Cuando pensamos en un ciberataque nos imaginamos a alguien “entrando” en los sistemas. Pero la primera fase de cualquier ataque no toca nada tuyo: es reconocimiento. El atacante mira qué muestras en internet — igual que un ladrón observa qué ventanas quedan abiertas antes de acercarse a la casa.
Todo lo que tu empresa expone públicamente es tu superficie de ataque. Y aquí viene el problema: la mayoría de pymes no saben qué tienen ahí.
Qué forma parte de tu superficie de ataque
Más cosas de las que parece:
- Dominios y subdominios. La web corporativa, pero también aquel
test.empresa.comque alguien creó para una prueba y nadie apagó. - Servicios publicados. Accesos remotos (VPN, escritorio remoto), paneles de administración, el ERP accesible desde fuera, cámaras IP, la centralita.
- Correo y su configuración. SPF, DKIM y DMARC mal configurados facilitan que suplanten tu identidad ante clientes y proveedores.
- Cloud y SaaS. Cuentas de Microsoft 365 o Google Workspace, buckets de almacenamiento mal configurados, aplicaciones conectadas que nadie recuerda.
- Certificados y versiones. Un certificado caducado o un servidor con versión antigua anuncian dejadez — y vulnerabilidades concretas que explotar.
- Credenciales filtradas. Contraseñas corporativas que aparecen en filtraciones de terceros y se venden o publican. El atacante no tiene que “hackear” nada: entra con la llave.
Nada de esto requiere que el atacante toque tus sistemas. Todo es observable desde fuera, con herramientas automáticas, a coste casi cero. Por eso tú también deberías estar mirándolo.
El problema no es la foto, es la película
Un informe puntual de tu exposición está bien — durante una semana. Después alguien publica un servicio nuevo para salir del paso, caduca un certificado, aparece una vulnerabilidad crítica en el fabricante de tu cortafuegos, o salen credenciales tuyas en una filtración. La superficie de ataque cambia constantemente, y las ventanas de exposición se miden en días: los atacantes escanean internet entero de forma continua y automatizada.
La consecuencia práctica: la superficie de ataque no se audita una vez al año, se vigila cada día. Esto es lo que llamamos attack surface monitoring:
- Descubrimiento automático de todo lo que tu organización expone (a menudo la primera sorpresa: “¿esto sigue publicado?”).
- Vigilancia continua con alertas cuando aparece un activo nuevo, un puerto abierto, un certificado a punto de caducar o una credencial filtrada.
- Priorización humana: no todo lo que aparece es urgente. Alguien tiene que traducir los hallazgos a “arregla esto primero, esto puede esperar”.
- Seguimiento hasta el cierre, porque una alerta que nadie gestiona es ruido, no seguridad.
Por dónde empezar
Si nunca lo has mirado, tres acciones para esta semana:
- Pregunta a tu informático cuántos subdominios y servicios públicos tiene la empresa. Si la respuesta no es una lista concreta, ya tienes el primer hallazgo.
- Comprueba la configuración de tu correo (SPF/DKIM/DMARC) — hay verificadores gratuitos y es media hora de trabajo.
- Busca tu dominio en servicios de credenciales filtradas. Si aparece, cambia contraseñas y activa MFA ya.
Y si quieres que esto esté vigilado cada día, con alertas y alguien que priorice qué arreglar — es exactamente lo que hace nuestro servicio de monitorización continua de la superficie de ataque. Escríbenos a hola@cynderlab.com y te mostramos qué ve un atacante de tu empresa, ahora mismo.