para los equipos de seguridad.

Por qué la evaluación de la exposición está en aumento

Las herramientas de seguridad siempre han prometido reducir el riesgo, pero en su mayoría sólo han hecho ruido. Un producto revelaría una mala configuración. Otro registraría una desviación de privilegios. Un tercero señalaría los activos externos en riesgo. El resultado es una crisis de volumen que ha llevado a una fatiga crónica de alerta en el SOC. Cada herramienta proporcionó una pieza del rompecabezas, pero ninguna fue capaz de juntar todas las piezas y explicar cómo ocurre la exposición… o qué se debe arreglar primero para evitarla.

El escepticismo sobre las herramientas VM más antiguas está justificado. Los datos de más de 15.000 entornos muestran que el 74% de los peligros identificados son “callejones sin salida”, ubicados en activos que no tienen un camino viable hacia un sistema crítico. En el modelo anterior, un equipo de seguridad podía dedicar el 90% de su esfuerzo de remediación a resolver estos callejones sin salida, reduciendo efectivamente el riesgo para los procesos de negocios.

Se supone que los EAP deben responder a esto. Reúnen todas estas piezas en una vista unificada que rastrea cómo los sistemas, las identidades y las vulnerabilidades interactúan y se revelan en entornos del mundo real. Cómo De hecho, un atacante podría utilizarlo para acceder a activos críticos desde un entorno de desarrollo de bajo riesgo.

Este modelo está ganando importancia porque refleja el enfoque de los atacantes. Los actores de amenazas no se limitan a un solo error. Tienen controles débiles, privilegios desalineados y puntos ciegos de detección. El modelo EAP rastrea cómo se acumulan los riesgos en diferentes entornos y lleva a los atacantes a recursos accesibles. Las plataformas de esta categoría pretenden mostrar dónde surgen los riesgos, cómo se propagan y qué condiciones favorecen el movimiento de los atacantes.

Gartner espera que las empresas que adopten este enfoque lo hagan Reducir el tiempo de inactividad no planificado en un 30 % para 2027. Un resultado tan dramático se basa en un cambio igualmente dramático en la forma en que se define, modela y operacionaliza la exposición en todos los entornos. El cambio está afectando todos los niveles del flujo de trabajo de seguridad, desde la forma en que se conectan las señales hasta la forma en que los equipos deciden qué arreglar primero.

Desglose: de listas estáticas a exposición en movimiento

Este cambio en el flujo de trabajo comienza con la forma en que los EAP identifican y conectan las condiciones que generan riesgo. Las plataformas de evaluación de amenazas adoptan un enfoque diferente al de las herramientas de vulnerabilidad tradicionales. Se basan en una serie de funciones específicas:

  • Consolidan el descubrimiento en todos los entornos. Los EAP escanean continuamente redes internas, cargas de trabajo en la nube y sistemas de cara al usuario para identificar activos conocidos y no rastreados, así como identidades no administradas, roles mal configurados y sistemas heredados que pueden no aparecer en los inventarios estándar.
  • Priorizas según el contexto, no solo la gravedad. La vulnerabilidad se clasifica en función de varios parámetros: importancia de los activos, rutas de acceso, explotabilidad y cobertura de control. Esto permite a los equipos ver qué problemas se pueden solucionar, cuáles están aislados y cuáles permiten el movimiento lateral.
  • Integra los datos de exposición en los procesos operativos. La cuestión del EAP tiene como objetivo apoyar la acción. Las plataformas se conectan a herramientas de seguridad y TI para que se puedan asignar, rastrear y resolver conocimientos sobre los sistemas existentes, sin esperar una auditoría trimestral o una revisión manual.
  • Admiten el seguimiento del ciclo de vida. Una vez que se identifican los compromisos, los EAP los monitorean mediante pasos de reparación, cambios de configuración y actualizaciones de políticas. Esta visibilidad ayuda a los equipos a comprender qué se ha solucionado, qué queda y cómo cada ajuste afecta la postura de riesgo.

Lo que revela el cuadrante sobre la preparación del mercado

El nuevo Cuadrante Mágico destaca una división del mercado. Por un lado, hay empresas consolidadas que intentan integrar funciones de exposición en sus motores de escaneo existentes. Por otro lado, hay actores nativos de la gestión de exposición que han estado modelando el comportamiento de los atacantes durante años.

