**La expansión de la infraestructura TI deja a las organizaciones ciegas hasta que ocurre un incidente**

—

### 1. Introducción

El crecimiento acelerado de infraestructuras TI, impulsado por la adopción de la nube, el trabajo híbrido y la proliferación de dispositivos IoT, está generando un desfase crítico entre la expansión tecnológica y la capacidad real de las organizaciones para mantener la visibilidad y el control sobre sus activos digitales. Este desajuste se traduce en superficies de ataque cada vez más amplias y difusas, donde la falta de control efectivo se evidencia, en muchos casos, solo cuando se produce un incidente de ciberseguridad con consecuencias potencialmente devastadoras.

—

### 2. Contexto del Incidente o Vulnerabilidad

El fenómeno no es nuevo, pero se agrava en el contexto actual, donde las organizaciones de todos los sectores están desplegando servicios, aplicaciones y dispositivos conectados a un ritmo sin precedentes. Según datos de Gartner, el 72% de las empresas europeas han acelerado su migración a entornos cloud en los últimos dos años, mientras que el número de endpoints gestionados ha crecido un 40% en el mismo periodo. Sin embargo, la mayoría de las organizaciones no acompañan este crecimiento con inversiones proporcionales en herramientas de gestión de activos, inventariado ni monitorización continua. De hecho, el informe «State of Cybersecurity 2024» de ISACA revela que solo el 38% de las compañías dispone de un inventario actualizado de activos críticos.

Ejemplos recientes de incidentes, como el ataque a MOVEit (CVE-2023-34362) o la explotación de servicios expuestos en cloud sin la debida protección, ilustran cómo la falta de visibilidad se traduce en brechas que los atacantes explotan sistemáticamente.

—

### 3. Detalles Técnicos

Desde la perspectiva técnica, el déficit de visibilidad abarca tanto recursos on-premise como cloud, endpoints, aplicaciones SaaS y dispositivos IoT. Los atacantes utilizan técnicas clasificadas en el marco MITRE ATT&CK como «Discovery» (T1087, T1046) y «Initial Access» (T1190, T1133) para identificar y explotar activos no monitorizados o mal configurados.

En el caso concreto del CVE-2023-34362, los atacantes utilizaban exploits públicos (disponibles en repositorios como Exploit-DB y Metasploit Framework) para comprometer instancias MOVEit Transfer expuestas a Internet sin la protección adecuada. La falta de segmentación de red y la ausencia de sistemas EDR permitieron movimientos laterales (T1021) y exfiltración de datos (T1041) sin detección durante semanas. Los Indicadores de Compromiso (IoC) asociados al incidente incluían hashes de archivos maliciosos, direcciones IP de C2, cadenas de user-agent atípicas y logs de autenticaciones fallidas desde ubicaciones geográficas inusuales.

Además, la adopción descontrolada de shadow IT incrementa los riesgos: plataformas SaaS no autorizadas, servidores cloud desplegados fuera de los canales oficiales y dispositivos BYOD no registrados escapan a las políticas de seguridad corporativas.

—

### 4. Impacto y Riesgos

La falta de visibilidad y control tiene múltiples consecuencias:

– **Superficie de ataque ampliada:** Activos no inventariados y servicios expuestos aumentan el vector de entrada para atacantes.
– **Detección tardía:** El tiempo medio de detección (MTTD) de un incidente se incrementa, pasando de 24 a 46 días según Verizon DBIR 2023, en entornos con inventarios incompletos.
– **Incumplimiento normativo:** El RGPD y la directiva NIS2 exigen control efectivo de activos y capacidad de respuesta ante incidentes. La carencia de visibilidad puede derivar en sanciones económicas y pérdida de certificaciones.
– **Costes económicos:** El coste medio de una brecha de datos en Europa supera los 3,7 millones de euros, según IBM Security.

—

### 5. Medidas de Mitigación y Recomendaciones

Para reducir la brecha entre infraestructuras desplegadas y su gestión efectiva, los expertos recomiendan:

– **Inventariado continuo y automatizado:** Emplear soluciones de descubrimiento de activos (CAASM, EASM) que integren fuentes on-premise, cloud y SaaS.
– **Zero Trust:** Implementar políticas de acceso basado en identidad y microsegmentación.
– **Monitorización proactiva:** Desplegar herramientas SIEM, EDR y NDR, capaces de correlacionar eventos en tiempo real y detectar actividad anómala.
– **Gestión de vulnerabilidades:** Priorizar el parcheo de sistemas expuestos y automatizar la detección de configuraciones erróneas (CSPM).
– **Formación y concienciación:** Involucrar a equipos de IT y usuarios en la identificación y reporte de shadow IT.

—

### 6. Opinión de Expertos

Según Javier Marcos, CISO de una multinacional del sector energético, “la visibilidad es el primer pilar de cualquier estrategia de ciberseguridad; no se puede proteger lo que no se conoce. El reto radica en mantener un inventario vivo, especialmente en entornos cloud dinámicos”. Por su parte, Ana Beltrán, analista SOC, advierte: “La tendencia de ataques dirigidos contra servicios olvidados o mal configurados va en aumento. Los atacantes buscan el eslabón más débil, que suele ser aquel que ni siquiera sabemos que existe”.

—

### 7. Implicaciones para Empresas y Usuarios

Las organizaciones deben asumir que la infraestructura TI es un ecosistema en continuo cambio. El desconocimiento, la ausencia de inventariado y la falta de monitorización abren la puerta a ataques cada vez más sofisticados, desde ransomware hasta espionaje industrial. Para los usuarios, esto implica riesgos de privacidad y fuga de datos personales, así como interrupciones en los servicios críticos.

—

### 8. Conclusiones

La expansión de la infraestructura TI sin un plan paralelo de visibilidad y control es un error de alto coste. Las empresas deben invertir en tecnologías y procesos que permitan conocer, proteger y responder ante incidentes en todos sus activos digitales. Solo así podrán anticiparse a los atacantes y cumplir con las crecientes exigencias regulatorias del entorno europeo.

(Fuente: www.welivesecurity.com)