Superficie de exposición: lo que una empresa revela antes de ser atacada
Resume este artículo con tu IA
En ciberseguridad, un ataque rara vez empieza con una explotación técnica. Muchas veces comienza mucho antes: con una búsqueda, una credencial filtrada, un subdominio olvidado, un documento indexado, una configuración expuesta o una relación de confianza con un proveedor.
En esta nueva charla de Cylum Talks, David López conversa con Julián Delgado, responsable del equipo de Seguridad Ofensiva de Cylum, Luis Uribe y Joan Moya, especialistas del equipo, sobre cómo los atacantes aprovechan la información pública de una organización para construir una ruta de ataque.
La conversación aborda conceptos como superficie de exposición, OSINT, Shadow IT, ingeniería social, infostealers, cadena de suministro, identidades digitales y ejercicios de red team desde una perspectiva práctica: la de quienes analizan a diario cómo podría ser atacada una compañía para ayudarla a anticiparse.
El ataque empieza antes del ataque
Una de las ideas centrales de la conversación es que los atacantes pueden comenzar su trabajo con una fase silenciosa de observación.
Antes de actuar contra una aplicación, una infraestructura o un usuario, dedican una parte importante del proceso a recopilar y relacionar información disponible en fuentes abiertas.
Dominios, subdominios, tecnologías, versiones de software, empleados, cargos directivos, proveedores, documentación pública, perfiles sociales o credenciales filtradas pueden convertirse en piezas de un mismo mapa.
«Un atacante no tiene necesidad de alertar a la empresa que está atacando. La empresa nunca se va a dar cuenta de qué información tiene el atacante.»
Julián Delgado
Ese trabajo de reconocimiento permite entender cómo opera una organización, qué tecnologías utiliza, qué relaciones mantiene y qué posibles puntos de entrada podrían existir.
En seguridad ofensiva, este análisis tiene un objetivo legítimo: mostrar a la organización qué información podría utilizar un atacante y ayudarla a reducir su exposición antes de que esa información sea aprovechada.
La superficie de exposición, más allá de la tecnología
Cuando se habla de superficie de exposición, es habitual pensar en servidores, aplicaciones, puertos abiertos o vulnerabilidades técnicas. La exposición de una organización abarca mucho más.
También incluye información sobre personas, procesos, proveedores, documentos, relaciones de confianza, plataformas cloud, servicios SaaS, configuraciones y activos que quedan fuera de una visión completa por parte del área de IT.
Ahí aparece el concepto de Shadow IT: tecnologías, servicios o recursos que están en uso o expuestos con escasa visibilidad para la organización.
«Shadow IT es todo lo que tienes expuesto a nivel de Internet sin darte cuenta.”
Luis Uribe
Una empresa puede crecer, lanzar nuevos servicios, incorporar herramientas, adquirir compañías o trabajar con múltiples proveedores. Cuando ese crecimiento avanza por delante de la estrategia de seguridad, la superficie de exposición aumenta y se vuelve más difícil de controlar.
El riesgo aparece en la acumulación de pequeñas piezas que, combinadas, pueden abrir una vía de entrada.
La identidad digital como punto crítico
Las identidades se han convertido en uno de los grandes objetivos de los atacantes.
Usuarios corporativos, cuentas privilegiadas, accesos a servicios externos, sesiones abiertas, cookies, tokens o contraseñas reutilizadas pueden ser utilizados para avanzar dentro de una organización mediante accesos legítimos o aparentemente legítimos.
En la charla, Luis Uribe explica el riesgo asociado a los infostealers: malware diseñado para extraer información de navegadores y equipos, incluyendo credenciales, cookies de sesión y tokens.
“Un infostealer es un tipo de malware cuyo objetivo es recabar toda la información que se encuentra en los navegadores y en el ordenador: credenciales, tokens o cookies de sesión.”
Luis Uribe
Este tipo de información resulta especialmente crítica porque puede permitir el acceso a servicios corporativos o personales, incluso con controles adicionales, especialmente cuando existen configuraciones débiles o reutilización de credenciales entre distintos entornos.
Además, las contraseñas filtradas aportan valor por el acceso directo que pueden permitir y por los patrones que revelan sobre cómo los usuarios construyen sus claves, facilitando ataques posteriores más dirigidos.
Por eso, controlar y monitorizar las identidades digitales es una parte esencial de la reducción de la superficie de exposición.
Ingeniería social: cuando la información da contexto al engaño
La ingeniería social sigue siendo uno de los vectores más eficaces porque ataca el punto donde tecnología, confianza y comportamiento humano se cruzan.
Un correo, una llamada, un SMS o un mensaje por una plataforma corporativa pueden ser mucho más efectivos si el atacante ya conoce el contexto de la víctima: su cargo, sus intereses, sus herramientas de trabajo, sus proveedores, sus rutinas o incluso información personal publicada en redes sociales.
El riesgo aumenta cuando el mensaje está construido con datos reales, utiliza una estética reconocible, imita procesos internos o llega en un momento creíble.
Durante la conversación se destaca cómo el reconocimiento previo permite diseñar campañas más precisas. La información pública pasa de ser un conjunto de datos aislados a convertirse en un recurso para generar confianza.
La concienciación, por tanto, debe ayudar a los usuarios a reconocer escenarios cada vez más personalizados y difíciles de distinguir.
OSINT: de recopilar datos a construir inteligencia
El OSINT, o inteligencia de fuentes abiertas, ocupa un papel clave en este tipo de análisis.
El valor está en buscar información pública, interpretarla, cruzarla y convertirla en inteligencia útil. La diferencia aparece al entender qué papel tiene cada dato dentro de un posible escenario de ataque.
