Tema 2

Activos, superficie de ataque y objetivos de seguridad

Para proteger correctamente un entorno primero hay que saber qué tiene valor, por dónde puede ser alcanzado y qué propiedades de seguridad deben preservarse. Esta unidad establece esa base de análisis.

Objetivo Identificar qué se protege
Enfoque Inventario y exposición
Resultado Priorizar controles con criterio
Clave No se defiende lo que no se conoce

2.1 Introducción

Una gran parte de los problemas de seguridad no aparece porque falten herramientas, sino porque no existe claridad sobre qué activos son críticos, qué exposición tienen y qué impacto produciría su compromiso. Sin esa visión, los controles suelen aplicarse de forma reactiva o desordenada.

Este tema estudia tres ideas centrales. La primera es el concepto de activo: aquello que tiene valor y debe protegerse. La segunda es la superficie de ataque: todos los puntos por los que un atacante o una amenaza pueden interactuar con esos activos. La tercera son los objetivos de seguridad, es decir, las propiedades que deben mantenerse para que la organización opere de forma confiable.

2.2 Qué es un activo

Un activo es cualquier recurso que aporta valor al negocio, a la operación o a una persona y cuya pérdida, alteración, exposición o indisponibilidad generaría consecuencias negativas. En seguridad, hablar de activos permite ordenar prioridades: no todo merece el mismo nivel de protección.

El valor de un activo puede ser económico, operativo, legal, estratégico o reputacional. Por ejemplo, una base de clientes tiene valor comercial y legal; un servidor de autenticación tiene valor operativo; un secreto industrial tiene valor estratégico.

2.3 Clasificación de activos

Categoría Ejemplos Riesgos frecuentes
Información Datos personales, financieros, médicos, diseños, claves Robo, filtración, manipulación, cifrado malicioso
Activos físicos Servidores, notebooks, móviles, discos, equipamiento de red Robo, daño, sabotaje, acceso físico no autorizado
Activos lógicos Aplicaciones, bases de datos, sistemas operativos, APIs Explotación de fallas, abuso de funciones, escalada de privilegios
Identidades Usuarios, cuentas de servicio, administradores, proveedores Suplantación, robo de credenciales, abuso interno
Servicios Correo, VPN, DNS, nube, autenticación, portales Caídas, interrupciones, denegación de servicio
Procesos y conocimiento Procedimientos, reglas de negocio, know-how Fraude, dependencia de personas clave, pérdida de continuidad

2.4 El inventario como punto de partida

Un programa serio de seguridad necesita un inventario actualizado de activos. Si una organización no sabe qué tiene, dónde está, quién lo usa y qué tan crítico es, no puede medir exposición real ni aplicar controles coherentes.

  • Qué activo existe.
  • Dónde está alojado o desplegado.
  • Quién es su responsable.
  • Qué información procesa o almacena.
  • Qué dependencia tiene con otros activos.
  • Qué impacto tendría su compromiso.
El inventario no es solo una lista técnica. Es la base para priorizar parches, segmentar accesos, definir respaldos y decidir dónde invertir esfuerzos de seguridad.

2.5 Criticidad del activo

No todos los activos son igual de importantes. La criticidad ayuda a establecer prioridades de protección. Para definirla se suelen considerar preguntas como:

  • ¿Qué pasa si el activo deja de estar disponible?
  • ¿Qué pasa si los datos se modifican incorrectamente?
  • ¿Qué pasa si la información se hace pública?
  • ¿Hay obligación legal o contractual de protegerlo?
  • ¿Afecta ingresos, operación, clientes o reputación?

Un activo crítico exige controles más estrictos, monitoreo más cercano y tiempos de recuperación más exigentes que uno secundario.

2.6 Qué es la superficie de ataque

La superficie de ataque es el conjunto de entradas, interfaces, servicios, dependencias y comportamientos que podrían ser utilizados para alcanzar un activo. Es, en términos simples, el mapa de exposición de un entorno.

Esta superficie no se limita a servidores publicados en Internet. También incluye usuarios, procesos internos, integraciones con terceros, accesos remotos, software desactualizado, APIs, credenciales, dispositivos móviles y configuraciones incorrectas.

2.7 Tipos de superficie de ataque

Tipo Incluye Ejemplos
Externa Todo lo accesible desde Internet o por terceros Sitios web, VPN, correo, APIs públicas, paneles de administración
Interna Recursos accesibles desde la red corporativa Shares, sistemas internos, impresoras, dominios, bases internas
Humana Interacciones y decisiones de personas Phishing, ingeniería social, errores, abuso de permisos
De terceros Conexiones con proveedores o socios Accesos remotos, software de terceros, cadena de suministro
Física Acceso material a dispositivos o instalaciones Puertos USB, salas de servidores, notebooks sin resguardo

2.8 Factores que amplían la superficie de ataque

  • Servicios innecesarios expuestos a Internet.
  • Usuarios con privilegios excesivos o permanentes.
  • Aplicaciones web sin hardening ni revisiones de seguridad.
  • Dispositivos sin parches o con configuraciones por defecto.
  • Uso no controlado de nube, SaaS o herramientas personales.
  • Falta de segmentación entre redes, sistemas y ambientes.
  • Integraciones con terceros sin validación ni monitoreo suficiente.

En general, toda complejidad no controlada tiende a aumentar la exposición. Por eso la seguridad también consiste en simplificar, limitar y ordenar.

