Tema 3

3. Activos de información y superficie de ataque

Para proteger bien un entorno digital primero hay que saber qué tiene valor y por dónde puede ser atacado. Ese es el punto de partida de cualquier estrategia de seguridad.

Objetivo Identificar qué debe protegerse
Enfoque Inventario y exposición
Resultado Pensar en términos de activos y entrada

3.1 Introducción

Una de las primeras tareas en ciberseguridad es identificar los activos que tienen valor y comprender cuál es la superficie de ataque asociada a ellos. Si no sabemos qué proteger, ni desde dónde puede llegar una amenaza, la defensa se vuelve improvisada.

Este tema establece una idea esencial: la seguridad no comienza instalando herramientas, sino entendiendo el entorno que queremos resguardar.

3.2 ¿Qué es un activo de información?

Un activo de información es cualquier recurso valioso para una persona, empresa o institución. Ese valor puede ser económico, operativo, legal, estratégico o reputacional.

No todos los activos son datos en sentido estricto. También pueden ser sistemas, cuentas, procesos, documentos, dispositivos o servicios.

Un activo no se define solo por lo que cuesta. Se define por el impacto que tendría perderlo, exponerlo, alterarlo o dejar de tenerlo disponible.

3.3 Tipos de activos

Tipo de activo Ejemplos Riesgo típico
Información Bases de datos, contratos, historiales, credenciales Robo, filtración o alteración
Identidades Cuentas de usuario, admins, tokens, llaves API Suplantación y acceso indebido
Infraestructura Servidores, redes, routers, nube, VPN Interrupción, intrusión, movimiento lateral
Aplicaciones Sitios web, APIs, apps móviles, sistemas internos Explotación de fallas o exposición de datos
Procesos Facturación, atención, producción, logística Paralización o fraude operativo
Personas Empleados, clientes, proveedores Ingeniería social y abuso de confianza

3.4 Activos visibles e invisibles

Algunos activos son evidentes, como una base de datos de clientes o un portal web. Otros son menos visibles pero igual de importantes, por ejemplo:

  • Copias de seguridad.
  • Claves embebidas en aplicaciones.
  • Configuraciones de nube.
  • Documentación interna.
  • Credenciales compartidas entre equipos.
  • Integraciones con terceros.

Muchas brechas graves ocurren justamente en activos olvidados, mal inventariados o heredados.

3.5 Clasificación de activos por criticidad

No todos los activos requieren el mismo nivel de protección. Una forma habitual de priorizar es clasificarlos por criticidad según el impacto que tendría su compromiso.

  • Alta criticidad: si falla o se expone, el daño es severo.
  • Media criticidad: el impacto existe, pero es más acotado.
  • Baja criticidad: afecta menos al negocio o la operación.

Esta clasificación ayuda a invertir tiempo y controles donde realmente importa.

3.6 Relación entre activo, amenaza y control

Una manera útil de pensar seguridad es esta:

  • Primero se identifica el activo valioso.
  • Luego se analizan amenazas y vulnerabilidades asociadas.
  • Después se seleccionan controles proporcionales al riesgo.

Por ejemplo, una base de datos de clientes puede requerir autenticación fuerte, segmentación, cifrado, monitoreo y backups. En cambio, un contenido público del sitio web tendrá otras necesidades.

3.7 ¿Qué es la superficie de ataque?

La superficie de ataque es el conjunto de puntos, interfaces, accesos o condiciones que un atacante podría aprovechar para comprometer un activo o un sistema.

En términos simples, es todo lo que "queda expuesto" o que puede convertirse en una vía de entrada, abuso o interrupción.

3.8 Ejemplos de superficie de ataque

  • Puertos y servicios expuestos a internet.
  • Aplicaciones web y formularios públicos.
  • APIs sin controles suficientes.
  • Cuentas con contraseñas débiles o sin MFA (autenticación multifactor - multi-factor authentication).
  • Equipos remotos con mala configuración.
  • Servicios cloud mal expuestos.
  • Correo electrónico y mensajería usados por usuarios.
  • Dependencias de software vulnerables.

3.9 Superficie de ataque externa e interna

La superficie de ataque puede analizarse en dos planos complementarios:

  • Externa: todo lo que puede ser alcanzado desde fuera de la organización.
  • Interna: elementos que podrían ser abusados una vez que alguien obtuvo acceso inicial.

Esto es importante porque muchos ataques modernos no terminan al entrar. El objetivo suele ser moverse dentro del entorno, escalar privilegios y llegar al activo más valioso.

3.10 Cómo crece la superficie de ataque

La superficie de ataque aumenta cuando se incorporan nuevas tecnologías o prácticas sin suficiente control. Algunas causas comunes son:

  • Nuevas aplicaciones publicadas con urgencia.
  • Trabajo remoto y acceso desde múltiples ubicaciones.
  • Uso intensivo de SaaS y nube.
  • Integraciones con terceros.
  • Acumulación de sistemas viejos que nunca se desactivan.
  • Crecimiento de identidades, permisos y credenciales.

3.11 La importancia del inventario

Para reducir la superficie de ataque es indispensable contar con inventario actualizado de activos. No se puede proteger lo que no se conoce.

Un buen inventario debería responder preguntas como estas:

  • Qué activos existen.
  • Dónde están.
  • Quién es responsable de cada uno.
  • Qué información procesan.
  • Qué nivel de criticidad tienen.
  • Qué dependencias y accesos poseen.

3.12 Activos de terceros y cadena de suministro

Hoy muchas organizaciones dependen de proveedores, plataformas externas, librerías, servicios cloud y socios tecnológicos. Esos elementos también forman parte del riesgo global.

Por eso, la superficie de ataque no termina en el perímetro propio. También incluye relaciones de confianza con terceros que pueden convertirse en puerta de entrada o fuente de exposición.

3.13 Ejemplo práctico

Supongamos una empresa con tienda online. Algunos activos críticos podrían ser:

  • La base de datos de clientes y pedidos.
  • La plataforma web de ventas.
  • Las cuentas administrativas del panel.
  • La integración con el procesador de pagos.
  • Los respaldos de la operación.

Su superficie de ataque incluiría el sitio web público, el formulario de login, las APIs, el correo del personal, los accesos remotos de administración y las configuraciones cloud. Este ejemplo muestra que un mismo negocio combina muchos activos y muchas posibles vías de compromiso.

3.14 Reducir superficie de ataque

Reducir superficie de ataque no significa eliminar toda funcionalidad, sino exponer menos y controlar mejor. Algunas medidas comunes son:

  • Desactivar servicios que no se usan.
  • Eliminar cuentas obsoletas.
  • Revisar configuraciones por defecto.
  • Limitar permisos y accesos públicos.
  • Segmentar redes y entornos.
  • Mantener actualizado el software.

3.15 Qué debes recordar de este tema

  • Un activo es cualquier recurso valioso que merece protección.
  • Los activos pueden ser datos, cuentas, sistemas, aplicaciones, procesos o personas.
  • La superficie de ataque es todo punto potencial de exposición o explotación.
  • El inventario y la clasificación de activos son la base de una defensa ordenada.
  • Reducir exposición suele ser una de las medidas más efectivas.

3.16 Conclusión

La seguridad se vuelve mucho más clara cuando se analiza en términos de activos y superficie de ataque. Ese enfoque permite priorizar, asignar responsabilidades y aplicar controles con criterio.

En el próximo tema veremos los principios de confidencialidad, integridad y disponibilidad con más profundidad, porque son la base conceptual sobre la que se apoyan muchas decisiones de seguridad.

Volver al índice