Red Seguridad 113

red seguridad segundo trimestre 2026 39 normativa monográfico cumplimiento normativo continuo y la protección de los activos más expuestos. El auge global de EASM El interés por las soluciones de gestión de la superficie de ataque no es una tendencia pasajera, sino una respuesta directa a la necesidad crítica de visibilidad. De acuerdo con datos publicados por la consultora internacional Straits Research, el mercado global de Attack Surface Management (ASM) fue valorado en 1.790 millones de dólares en 2025 y se proyecta que crezca desde los 2.280 millones de dólares en 2026 hasta alcanzar los 16.140 millones de dólares en 2034. Esto representa una extraordinaria tasa de crecimiento anual compuesto (CAGR) del 27,7 por ciento durante dicho periodo de pronóstico. Este crecimiento tan pronunciado refleja la urgencia de las corporaciones por anticiparse a las amenazas de los atacantes. De hecho, los informes de agencias gubernamentales clave indican un cambio estructural. Y es que se predice que, para el año 2026, el 60% de las organizaciones en todo el mundo contarán con programas formales de ASM implementados, lo que supone un incremento masivo si se compara con registro del año 2021, con algo menos del 10 por ciento de adopción. La inversión financiera en este ámbito corrobora esta tendencia, con más de 350 millones de dólares en rondas de financiación para empresas líderes del sector ASM tan solo en un año reciente. Monitorización propia y TPRM La utilidad de una plataforma EASM en el contexto de cumplimiento actual se divide de manera natural en dos ámbitos críticos de actuación: la monitorización propia y la gestión del riesgo de terceros (TPRM o Third Party Risk Management). 1. Monitorización propia continua (cumplimiento de NIS2 y DORA). La directiva NIS2 y el reglamento DORA exigen explícitamente a las entidades financieras e infraestructuras críticas que mantengan políticas rigurosas de análisis de riesgos y gestión de vulnerabilidades. Una organización no puede proteger lo que no sabe que posee. EASM actúa en este frente localizando de forma totalmente pasiva y no intrusiva todos aquellos activos expuestos a Internet que pertenecen a la compañía, identificando fallos de configuración, certificados caducados o servicios antiguos desatendidos (Shadow IT). Esto transforma el cumplimiento normativo de un hito “orientado a la auditoría estática” a un estado de control y gobernanza real y medible diariamente. 2. Monitorización de terceros (TPRM) y la cadena de suministro. Quizás uno de los mayores impactos de NIS2 y, muy especialmente, de DORA es la obligatoriedad de controlar el riesgo derivado de la cadena de suministro tecnológica. Las empresas ya no son evaluadas únicamente por sus propias defensas, sino por las de sus proveedores de servicios. Evaluar la postura de seguridad de cientos de terceros mediante cuestionarios tradicionales resulta ineficaz, lento y costoso. Las plataformas EASM resuelven este cuello de botella permitiendo realizar un escaneo externo, continuo y sin agentes sobre los perímetros de los proveedores. Esto dota a las organizaciones de la capacidad de verificar de forma independiente la higiene de ciberseguridad de sus socios comerciales, e incluso extender esta visibilidad hacia las cuartas partes (los proveedores de sus proveedores), mitigando el riesgo de ataques de salto o de compromiso indirecto de datos. Los tres pilares de exposición Para responder con éxito a las exigencias regulatorias modernas, un EASM no debe limitarse a actuar como un simple escáner de puertos de TI tradicionales. El riesgo digital se ha diversificado y los vectores de entrada explotados por los atacantes abarcan múltiples dimensiones de la organización. Por ello, una solución avanzada debe estructurarse en torno a los tres pilares fundamentales de exposición corporativa: Capa de TI (Tecnología de la Información): Comprende el descubrimiento y análisis de los activos tradicionales orientados a Internet, como servidores corporativos, entornos multicloud, nombres de dominio, subdominios, firewalls y aplicaciones web expuestas, mapeando la infraestructura viva e identificando activos olvidados. Capa de identidad: Los datos y las personas representan la mayor superficie de explotación. El análisis dinámico e inteligente debe rastrear fuentes externas y mercados oscuros para detectar fugas de datos institucionales, credenciales corporativas comprometidas, filtraciones de información crítica de directivos La seguridad ya no puede autodeclararse; debe demostrarse y monitorizarse de forma ininterrumpida

RkJQdWJsaXNoZXIy MTI4MzQz