2.9 Reducir la superficie de ataque

Reducir la superficie de ataque implica cerrar, limitar o proteger puntos de entrada innecesarios o débiles. Es una estrategia preventiva muy efectiva porque disminuye oportunidades antes de que el ataque ocurra.

  • Deshabilitar servicios y puertos que no se utilizan.
  • Eliminar cuentas obsoletas y revisar privilegios.
  • Publicar solo lo estrictamente necesario.
  • Separar ambientes de desarrollo, prueba y producción.
  • Aplicar MFA, segmentación y acceso condicional.
  • Actualizar software y remover componentes abandonados.

2.10 Objetivos de seguridad

Una vez identificados los activos y su exposición, es necesario definir qué propiedades de seguridad deben preservarse. Los objetivos clásicos son confidencialidad, integridad y disponibilidad, pero en la práctica también importan autenticidad, trazabilidad y no repudio.

2.11 Confidencialidad

La confidencialidad busca que la información solo sea accesible para quienes están autorizados. Se relaciona con secretos comerciales, datos personales, credenciales, información financiera y cualquier dato sensible.

La pérdida de confidencialidad puede producirse por filtraciones, espionaje, accesos indebidos, credenciales robadas o configuraciones incorrectas en almacenamiento y nube.

  • Controles típicos: cifrado, control de acceso, segmentación, clasificación de datos.
  • Ejemplos de incidentes: base de datos expuesta, correo reenviado por error, robo de tokens.

2.12 Integridad

La integridad asegura que los datos y sistemas no sean alterados de forma indebida, accidental o maliciosa. No alcanza con que la información exista: debe ser correcta, completa y confiable.

Una pérdida de integridad puede significar registros manipulados, órdenes alteradas, archivos dañados, configuración modificada o resultados de negocio incorrectos.

  • Controles típicos: validaciones, hashes, firma digital, control de cambios, segregación de funciones.
  • Ejemplos de incidentes: modificación de saldos, alteración de logs, cambio no autorizado de reglas.

2.13 Disponibilidad

La disponibilidad busca que sistemas, datos y servicios estén accesibles cuando se los necesita. Un activo puede conservar confidencialidad e integridad, pero si no está disponible en el momento oportuno, igual puede producir un daño severo.

  • Controles típicos: redundancia, backups, balanceo, monitoreo, planes de continuidad.
  • Ejemplos de incidentes: caída de una plataforma, ransomware, denegación de servicio, fallo eléctrico.

2.14 Otros objetivos complementarios

  • Autenticidad: verificar que una identidad, mensaje o sistema es genuino.
  • Trazabilidad: poder reconstruir qué ocurrió, quién actuó y cuándo.
  • No repudio: impedir que una parte niegue una acción realizada cuando hay evidencia suficiente.
  • Privacidad: proteger el tratamiento adecuado de datos personales.

Estos objetivos aparecen con fuerza en auditoría, cumplimiento normativo, firma digital, monitoreo y gestión de incidentes.

2.15 Relación entre activos, superficie y objetivos

Los tres conceptos deben analizarse juntos. Un activo define qué importa. La superficie de ataque muestra por dónde puede ser alcanzado. Los objetivos de seguridad indican qué propiedades deben resguardarse. A partir de esa combinación se decide qué controles son razonables.

Ejemplo: una base de datos de clientes es un activo crítico. Su superficie de ataque incluye la aplicación web, los accesos administrativos, las credenciales, la red y los respaldos. Sus objetivos principales suelen ser confidencialidad e integridad, además de disponibilidad para la operación.

2.16 Casos de ejemplo

  • Portal de comercio electrónico: activos críticos: datos de clientes, pagos, catálogo, disponibilidad del sitio. Superficie: web pública, API, panel administrativo, proveedor de pagos. Objetivos: disponibilidad e integridad operativa, más confidencialidad de datos.
  • Hospital: activos críticos: historias clínicas, sistemas de turnos, equipamiento conectado. Superficie: red interna, accesos remotos, personal médico, terceros. Objetivos: alta disponibilidad, confidencialidad y trazabilidad.
  • PyME con trabajo remoto: activos críticos: correo, archivos compartidos, cuentas financieras. Superficie: VPN, dispositivos personales, credenciales, nube. Objetivos: confidencialidad e integridad, con foco en identidad.

2.17 Errores comunes

  • Creer que solo los servidores son activos críticos.
  • Olvidar que las cuentas y permisos también son activos.
  • No considerar a proveedores y terceros dentro de la superficie de ataque.
  • Confundir publicación con necesidad real de exposición.
  • No diferenciar criticidad entre activos principales y secundarios.
  • Definir controles sin tener claro qué objetivo de seguridad se busca proteger.

2.18 Qué debe quedar claro

  • Un activo es todo recurso valioso cuya pérdida o compromiso tendría impacto.
  • La superficie de ataque representa los puntos de exposición de esos activos.
  • Los objetivos de seguridad orientan el tipo de protección necesaria.
  • La criticidad permite priorizar inversión, monitoreo y respuesta.
  • Reducir exposición es una de las medidas más eficaces en prevención.

2.19 Conclusión

Identificar activos, entender la superficie de ataque y definir objetivos de seguridad es el paso previo a cualquier estrategia de defensa coherente. Sin ese marco, la seguridad se vuelve dispersa; con él, es posible priorizar, justificar controles y analizar riesgos con más precisión.

En el próximo tema se profundizará en la diferencia entre amenaza, vulnerabilidad, riesgo, impacto y explotación, completando el vocabulario central del curso.

Volver al índice