3 · COMO LA CSURFACE SE ADAPTA
Desde la regulación hasta las capacidades de la plataforma
La CSURFACE es una plataforma de gestión de superficie de ataque externa. No abarca toda la regulación —se centra en profundidad en la capa de exposición externa, que concentra la mayor parte del origen de los vectores de ataque explotados contra instituciones financieras. A continuación, cada área reguladora se mapea a la capacidad correspondiente de la plataforma.
Identificación e inventario de activos: descubrimiento continuo
La regulación exige que la institución conozca los activos que sostienen sus operaciones. En la práctica, lo que más frecuentemente escapa al control es lo que opera fuera del conocimiento de la área de seguridad: subdominios abandonados, entornos de homologación publicados sin control, activos de subsidiarias incorporadas, certificados y servicios expuestos por equipos sin interfaz formal con la función de seguridad de la información. El inventario oficial registra solo lo que ya es conocido.
La CSURFACE descubre continuamente la superficie de ataque externa de la institución utilizando Machine Learning para correlacionar dominios, certificados, bloques de red, servicios y tecnologías e atribuirlos a la organización —incluyendo el shadow IT y la presencia digital de proveedores. El resultado es un inventario externo dinámico, actualizado de forma automática y continua conforme evoluciona la superficie de exposición —no un levantamiento puntual susceptible a deteriorarse inmediatamente. Cada activo descubierto se clasifica por criticidad, proporcionando a la área de riesgo la base factual necesaria para la priorización estructurada del tratamiento.
Gestión de riesgos cibernéticos: priorización y cuantificación
Identificar activos y vulnerabilidades es condición necesaria, pero no suficiente; la regulación exige que el riesgo sea cualitativo, evaluado y reportado. La CSURFACE prioriza las exposiciones por su real explotabilidad — cruzando inteligencia de amenazas, exploits activos y catálogos de explotación activa con la criticidad de cada activo. El resultado es una lista de riesgos ordenada y objetivamente justificable, que reemplaza el volumen indistinto de hallazgos por una agenda de tratamiento estructurada.
Para la estructura de gestión de riesgos requerida por la Resolución CMN nº 4.557/2017, la CSURFACE traduce la exposición externa en cuantificación de riesgo en valor financiero — métrica asimilable por el directorio y área de riesgo, directamente integrable al informe formal de riesgo operacional. El riesgo cibernético se expresa en magnitud comparable a los demás riesgos de la institución, permitiendo decisiones de tratamiento basadas en criterios objetivos e hierarquizados.
Pruebas y evaluaciones periódicas: validación de explotabilidad
La regulación espera una evaluación periódica de la efectividad de los controles. La CSURFACE opera de forma continua — no en ciclos anuales — y, donde hay módulos de prueba disponibles, valida activamente la explotabilidad de una exposición, confirmando si es realmente atacable. En otros casos, la evaluación es pasiva, con correspondencia de versión y configuración. Cuando se aplica una corrección, la plataforma reevalúa el activo y confirma si el camino de ataque fue efectivamente cerrado.
Nube y riesgo de terceros: cadena de proveedores
La Resolución CMN nº 4.893/2021 dedica atención específica a la contratación de servicios en nube y a la tercera parte relevante. La CSURFACE monitorea la superficie de ataque externa de proveedores y prestadores de la cadena digital, identificando exposiciones en terceros que pueden convertirse en riesgo para la institución contratante. Para servicios en nube, la descubierta identifica activos y servicios publicados en proveedores de nube y señala configuraciones expuestas observables externamente.
Es necesario delimitar el alcance con precisión: La CSURFACE evalúa al tercero a partir de su exposición externa observable. La diligencia contractual, la evaluación de cláusulas, la verificación de localización de datos y la auditoría del proveedor permanecen procesos de la institución —la plataforma proporciona el componente técnico de monitoreo continuo que sustenta y documenta estos procesos.
Plan de respuesta a incidentes: vigilancia de credenciales filtradas y alertas
Un plan de respuesta a incidentes efectivo depende de la detección temprana. La CSURFACE monitorea el filtrado de credenciales corporativas en fuentes públicas y en la deep y dark web, alertando cuando datos de acceso de la institución o sus colaboradores aparecen expuestos —a menudo el primer indicio de un compromiso inminente.
Cuando se descubre una exposición crítica, la plataforma emite alertas priorizadas con contexto y sugerencia de corrección, alimentando el proceso de respuesta de la institución. La CSURFACE proporciona el gatillo y la evidencia técnica; la estructura de respuesta — equipo, procedimientos, comunicación al regulador y análisis de causa— es operada por la institución según su política.
Política y gobierno: traza auditiva de evidencias
La política formal, la designación del director responsable y la revisión periódica son actos de gobierno que caben a la institución. Lo que ofrece la CSURFACE es el ingrediente factual que da sustancia a este gobierno: un registro continuo y datado de la superficie de ataque, de las exposiciones identificadas, de las priorizaciones y del avance en la remediación a lo largo del tiempo. La revisión anual de la política pasa a fundamentarse en datos objetivos sobre cómo la exposición externa de la institución evolucionó durante el período, con evidencia factual.