Cloud Híbrida
Ciberseguridad & NaaS
AI & Data
IoT y Conectividad
Business Applications
Intelligent Workplace
Consultoría y Servicios Profesionales
Pequeña y Mediana Empresa
Sanidad y Social
Industria
Retail
Turismo y Ocio
Transporte y Logística
Energía y Utilities
Automatización, Pentest y Red Team: la tríada para gestionar vulnerabilidades
Los datos del crecimiento de publicación y exposición de las vulnerabilidades evidencian un escenario escalofriante de amenazas. Con un promedio de 110 nuevos CVE creados por día en 2025, se reportaron 6494 vulnerabilidades en 2015, mientras en medio año de 2025 llevamos un reporte de 22717 CVE, para el momento que escribí este artículo.
Esto hace que la gestión del riesgo asociada a estas vulnerabilidades se convierta en una prioridad cada vez más compleja de manejar, debido a la velocidad con la que se deben realizar las pruebas de detección y aplicar las mitigaciones necesarias sobre cada amenaza, así como por los niveles de riesgo de cada uno de estos reportes.
Por lo tanto, como en todo en Ciberseguridad, se requiere de un proceso y una evolución que involucre tecnología, procedimientos y personas como base para la mejora continua. Y una de las acciones que se repiten sistemáticamente en muchas empresas, sin aportar un valor significativo, es la de realizar un par de pruebas de Ethical Hacking o Pentest al año, sobre una muestra de los equipos o servidores de la organización.
Con un promedio de 110 nuevos CVE creados al día en 2025, el panorama de amenazas exige una gestión de riesgos más rápida e inteligente.
Esta acción se fundamenta en las normas de certificación que comenzaron a implementarse desde 2012, donde se pedía hacer uno o dos análisis de vulnerabilidades por año y demostrar la gestión en la mitigación de las detecciones. Para esa época este procedimiento era válido, por la cantidad de amenazas reportadas y por el manejo que se podía dar con la tecnología existente en ese momento, pero esto resulta totalmente insuficiente en nuestros días.
Un especialista en seguridad ofensiva que realice la actividad requiere muchos años de preparación y se toma un mínimo de tres días en analizar un activo. Por lo tanto, este recurso debería ser manejado de forma inteligente sobre los activos que, después de un análisis más automatizado, sean detectados con amenazas altas o críticas. También sobre activos críticos en la organización, o en empresas con un sistema de Ciberseguridad más robusto, llevar estas pruebas un paso más allá que permita validar todo el sistema de protección.
Empecemos por partes
Si es una empresa que está iniciando la implementación de procesos de Ciberseguridad, o una empresa que toma las pruebas de Pentest solo para el cumplimiento normativo, se dará cuenta de que en la mayoría de los casos los reportes entregados evidencian un alto índice de vulnerabilidades de nivel medio y bajo.
Las cuales no son atendidas con eficiencia por los equipos de desarrollo o de IT, encargados de la corrección o mitigación de estas amenazas. Incluso, en algunos casos, se dejan desatendidas por años. Pero lo más grave de este proceso es que no se revisa sino una parte de la infraestructura, debido a los costos de una prueba seria de Pentest, permitiendo el crecimiento y la exposición de amenazas en toda la red sin que se tenga control sobre ellas.
Por este motivo, la recomendación que hemos dado desde hace más de 10 años es la realización de pruebas persistentes automáticas de seguridad. Un servicio ofensivo automatizado debería ser la primera opción que una organización contemple en su proceso de gestión de vulnerabilidades.
Realizar uno o dos Pentests al año ya no es suficiente para contener la escala y velocidad de las ciberamenazas actuales.
Esta automatización se puede realizar sobre toda la red, sobre los servicios web expuestos, e incluso para validar la superficie de ataque; entregando al área de Ciberseguridad un mapa más completo de los riesgos y de los niveles de exposición, con un tiempo de validación muchísimo menor al de cada seis meses de un Pentest, casi en tiempo real, y una consola con un seguimiento real de gestión y acciones tomadas para la mitigación.
Ahora, ¿qué hago con lo crítico y alto?
Con ese mapa, y después de al menos un año de seguimiento, no solo se habrán podido mejorar las medidas de mitigación y alinear el monitoreo a la detección de intentos de explotación de esas amenazas (y no solo a las detecciones generales que se configuran comúnmente en los SOC).
También esta gestión permite a las directivas tomar decisiones basadas en los riesgos. Una de estas decisiones puede ser la de realizar una prueba de penetración, o Ethical Hacking o Pentesting, mucho más profunda que la que se realiza por el monitoreo automático. El objetivo es que personas expertas no solo detecten las vulnerabilidades, sino que intenten explotarlas, demuestren el nivel real de amenaza e incluso identifiquen brechas que solo el conocimiento de un experto puede descubrir.
Un servicio ofensivo automatizado debería ser el primer paso que contemple cualquier organización en su proceso de gestión de vulnerabilidades.
Adicionalmente, esa prueba permite validar las detecciones del monitoreo y las medidas de mitigación que se han tomado, fortaleciendo los procedimientos del equipo defensivo o demostrando la necesidad de implementar nueva tecnología, cambios en los procesos o capacitaciones al personal.
Con esto no termina...
En Ciberseguridad siempre se puede dar un paso más o hacer un esfuerzo adicional. Sin duda, una empresa que ya tenga los procedimientos anteriores bien afianzados y validados puede considerarse con un nivel de madurez en Ciberseguridad alto. Pero faltaría la prueba más importante: aquella que analiza todo el sistema de defensa.
Un ejercicio de red team simula ataques reales para medir la capacidad real de una organización para detectar, responder y defenderse.
Conocido como un ejercicio de red team, este ejercicio lleva a los equipos de Ciberseguridad y a la organización entera a vivir un incidente, sin tener que sufrir sus consecuencias reales. Su objetivo es confirmar el nivel de defensa de una organización ante un ataque simulado, que replica las acciones de grupos cibercriminales conocidos o aplica las técnicas y tácticas que suelen utilizar.
Esta prueba mide la respuesta de los equipos de defensa y monitoreo, y permite completar esa gestión de vulnerabilidades asociada al riesgo con un enfoque práctico —y no solo teórico— sobre los niveles de detección de vulnerabilidades, la efectividad del monitoreo y la preparación en respuesta a incidentes.
Los expertos deben ir más allá de la detección: explotar vulnerabilidades para revelar amenazas reales que solo su conocimiento puede descubrir.
