{"id":1616909,"date":"2025-03-11T15:59:26","date_gmt":"2025-03-11T15:59:26","guid":{"rendered":"https:\/\/teknomers.com\/es\/sus-puntajes-de-riesgo-estan-mentir-la-validacion-de-exposicion-adversa-expone-amenazas-reales\/"},"modified":"2025-03-11T15:59:31","modified_gmt":"2025-03-11T15:59:31","slug":"sus-puntajes-de-riesgo-estan-mentir-la-validacion-de-exposicion-adversa-expone-amenazas-reales","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/sus-puntajes-de-riesgo-estan-mentir-la-validacion-de-exposicion-adversa-expone-amenazas-reales\/","title":{"rendered":"Sus puntajes de riesgo est\u00e1n mentir: la validaci\u00f3n de exposici\u00f3n adversa expone amenazas reales"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">11 de marzo de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">Prueba de simulaci\u00f3n de violaci\u00f3n \/ penetraci\u00f3n<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/hubs.li\/Q03b3q4m0\" style=\"clear: left; display: block; float: left;  text-align: center;cursor:pointer\" target=\"_blank\"><\/a><\/div>\n<p>En ciberseguridad, la confianza es una espada de doble filo. Las organizaciones a menudo operan bajo un <strong>False sensaci\u00f3n de seguridad<\/strong>creyendo que las vulnerabilidades parcheadas, las herramientas actualizadas, los paneles pulidos y los puntajes de riesgo brillantes garantizan la seguridad. La realidad es una historia un poco diferente. En el mundo real, verificar las cajas correctas no es igual a ser seguro. Como advirti\u00f3 Sun Tzu, <em>&#8220;La estrategia sin t\u00e1cticas es la ruta m\u00e1s lenta hacia la victoria. Las t\u00e1cticas sin estrategia son el ruido antes de la derrota&#8221;.<\/em> Dos milenios y medio m\u00e1s tarde, el concepto a\u00fan se mantiene: las defensas de ciberseguridad de su organizaci\u00f3n deben ser estrat\u00e9gicamente <strong>validado en condiciones del mundo real<\/strong> Para garantizar la supervivencia de su negocio. Hoy, m\u00e1s que nunca, necesitas <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/use-case\/adversarial-exposure-validation\" target=\"_blank\">Validaci\u00f3n de exposici\u00f3n adversaria (AEV)<\/a><\/strong>la estrategia esencial que a\u00fan falta en la mayor\u00eda de los marcos de seguridad.<\/p>\n<h2><strong>El peligro de falsa confianza<\/strong><\/h2>\n<p>La sabidur\u00eda convencional sugiere que si ha parcheado errores conocidos, implement\u00f3 una pila de herramientas de seguridad bien consideradas y ha pasado las auditor\u00edas de cumplimiento necesarias, est\u00e1 &#8220;seguro&#8221;. Pero ser cumplido no es lo mismo que estar realmente seguro. De hecho, estos supuestos a menudo crean puntos ciegos y un sentido peligroso de falsa seguridad. La verdad inc\u00f3moda es que <strong>Las puntuaciones de CVE, las probabilidades de EPSS y las listas de verificaci\u00f3n de cumplimiento solo de los cuestiones te\u00f3ricas del cat\u00e1logo, en realidad no confirman la resiliencia real.<\/strong> A los atacantes no les importa si cumple con orgullo; Les importa d\u00f3nde est\u00e1n las grietas de su organizaci\u00f3n, especialmente esas grietas que a menudo pasan desapercibidas en las operaciones diarias.<\/p>\n<p>En muchos sentidos, confiar \u00fanicamente en los controles est\u00e1ndar o una prueba de una vez al a\u00f1o es como pararse en un muelle resistente sin saber si puede resistir ese hurac\u00e1n cuando toca tierra. . Y sabes que la tormenta est\u00e1 llegando, simplemente no sabes cu\u00e1ndo, o si tus defensas son lo suficientemente fuertes. <strong>La validaci\u00f3n de exposici\u00f3n adversaria coloca estos supuestos bajo el microscopio.<\/strong> No contento con solo enumerar sus posibles puntos d\u00e9biles, AEV <strong>Implacamente empuja contra esos puntos d\u00e9biles<\/strong> Hasta que veas cu\u00e1les importan y cu\u00e1les no. En Picus, sabemos que <strong>La verdadera seguridad exige validaci\u00f3n sobre la fe<\/strong>.<\/p>\n<h2><strong>El problema con las evaluaciones de exposici\u00f3n tradicionales<\/strong><\/h2>\n<p>\u00bfPor qu\u00e9 no est\u00e1n las medidas tradicionales a la tarea de evaluar la exposici\u00f3n cibern\u00e9tica real? Aqu\u00ed hay tres razones principales.