Una dirección de correo puede llevar a una filtración. Una filtración puede revelar una contraseña reutilizada. Una contraseña puede abrir acceso a un servicio. Un servicio puede mostrar documentación interna. Y esa documentación puede facilitar una campaña de ingeniería social o un acceso posterior.
“Al final, es qué información puedes encontrar en fuentes públicas sobre alguien en particular, ya sea un alto cargo o un empleado.”
Joan Moya
El valor del OSINT está precisamente en conectar esas piezas.
En un contexto empresarial, este enfoque permite identificar qué información está disponible sobre una organización, sus empleados y sus proveedores, y qué impacto podría tener si fuese utilizada por un tercero.
La cadena de suministro también forma parte de la exposición
Una organización puede tener controles maduros y verse expuesta a través de sus proveedores.
La cadena de suministro aparece en el episodio como una de las vías más relevantes para entender el riesgo actual. Las empresas trabajan con terceros que gestionan servicios, plataformas, soporte, accesos, documentación o procesos críticos.
Si uno de esos proveedores tiene una credencial filtrada, una plataforma mal protegida o una relación de confianza excesiva, el impacto puede alcanzar a la organización principal.
Julián Delgado comparte un caso especialmente ilustrativo: una compañía con un buen nivel de madurez en seguridad en la que el acceso inicial llegó a través de un tercero que gestionaba una plataforma de helpdesk. A partir de ahí, fue posible acceder a información de incidencias y utilizar ese contexto para construir un ataque más elaborado.
“Nuestra empresa no necesariamente es vulnerable; también pueden serlo sus proveedores.”
Luis Uribe
Este tipo de escenarios demuestra que la superficie de exposición se extiende más allá del perímetro propio. También incluye a quienes tienen acceso, relación o capacidad de interacción con la organización.
Tecnologías y configuraciones que revelan más de lo esperado
Las plataformas corporativas ampliamente utilizadas también pueden aportar información valiosa a un atacante cuando presentan configuraciones débiles.
Durante la charla se menciona cómo, a partir de un entorno corporativo, pueden inferirse datos sobre tenants, usuarios, relaciones de confianza, métodos de autenticación, branding corporativo o configuraciones de seguridad.
Esa información puede utilizarse para preparar campañas de phishing más creíbles, identificar posibles vectores de acceso o entender cómo está estructurado el entorno digital de una organización.
El doble factor, el acceso condicional, las políticas de autenticación, la gestión de dispositivos o la revisión de relaciones de confianza son controles que pueden marcar la diferencia entre una superficie gobernada y una exposición aprovechable.
La clave está en entender que desplegar una herramienta y configurarla de forma segura son dos pasos distintos.
Del dato aislado a la cadena de ataque
Uno de los aprendizajes más importantes del episodio es que los ataques suelen construirse mediante la combinación de varias piezas.
Una credencial filtrada, un documento expuesto, un proveedor vulnerable o una configuración débil pueden parecer elementos independientes. Al combinarlos, pueden formar una ruta completa.
“Los cibercriminales definen una ruta de ataque, la automatizan y la ofuscan hasta hacerla muy difícil de detectar.”
Julián Delgado
En ejercicios de red team o emulación de adversarios, el objetivo es reproducir ese comportamiento para medir la capacidad de una organización para prevenir, detectar y responder ante amenazas similares.
Joan Moya comparte un ejemplo donde se combinaron reconocimiento, ingeniería social, acceso inicial, evasión de controles, movimiento lateral y escalada de privilegios hasta alcanzar un objetivo acordado con el cliente.
Este enfoque permite entender el riesgo de forma más realista: como una secuencia posible de acciones en lugar de una lista de vulnerabilidades aisladas.
Reducir la superficie de exposición exige contexto
Cada organización tiene un modelo de negocio, una forma de trabajar, unas tecnologías, unos proveedores, unos procesos y un nivel de madurez distinto. Por eso, reducir la superficie de exposición exige entender el contexto antes de proponer medidas.
El objetivo va más allá de demostrar que se puede comprometer una organización. Se trata de ayudarla a identificar qué puertas están abiertas, cuáles son prioritarias y cómo cerrarlas de forma ordenada.
“No hay una recomendación generalista para todo el mundo. Cada compañía es distinta. Tiene un contexto distinto y una forma de trabajar distinta.”
Joan Moya
Entre las líneas de actuación más relevantes destacan la monitorización de identidades, el inventario de activos expuestos, la revisión de configuraciones, la evaluación de proveedores, la detección de credenciales filtradas, la concienciación de usuarios y la realización de auditorías periódicas.
La seguridad ofensiva aporta valor precisamente porque permite mirar la organización desde la perspectiva de quien intentaría atacarla.
Luis Uribe resume parte del enfoque con una idea sencilla: higiene digital.
Para una empresa, esto implica saber qué tiene expuesto, qué identidades existen, qué credenciales pueden estar comprometidas, qué servicios están publicados, qué documentos son accesibles y qué proveedores forman parte de su ecosistema.
Cuando aparece información crítica expuesta, la organización debe actuar asumiendo que podría haber sido utilizada. Eso implica revisar accesos, cambiar credenciales, analizar reutilizaciones y comprobar si existe actividad sospechosa.
La superficie de exposición cambia constantemente. Por eso, hace falta visibilidad continua, capacidad de análisis y acompañamiento especializado para transformar la información en decisiones.
Los atacantes buscan caminos eficaces, objetivos accesibles y combinaciones de información que les permitan avanzar con el menor ruido posible. Conocer esa exposición antes que ellos permite reducir riesgos, priorizar esfuerzos y reforzar la postura de seguridad.
Una ciberseguridad eficaz consiste en entender qué puede ver un atacante, cómo podría utilizarlo y qué medidas permiten cerrar esas vías antes de que se conviertan en una puerta de entrada.


