La gestión de riesgos externos (ERM) es el cambio estratégico hacia abordar amenazas más allá del perímetro de la red tradicional, donde ahora se originan la mayoría de los ciberataques modernos.
Las amenazas cibernéticas ya no se detienen en el firewall. A medida que las organizaciones amplían su huella digital en plataformas en la nube, endpoints remotos y proveedores externos, también aumenta su exposición a riesgos invisibles.
Sin embargo, la mayoría de las estrategias de seguridad siguen enfocándose internamente. Mientras los EDR, firewalls y SIEM monitorean lo que hay dentro, los atacantes explotan cada vez más lo que queda sin supervisión en el exterior. Desde credenciales filtradas en la dark web hasta activos en la nube mal configurados, estos puntos ciegos se convierten en puertas de entrada.
Para adelantarse, las organizaciones necesitan más que detección, también requieren visibilidad. Aquí es donde entra la reducción de la exposición a amenazas externas (lo que Frost & Sullivan llama Gestión de Riesgos Externos).
Por qué la huella digital no termina en el firewall
Las organizaciones modernas operan mucho más allá de sus redes internas, expandiendo su superficie de ataque a través de:
- Cargas de trabajo en la nube
- Empleados remotos
- Herramientas de terceros
- Servicios expuestos a internet
Esto representa un aumento del 133 % anual en activos cibernéticos, una expansión que introduce riesgos en lugares donde las herramientas tradicionales no pueden llegar.
Los EDR, firewalls y SIEM todavía tienen su papel, pero fueron diseñados para la visibilidad interna. No detectan buckets S3 expuestos, credenciales filtradas en la dark web ni páginas falsas que suplantan tu marca.
Sin visibilidad externa, los atacantes toman ventaja. Los responsables de seguridad deben considerar todo lo que toca internet, no solo lo que está dentro del perímetro.
El auge del cibercrimen como negocio
El cibercrimen se ha convertido en una industria escalable. Con el auge del cibercrimen como servicio (CaaS), los atacantes ya no necesitan habilidades avanzadas, solo acceso al mercado adecuado. Desde kits de phishing y brokers de acceso inicial hasta credenciales robadas y herramientas de acceso remoto en mercados de la dark web, la economía subterránea prospera.
Estas herramientas facilitan el acceso y aceleran la velocidad de ataque. Una sola credencial filtrada o un activo mal configurado pueden desencadenar una brecha a gran escala, con semanas de actividad previa visible en canales oscuros o grupos de Telegram.
Los ataques que usan credenciales comprometidas aumentaron un 71 % anual, y el costo promedio de una brecha de datos crece por millones.
Los defensores no solo necesitan más alertas, sino inteligencia que muestre lo que los atacantes ya están planificando.
Por qué la falta de visibilidad es la mayor debilidad de la seguridad
La mayoría de las brechas no ocurren porque los atacantes sean más inteligentes, sino porque las organizaciones no ven lo que está expuesto y muchas veces pasa desapercibido hasta que es demasiado tarde. Entre estos puntos ciegos están:
- TI sombra
- Subdominios olvidados
- Activos en la nube mal configurados
- Credenciales filtradas
Consecuencias de la fatiga por alertas
Mientras tanto, los equipos de seguridad están saturados con alertas ruidosas y herramientas aisladas, sin el contexto externo para priorizar. Mantener la visibilidad sobre la superficie de ataque con procesos manuales es imposible, por el volumen de datos y el riesgo de errores humanos.
Sin visibilidad sobre cómo los atacantes apuntan a activos expuestos, a menudo anunciados semanas antes, los equipos reaccionan en vez de anticiparse, lo que puede causar:
- Daño a la marca: Brechas como la de SolarWinds generan mala publicidad, pérdida de confianza, caída en valor bursátil y oportunidades de negocio.
- Multas regulatorias: Incumplimientos de normativas como GDPR o HIPAA pueden acarrear sanciones económicas, supervisión y acciones legales.
- Paradas operativas: Falta de visibilidad prolonga la detección y dificulta la recuperación, afectando la continuidad y productividad.
Introduciendo lo que Frost llama Gestión de Riesgos Externos (ERM)
Frost & Sullivan define ERM como el cambio estratégico hacia la gestión de amenazas más allá del perímetro tradicional, donde hoy se originan la mayoría de los ciberataques modernos.
En lugar de enfocarse solo en registros internos y endpoints, ERM enfatiza la visibilidad del comportamiento de los adversarios, activos expuestos y actividad en la dark web.
Componentes clave de ERM
- Inteligencia de amenazas cibernéticas (CTI): Comprender quién ataca, por qué y cómo, basado en comportamientos reales.
- Gestión de superficie de ataque externa (EASM): Identificar y reducir la exposición de activos y servicios mal configurados mediante monitoreo continuo.
- Protección contra riesgos digitales (DRP): Vigilar la suplantación de marca, datos filtrados y robo de credenciales en internet profundo y oscuro.
- Gestión de riesgos de terceros (TPRM): Evaluar y mitigar riesgos de proveedores y socios.
- IA generativa: Automatizar el análisis de grandes volúmenes de datos externos para acelerar la detección y priorización.
Beneficios de ERM
- Visibilidad mejorada: Vista completa de activos expuestos, vulnerabilidades y riesgos de terceros.
- Seguridad proactiva: Inteligencia en tiempo real y automatización para anticipar ataques.
- Mayor productividad: Menos tareas manuales y más rapidez en investigaciones.
- Ahorro de costos: Evitar pérdidas por fraudes y brechas, optimizando operaciones.
- Cumplimiento reforzado: Mejor gestión de riesgos externos y postura clara de seguridad.
- Mejor colaboración: Comunicación y coordinación entre equipos con una visión unificada.
En KELA llamamos a esto reducción de la exposición a amenazas externas, y es lo que ofrecemos cada día. Nuestra plataforma ayuda a las organizaciones a descubrir las amenazas fuera de sus muros para actuar antes de que sea demasiado tarde.
Acceda aquí al post completo.
