Quan pensem en un ciberatac ens imaginem algú “entrant” als sistemes. Però la primera fase de qualsevol atac no toca res teu: és reconeixement. L’atacant mira què mostres a internet — igual que un lladre observa quines finestres queden obertes abans d’acostar-se a la casa.
Tot allò que la teva empresa exposa públicament és la teva superfície d’atac. I aquí ve el problema: la majoria de pimes no saben què hi tenen.
Què forma part de la teva superfície d’atac
Més coses de les que sembla:
- Dominis i subdominis. El web corporatiu, però també aquell
test.empresa.comque algú va crear per a una prova i ningú va apagar. - Serveis publicats. Accessos remots (VPN, escriptori remot), panells d’administració, l’ERP accessible des de fora, càmeres IP, la centraleta.
- Correu i la seva configuració. SPF, DKIM i DMARC mal configurats faciliten que suplantin la teva identitat davant de clients i proveïdors.
- Cloud i SaaS. Comptes de Microsoft 365 o Google Workspace, cubs d’emmagatzematge mal configurats, aplicacions connectades que ningú recorda.
- Certificats i versions. Un certificat caducat o un servidor amb versió antiga anuncien deixadesa — i vulnerabilitats concretes per explotar.
- Credencials filtrades. Contrasenyes corporatives que apareixen en filtracions de tercers i es venen o publiquen. L’atacant no ha de “hackejar” res: entra amb la clau.
Res d’això requereix que l’atacant toqui els teus sistemes. Tot és observable des de fora, amb eines automàtiques, a cost gairebé zero. Per això tu també ho hauries d’estar mirant.
El problema no és la foto, és la pel·lícula
Un informe puntual de la teva exposició està bé — durant una setmana. Després algú publica un servei nou per sortir del pas, caduca un certificat, apareix una vulnerabilitat crítica al fabricant del teu tallafoc, o surten credencials teves en una filtració. La superfície d’atac canvia constantment, i les finestres d’exposició es mesuren en dies: els atacants escanegen internet sencer de manera contínua i automatitzada.
La conseqüència pràctica: la superfície d’atac no s’audita un cop l’any, es vigila cada dia. Això és el que en diem attack surface monitoring:
- Descobriment automàtic de tot el que la teva organització exposa (sovint la primera sorpresa: “això encara està publicat?”).
- Vigilància contínua amb alertes quan apareix un actiu nou, un port obert, un certificat a punt de caducar o una credencial filtrada.
- Priorització humana: no tot el que apareix és urgent. Algú ha de traduir les troballes a “arregla això primer, això pot esperar”.
- Seguiment fins al tancament, perquè una alerta que ningú gestiona és soroll, no seguretat.
Per on començar
Si mai no ho has mirat, tres accions d’aquesta setmana:
- Pregunta al teu informàtic quants subdominis i serveis públics té l’empresa. Si la resposta no és una llista concreta, ja tens la primera troballa.
- Comprova la configuració del teu correu (SPF/DKIM/DMARC) — hi ha verificadors gratuïts i és mitja hora de feina.
- Busca el teu domini en serveis de credencials filtrades. Si hi surt, canvia contrasenyes i activa MFA ja.
I si vols que això estigui vigilat cada dia, amb alertes i algú que prioritzi què arreglar — és exactament el que fa el nostre servei de monitorització contínua de la superfície d’atac. Escriu-nos a hola@cynderlab.com i et mostrem què veu un atacant de la teva empresa, ara mateix.