RELATÓRIO · EDIÇÃO 2026

Estado de la Exposición Digital

A medida que aumenta la superficie de ataque externa, ¿qué hacen los atacantes con eso y por qué la distancia entre las dos dinámicas es el verdadero riesgo. Un retrato en datos de decenas de organizaciones.

Cómo leer este informe. Los números son agregados y anónimos — 68 organizaciones con descubrimiento concluido en la plataforma CSURFACE y 16 análisis detallados de superficie de ataque. Los gráficos expresan representatividad (%). La lectura está organizada en tres partes: cómo crece la superficie, cómo se mueve la amenaza y qué ocurre cuando las dos se encuentran.

RELATÓRIO COMPLETO

Edición 2026 — versión en PDF

La análisis completa, con lectura aprofundada y más datos, en un documento de 7 páginas. Publicamos una edición por año.

Baixar el relatório (PDF)
Ediciones: 2026

LA ESCALA

La superficie de ataque fuera del inventario

0

organizaciones con descubrimiento concluido

0

activos externos mapeados

0

subsidiarias y organizaciones relacionadas

0

componentes de cadena digital de terceros

01 — LA SUPERFICIE

Crecerá — y crecerá sin gobierno

La superficie de ataque no es un inventario organizado. Se extiende por varias nubes, por ambientes que suben rápido y casi nunca se apagan, por componentes de terceros incorporados en cada aplicación. Las 16 análisis detallados muestran un patrón constante de crecimiento desordenado.

2,8×

más componentes de cadena de terceros que activos propios en la superficie

75%

operan activos en dos o más nubes al mismo tiempo

68%

tienen una vulnerabilidad abierta durante más de 5 años

Fuente: 16 análisis detallados "Evaluación de la Superficie de Ataque Externa".

Proveedores de nube por organización · % de empresas

Tres o más proveedores de nube 50%
Dos proveedores de nube 25%
Uno proveedor de nube 19%
Ningún activo en nube detectado 6%

La mitad de las organizaciones distribuye activos por tres o más nubes. Cada proveedor adicional es un consola adicional, un estándar de configuración y una frontera adicional que alguien puede perder de vista.

Lo que se acumula — % de empresas analizadas con el hallazgo

Vulnerabilidad expuesta durante más de 5 años 68%
Vulnerabilidad con exploit público disponible 56%
80% o más de las aplicaciones web sin WAF 43%
Al menos una vulnerabilidad crítica abierta 37%
Credenciales corporativas filtradas 37%
Vulnerabilidad bajo explotación activa en el mundo real 25%

Los mismos hallazgos se repiten de empresa en empresa — y casi siempre son antiguos. La superficie se acumula: lo que entra raramente es removido, y lo que falla raramente es corregido.

El retrato del Acto 1 es de una superficie que se expande más rápido que cualquier equipo puede inventariar — dispersada por varias nubes y dependencias de terceros — y que se acumula sin encoler. Cada activo olvidado permanece de pie, expuesto, durante años.

02 — LA AMENAZA

Mientras la superficie se acumula en silencio, la amenaza del otro lado avanza a un ritmo industrial.

Los datos que siguen provienen de la plataforma de amenazas emergentes de CSURFACE, que monitorea CVEs de alta severidad por explotación activa observada y criticidad del activo.

Clases de fallo más exploradas (CWE) · % de amenazas emergentes monitoreadas

Inyección de comando del SO · CWE-78 12%
Desserialización insegura · CWE-502 9,5%
Recorrido de ruta · CWE-22 9%
Carga de archivo sin restricción · CWE-434 8,6%
Inyección de código · CWE-94 8,4%
Inyección SQL · CWE-89 8%

Cinco de las seis clases más exploradas son fallos de aplicaciones web — inyección, recorrido de ruta y carga de archivo. Y en el Acto 1, 71% de las aplicaciones web encontradas operan sin WAF: la curva de amenaza apunta exactamente hacia la capa que la mayoría deja desprotegida.

Prioridad real de las amenazas monitoreadas · categorización SSVC

19%
acción inmediata
Acción inmediata (act) 19%
Atención (attend) 36%
Monitorear de cerca (track*) 28%
Monitorear (track) 17%

Los indicadores de explotación pueden leerse cualquier equipo — pero esto muestra la prioridad del mercado, una referencia general que aún necesita ser aplicada a la realidad de tu empresa. Lo que no se hace solo es cruzar esta inteligencia con la descubierta continua de tu superficie: saber, cada semana, cuáles amenazas realmente alcanzan tus activos expuestos. Eso exactamente es lo que hace la inteligencia de amenazas y exploits de CSURFACE en conjunto con el discovery — tu lista de prioridades montada por la amenaza real e reordenada sola conforme ella evoluciona.

El ritmo del Acto 2 es industrial: un exploit público surge, en promedio, 5 días después de que se divulgue el fallo. La ventana entre una vulnerabilidad existir y ser explotada se mide en días.

03 — EL ENCUENTRO

El lugar donde surge el incidente

El volumen de amenazas está directamente relacionado con los informes de superficie. Cada activo desgobiernado del Acto 1 — un ambiente en la nube olvidado, un componente de terceros, una aplicación sin WAF — es una puerta. El Acto 2 dice que las puertas se encuentran y son atacadas en días.

La amenaza ataca

5 días

es el tiempo medio entre que una falla se reporta y existe un exploit público funcional para ella.

La puerta permanece abierta

5+ años

es cuánto tiempo expuesta está la vulnerabilidad más antigua en el 68% de las empresas analizadas.

Lado a lado, los dos conjuntos de datos convergen en una sola conclusión. La defensa añade activos más rápido que puede inventariarlos, y elimina o corrige casi nada — el tiempo de exposición se mide en años. El atacante arma un exploit en días.

Un incidente es la intersección previsible de dos curvas: una superficie que crece desordenada y nunca se reduce, y una amenaza que solo acelera. El incidente es simplemente el momento en que las dos se cruzan en el mismo activo — casi siempre un activo ausente del inventario.

CONCLUSIÓN

¿Qué cierra la distancia entre las dos curvas?

No se corrige una superficie que no se ve, ni se vence la velocidad de la amenaza con esfuerzos manuales. Cerrar esa distancia exige dos capacidades operando juntas y sin parar: descubrimiento continuo —que encuentra cada puerta, incluso los ambientes en nube, el shadow IT y los activos ausentes del inventario— y inteligencia de amenazas y exploits —que indica cuáles puertas están siendo atacadas ahora.

Una sin la otra deja la ventana abierta: descubrir todo sin priorizar sobrecarga a la equipo; priorizar amenazas sin ver la superficie entera protege solo lo que ya era conocido. Es la combinación continua de las dos —descubrimiento e inteligencia en el mismo modelo de datos— lo que entrega CSURFACE.

CONTINUAR SIGUIENDO

Reciba la próxima edición y alertas trimestrales de exposición

Nuevos números del Estado de la Exposición Digital y señales relevantes de la superficie de ataque, en su correo electrónico. Sin compromiso.

Sin spam. Puede cancelar en cualquier momento.

Veja dónde se encuentra su empresa en este retrato.

Proporcione su correo electrónico corporativo y recibirá una análisis preliminar de la superficie de ataque de su empresa. Sin tarjeta, sin reunión.

Recibir mi análisis preliminar