La madurez de la categoría queda demostrada por un cambio en la “definición de hecho”. El éxito ya no se mide por cuántas vulnerabilidades se han solucionado, sino por cuántas rutas de ataque críticas se han eliminado. Plataformas como XM Cyber, que se basan en el modelado de gráficos de ataques, son ahora pioneras en este enfoque.

Qué deben tener en cuenta los equipos de seguridad

La evaluación de riesgos representa ahora una categoría propia, con funciones y criterios de evaluación definidos y un papel cada vez mayor en los procesos de la empresa. Las plataformas del Cuadrante Mágico identifican amenazas asociadas, mapean qué activos se pueden alcanzar y guían la remediación en función del movimiento de los atacantes.

Para el profesional, el valor inmediato reside en la eficiencia. Estas plataformas toman decisiones sobre qué arreglar primero, cómo se transferirá la propiedad y dónde la mitigación de riesgos tendrá el mayor impacto. Hoy en día, la evaluación de riesgos es un nivel central para proteger, mantener y comprender los entornos. Si puede demostrar matemáticamente que el 74% de sus alertas se pueden ignorar de manera segura, no solo está “mejorando la seguridad”, sino que también está devolviendo tiempo y recursos a un equipo que probablemente ya esté al borde del colapso. La categoría EAP finalmente alinea las métricas de seguridad con la realidad empresarial. La pregunta ya no es: “¿Cuántas vulnerabilidades tenemos?” sino más bien “¿Estamos a salvo de las rutas de ataque clave?”

Para obtener más información sobre por qué XM Cyber ​​​​fue nombrado Challenger en el Cuadrante Mágico de 2025 para plataformas de evaluación de amenazas, Obtenga su copia del informe aquí.

nota: Este artículo fue escrito y contribuido de manera experta por Maya Malevich, directora de marketing de productos de XM Cyber.

Descargo de responsabilidad de Gartner: Gartner, Magic Quadrant for Exposure Assessment Platforms, por Mitchell Schneider, Dhivya Poole y Jonathan Nunez, 10 de noviembre de 2025. GARTNER es una marca comercial registrada y una marca de servicio de Gartner, y Magic Quadrant es una marca comercial registrada de Gartner, Inc. y/o sus afiliados en los Estados Unidos e internacionalmente, y se utiliza en este documento con permiso. Reservados todos los derechos. Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación y no recomienda a los usuarios de tecnología que seleccionen sólo aquellos proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner constituyen las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hecho. Gartner renuncia a todas las garantías, expresas o implícitas, con respecto a esta investigación, incluida cualquier garantía de comerciabilidad o idoneidad para un propósito particular.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google Noticias, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

About The Author

desafiomayor

See author's posts

Related News

mssp.jpg

Cómo los MSSP inteligentes utilizan la IA para aumentar los márgenes con la mitad del personal

enero 21, 2026 0
linux.jpg

Creado con soporte de IA, VoidLink Linux Malware Framework alcanza 88.000 líneas de código

enero 21, 2026 0

You may have missed

crossplay.jpg

Crossplay, el juego tipo Scrabble de NYT Games, es un sueño hecho realidad

enero 21, 2026 0
PraxisPro.jpg

PraxisPro recauda $6 millones en financiación inicial de AlleyCorp para capacitar a los representantes de ventas médicas

enero 21, 2026 0
1769003647_3df52680-8b22-11ef-b5ef-219c0dcdf27c.png

Obtén NBA League Pass Premium por solo $75 por el resto de la temporada

enero 21, 2026 0
Xbox20Game20Pass20adds20Death20Stranding20DC2C20Ninja20Gaiden2C20Talos20Principle20220.jpeg

Xbox Game Pass agrega Death Stranding DC, Ninja Gaiden, Talos Principle 2 y más

enero 21, 2026 0
ilustrasi-google-chrome_169.jpeg

Lista de extensiones peligrosas en los navegadores Chrome para Firefox

enero 21, 2026 0
tesla-model-y-juniper.png

Lemonade lanza un producto de seguro para clientes de conducción autónoma total de Tesla

enero 21, 2026 0