enero 14, 2026
main.jpg

Las herramientas de gestión de la superficie de ataque (ASM) prometen un riesgo reducido. Suelen proporcionar más información.

Los equipos de seguridad implementan ASM, el inventario crece, las alertas comienzan a fluir y los paneles se llenan. Hay actividad visible y resultados mensurables. Pero cuando el liderazgo hace una pregunta simple: “¿Esto reduce el número de incidentes?“La respuesta muchas veces no está clara.

Esta brecha entre esfuerzo y resultado es el problema central del retorno de la inversión en la gestión de la superficie de ataque, especialmente cuando el retorno de la inversión se mide principalmente por el número de activos en lugar de la reducción de riesgos.

La promesa versus la prueba

La mayoría de los programas de MAPE se basan en una idea de sentido común: no se puede proteger algo que no se sabe que existe. Por lo tanto, los equipos se centran en el descubrimiento: dominios y subdominios, IP y recursos de la nube, infraestructura de terceros y activos transitorios o de corta duración.

Con el tiempo las cifras aumentan. Los paneles de control van en aumento. La cobertura mejora.

Pero ninguna de estas métricas proporciona una respuesta directa sobre si la organización es realmente más segura. En muchos casos, los equipos terminan más ocupados sin sentirse menos expuestos.

Por qué la ASM se siente ocupada pero no efectiva

ASM tiende a optimizar la cobertura porque la cobertura es fácil de medir: se descubren más activos, se detectan más cambios y se generan más alertas. Cada uno de estos se siente como un progreso.

Pero miden principalmente los insumos, no los resultados.

En la práctica, los equipos experimentan:

  • Fatiga de alarma
  • Grandes retrasos en activos “conocidos pero no resueltos”
  • Confusión repetida de propiedad
  • Exposición que dura meses.

El trabajo es real. La reducción del riesgo es más difícil de ver.

La brecha de medición

Una de las razones por las que el ROI de ASM es difícil de demostrar es que la mayoría de las métricas de la superficie de ataque se centran en lo que el sistema puede ver, en lugar de en lo que la empresa realmente está mejorando.

Las métricas comunes de gestión de la superficie de ataque incluyen:

  • Número de activos
  • Número de cambios

Rara vez se rastrean métricas de superficie de ataque más significativas:

  • ¿Qué tan rápido se pueden poseer activos riesgosos?
  • ¿Cuánto dura la exposición peligrosa?
  • Si las rutas de ataque realmente se reducen con el tiempo

El inventario de activos sigue siendo fundamental para medir la superficie de ataque externo. Sin un descubrimiento integral, es imposible siquiera comprender la exposición. La brecha surge cuando las métricas de detección no se combinan con mediciones que muestren si realmente se está reduciendo el riesgo.

Sin mediciones basadas en resultados, resulta difícil defender la MAPE durante las revisiones presupuestarias, incluso cuando todos están de acuerdo en que la visibilidad de los activos es necesaria.

¿Cómo sería un retorno de la inversión significativo?

En lugar de preguntar: “¿Cuántos activos hemos descubierto?“Una pregunta más útil es:”¿Cuánto más rápidos y seguros nos hemos vuelto al enfrentar la exposición?

Esta realineación cambia el ROI de la visibilidad a la calidad de la respuesta y la duración de la exposición. Cosas que se correlacionan mucho más estrechamente con el riesgo real.

Tres métricas de resultados realmente importantes

1. Tiempo medio hasta la propiedad

¿Cuánto tiempo lleva responder la pregunta básica: “¿A quién pertenece esto?

Activos sin propiedad clara:

  • Quédate más tiempo
  • Obtener parche más tarde
  • Es más probable que sean olvidados por completo.

Acortar el tiempo hasta la propiedad acorta la ventana de tiempo en la que existe riesgo sin responsabilidad. Es una de las señales más claras de que los hallazgos de la MAPE se están poniendo en práctica.

2. Reducir los puntos finales no autenticados que alteran el estado

No todos los activos son igualmente importantes.

El seguimiento de cuántos puntos finales externos pueden cambiar de estado, cuántos requieren autenticación y cómo esos números cambian con el tiempo le dará una señal mucho más fuerte sobre si la superficie de ataque se está reduciendo donde importa.

Un entorno con miles de activos estáticos pero pocos caminos no autenticados que cambien el estado es significativamente más seguro que un entorno con menos activos pero muchos puntos de entrada riesgosos.

3. Tiempo hasta el desmantelamiento tras la pérdida de propiedad

La exposición suele persistir después de:

  • cambio de equipo
  • Obsolescencia de aplicaciones
  • Migraciones de proveedores
  • Reorganizaciones

Medir la rapidez con la que se desmantelan los activos después de la pérdida de propiedad es uno de los indicadores más sólidos de higiene a largo plazo y uno de los indicadores que rara vez se rastrean.

Si los activos abandonados permanecen indefinidamente, el descubrimiento por sí solo no reduce el riesgo.

