RELATÓRIO · EDIÇÃO 2026
Estado de la Exposición Digital
A medida que aumenta la superficie de ataque externa, ¿qué hacen los atacantes con eso y por qué la distancia entre las dos dinámicas es el verdadero riesgo. Un retrato en datos de decenas de organizaciones.
RELATÓRIO COMPLETO
Edición 2026 — versión en PDF
La análisis completa, con lectura aprofundada y más datos, en un documento de 7 páginas. Publicamos una edición por año.
LA ESCALA
La superficie de ataque fuera del inventario
organizaciones con descubrimiento concluido
activos externos mapeados
subsidiarias y organizaciones relacionadas
componentes de cadena digital de terceros
01 — LA SUPERFICIE
Crecerá — y crecerá sin gobierno
La superficie de ataque no es un inventario organizado. Se extiende por varias nubes, por ambientes que suben rápido y casi nunca se apagan, por componentes de terceros incorporados en cada aplicación. Las 16 análisis detallados muestran un patrón constante de crecimiento desordenado.
más componentes de cadena de terceros que activos propios en la superficie
operan activos en dos o más nubes al mismo tiempo
tienen una vulnerabilidad abierta durante más de 5 años
Fuente: 16 análisis detallados "Evaluación de la Superficie de Ataque Externa".
Proveedores de nube por organización · % de empresas
La mitad de las organizaciones distribuye activos por tres o más nubes. Cada proveedor adicional es un consola adicional, un estándar de configuración y una frontera adicional que alguien puede perder de vista.
Lo que se acumula — % de empresas analizadas con el hallazgo
Los mismos hallazgos se repiten de empresa en empresa — y casi siempre son antiguos. La superficie se acumula: lo que entra raramente es removido, y lo que falla raramente es corregido.
El retrato del Acto 1 es de una superficie que se expande más rápido que cualquier equipo puede inventariar — dispersada por varias nubes y dependencias de terceros — y que se acumula sin encoler. Cada activo olvidado permanece de pie, expuesto, durante años.
02 — LA AMENAZA
Mientras la superficie se acumula en silencio, la amenaza del otro lado avanza a un ritmo industrial.
Los datos que siguen provienen de la plataforma de amenazas emergentes de CSURFACE, que monitorea CVEs de alta severidad por explotación activa observada y criticidad del activo.
Clases de fallo más exploradas (CWE) · % de amenazas emergentes monitoreadas
Cinco de las seis clases más exploradas son fallos de aplicaciones web — inyección, recorrido de ruta y carga de archivo. Y en el Acto 1, 71% de las aplicaciones web encontradas operan sin WAF: la curva de amenaza apunta exactamente hacia la capa que la mayoría deja desprotegida.
Prioridad real de las amenazas monitoreadas · categorización SSVC
Los indicadores de explotación pueden leerse cualquier equipo — pero esto muestra la prioridad del mercado, una referencia general que aún necesita ser aplicada a la realidad de tu empresa. Lo que no se hace solo es cruzar esta inteligencia con la descubierta continua de tu superficie: saber, cada semana, cuáles amenazas realmente alcanzan tus activos expuestos. Eso exactamente es lo que hace la inteligencia de amenazas y exploits de CSURFACE en conjunto con el discovery — tu lista de prioridades montada por la amenaza real e reordenada sola conforme ella evoluciona.
El ritmo del Acto 2 es industrial: un exploit público surge, en promedio, 5 días después de que se divulgue el fallo. La ventana entre una vulnerabilidad existir y ser explotada se mide en días.
03 — EL ENCUENTRO
El lugar donde surge el incidente
El volumen de amenazas está directamente relacionado con los informes de superficie. Cada activo desgobiernado del Acto 1 — un ambiente en la nube olvidado, un componente de terceros, una aplicación sin WAF — es una puerta. El Acto 2 dice que las puertas se encuentran y son atacadas en días.
La amenaza ataca
es el tiempo medio entre que una falla se reporta y existe un exploit público funcional para ella.
La puerta permanece abierta
es cuánto tiempo expuesta está la vulnerabilidad más antigua en el 68% de las empresas analizadas.
Lado a lado, los dos conjuntos de datos convergen en una sola conclusión. La defensa añade activos más rápido que puede inventariarlos, y elimina o corrige casi nada — el tiempo de exposición se mide en años. El atacante arma un exploit en días.
Un incidente es la intersección previsible de dos curvas: una superficie que crece desordenada y nunca se reduce, y una amenaza que solo acelera. El incidente es simplemente el momento en que las dos se cruzan en el mismo activo — casi siempre un activo ausente del inventario.
CONCLUSIÓN
¿Qué cierra la distancia entre las dos curvas?
No se corrige una superficie que no se ve, ni se vence la velocidad de la amenaza con esfuerzos manuales. Cerrar esa distancia exige dos capacidades operando juntas y sin parar: descubrimiento continuo —que encuentra cada puerta, incluso los ambientes en nube, el shadow IT y los activos ausentes del inventario— y inteligencia de amenazas y exploits —que indica cuáles puertas están siendo atacadas ahora.
Una sin la otra deja la ventana abierta: descubrir todo sin priorizar sobrecarga a la equipo; priorizar amenazas sin ver la superficie entera protege solo lo que ya era conocido. Es la combinación continua de las dos —descubrimiento e inteligencia en el mismo modelo de datos— lo que entrega CSURFACE.
CONTINUAR SIGUIENDO
Reciba la próxima edición y alertas trimestrales de exposición
Nuevos números del Estado de la Exposición Digital y señales relevantes de la superficie de ataque, en su correo electrónico. Sin compromiso.
Veja dónde se encuentra su empresa en este retrato.
Proporcione su correo electrónico corporativo y recibirá una análisis preliminar de la superficie de ataque de su empresa. Sin tarjeta, sin reunión.
Recibir mi análisis preliminar