Cómo se ve esto en la práctica

Es fácil llegar a un acuerdo sobre las métricas abstractas, pero es difícil ponerlas en práctica. El objetivo no es un nuevo panel o un conjunto diferente de alertas, sino un cambio en lo que se hace visible: brechas de propiedad, duración de la exposición y riesgos no resueltos que de otro modo se fusionarían con el recuento de activos.

En lugar de enfatizar el número total de activos, surge la siguiente visión:

  • ¿Qué bienes son propiedad?
  • cuales estan sin resolver
  • No está claro cuánto duró la posesión.

El objetivo no es más advertencias, sino una solución más rápida.

Convierta ASM en un controlador

ASM no tiene problemas porque los equipos no trabajan lo suficiente. Es difícil porque los esfuerzos no están consistentemente vinculados a los resultados que interesan al liderazgo.

Al reorientar el ROI en la velocidad, la propiedad y el tiempo de exposición, es posible mostrar un progreso real. Incluso si el recuento bruto de activos nunca cambia. En muchos casos, los mayores éxitos provienen de hacer que la superficie de ataque vuelva a ser aburrida.

Un punto de partida concreto

Una forma de poner a prueba las métricas de ASM basadas en resultados es hacer que la visibilidad de los activos sea ampliamente accesible para todos los equipos en lugar de ocultarla detrás de silos de herramientas. Descubrimos que cuando los equipos de ingeniería, seguridad e infraestructura pueden identificar brechas de propiedad y duración de la exposición, la resolución se acelera sin necesidad de agregar más alertas.

Este pensamiento nos llevó a publicar uno Edición comunitaria de nuestra plataforma ASM Esto permite el descubrimiento de activos y la transparencia de la propiedad sin costos ni restricciones. El objetivo no es reemplazar las herramientas existentes, sino brindar a los equipos una forma de medir si la exposición realmente está disminuyendo con el tiempo.

Si desea realizar una prueba de presión del ROI de su programa ASM, intente esto: ignore cuántos activos tiene.

En lugar de eso, pregunte:

  • ¿Cuánto tiempo permanecen sin propietario los activos de riesgo?
  • ¿Cuántos caminos no autenticados que cambian el estado existen hoy en comparación con el último trimestre?
  • ¿Con qué rapidez desaparecen los activos abandonados?

Si estas respuestas no mejoran, nuevos descubrimientos no cambiarán el resultado.

Conclusión: medir lo que realmente cambia el riesgo

La gestión de la superficie de ataque se vuelve defendible cuando se mide por lo que cambia, no sólo por lo que se acumula. El descubrimiento siempre será importante. Al medir la superficie de ataque, la visibilidad siempre es importante. Pero no hay garantía de que la exposición se reduzca, sólo de que se cumplirá.

El retorno de la inversión (ROI) de la gestión de la superficie de ataque se ve cuando los activos de riesgo se confirman como propietarios más rápidamente, cuando las rutas peligrosas desaparecen antes y cuando la infraestructura abandonada no permanece indefinidamente. El inventario de activos proporciona la amplitud necesaria; Las métricas centradas en resultados proporcionan la profundidad necesaria para comprender la verdadera reducción del riesgo.

En Sprocket Security, intentamos pensar en la gestión de la superficie de ataque no solo en términos de la cantidad de activos presentes, sino también en términos de cuánto tiempo persistirá una amenaza significativa y qué tan rápido se remediará. Lo más importante es que las métricas de la superficie de ataque revelan progreso, no solo crecimiento del inventario.

Si un programa de gestión de superficies de ataque no puede responder si la amenaza está disminuyendo con el tiempo, es difícil argumentar que está haciendo algo más que simplemente informar el problema.

Nota: Este artículo fue escrito y contribuido de manera experta por Topher Lyons, ingeniero de soluciones de Sprocket Security.

¿Te pareció interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Google Noticias, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.

About The Author

desafiomayor

See author's posts

Related News

payment.png

Una campaña de skimming web de larga duración roba tarjetas de crédito de sitios de pago en línea

enero 14, 2026 0
mexc.jpg

La extensión maliciosa de Chrome roba claves API de MEXC haciéndose pasar por una herramienta comercial

enero 14, 2026 0

You may have missed

gemini-logo-gettyimages-2246856729.jpg

En 2026, Google se centra en hacer que la IA sea realmente útil

enero 14, 2026 0
gettyimages-200464106-001.jpg

¿Preparar la cena en la freidora? Evite el aceite de oliva y use este en su lugar.

enero 14, 2026 0
dc606693-424d-4783-8e56-a5a08cd81d9c.jpeg

Meta ha cerrado tres estudios de realidad virtual como parte de sus cortes de Metaverse

enero 14, 2026 0
wrcw-2025-fg-00470210-still908-3000.jpg

Prime Video: Las 16 mejores películas para ver

enero 14, 2026 0
microsoft-store-1185699758.jpg

Microsoft anuncia un exceso de nuevos centros de datos, pero dice que no aumentará su factura de electricidad

enero 14, 2026 0
GettyImages-1354022389.jpg

Un organismo de control del consumidor ha emitido una advertencia sobre el protocolo de compra de agentes de IA de Google: Google dice que es incorrecto

enero 14, 2026 0