<\/p>\n<ol>\n<li><strong>Los puntajes de vulnerabilidad solo cuentan la mitad de la historia. <\/strong>Una vulnerabilidad cr\u00edtica de CVSS 9.8 puede parecer aterradora en papel, pero si <em>en realidad no se puede explotar<\/em> En su entorno, \u00bfdeber\u00eda solucionarlo realmente su m\u00e1xima prioridad? El reciente an\u00e1lisis de Gartner destaca una realidad sorprendente: <em>&#8220;En 2023, solo el 9.7% de todas las vulnerabilidades divulgadas se sab\u00edan explotadas, aproximadamente 8-9% cada a\u00f1o durante la \u00faltima d\u00e9cada&#8221;.<\/em> Por el contrario, una falla de gravedad &#8220;moderada&#8221; podr\u00eda encadenar f\u00e1cilmente con otra exploit, por lo que es tan peligrosa como ese 9.8 en la pr\u00e1ctica. La verdad contradictoria es que no todas las vulnerabilidades de alta puntuaci\u00f3n se traducen en riesgo real, y algunas de la puntuaci\u00f3n m\u00e1s baja pueden ser excepcionalmente da\u00f1inas.<\/li>\n<li><strong>Abrumado sin claridad. <\/strong>Los equipos de seguridad contin\u00faan ahog\u00e1ndose en un mar de CVE, puntajes de riesgo y caminos de ataque hipot\u00e9ticos. Cuando todo es marcado como cr\u00edtico, \u00bfc\u00f3mo puede su gente separar la se\u00f1al del ruido? Una vez m\u00e1s, es importante recordar que no todas las exposiciones tienen el mismo peso, y tratar cada alerta igualmente termina siendo tan mala como ignorarlas por completo. Demasiado a menudo el <em>real<\/em> Las amenazas se pierden en el diluvio de datos irrelevantes. Sin embargo, saber qu\u00e9 debilidades <em>realmente puede explotar <\/em>lo cambia todo; Te permite centrarse en, y de manera inteligente, los riesgos reales se esconden en la oscuridad.<\/li>\n<li><strong>La brecha entre la teor\u00eda y la pr\u00e1ctica.<\/strong> Los escaneos tradicionales y las pruebas de penetraci\u00f3n de una vez al trimestre proporcionan literalmente una instant\u00e1nea en el tiempo. Pero las instant\u00e1neas envejecen r\u00e1pidamente y mal en ciberseguridad. Un informe del \u00faltimo trimestre no refleja lo que est\u00e1 sucediendo <em>ahora mismo<\/em>. Esta brecha entre la evaluaci\u00f3n y la realidad significa que las organizaciones a menudo descubren que su organizaci\u00f3n no es realmente segura solo despu\u00e9s de una violaci\u00f3n.<\/li>\n<\/ol>\n<h2><strong>Validaci\u00f3n de la exposici\u00f3n adversaria: la prueba de estr\u00e9s de ciberseguridad final<\/strong><\/h2>\n<p>La validaci\u00f3n de exposici\u00f3n adversaria (AEV) es la evoluci\u00f3n l\u00f3gica para los equipos de seguridad listos para ir m\u00e1s all\u00e1 de los supuestos y las ilusiones. AEV funciona como un continuo <strong>&#8220;Prueba de estr\u00e9s de ciberseguridad&#8221;<\/strong> para su organizaci\u00f3n y sus defensas. <strong>El ciclo de bombeo 2024 de Gartner para operaciones de seguridad<\/strong> BAS consolidada y un equipo autom\u00e1tico de pentesting\/rojo en la categor\u00eda \u00fanica de validaci\u00f3n de exposici\u00f3n adversaria, lo que subraya que estas herramientas previamente aisladas son m\u00e1s poderosas juntas. Echemos un vistazo m\u00e1s de cerca: <\/p>\n<ul>\n<li><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/use-case\/breach-and-attack-simulation\" target=\"_blank\">Simulaci\u00f3n de violaci\u00f3n y ataque (BAS)<\/a>:<\/strong> Puede pensar en BAS como una pareja automatizada y continua de combate que emula con seguridad las amenazas cibern\u00e9ticas y los comportamientos de los atacantes en su entorno. BAS prueba continuamente qu\u00e9 tan bien est\u00e1n detectando sus controles y evitando acciones maliciosas, proporcionando evidencia continua de qu\u00e9 ataques se atrapan y cu\u00e1les se deslizan.<\/li>\n<li><strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/use-case\/pen-testing-automation\" target=\"_blank\">Pruebas de penetraci\u00f3n automatizada<\/a>:<\/strong> Una sonda met\u00f3dica que no solo escanea las vulnerabilidades, sino que intenta activamente la explotaci\u00f3n, paso a paso, tal como lo har\u00eda un atacante real. Estos pentests automatizados (a veces llamados pentestes continuos o aut\u00f3nomos) lanzan ataques dirigidos para encontrar debilidades reales, encadenando las haza\u00f1as y sondeando las reacciones de sus sistemas.<\/li>\n<\/ul>\n<p>Crucialmente, AEV no se trata solo de tecnolog\u00eda, tambi\u00e9n es un cambio de mentalidad. <strong>Las CISO l\u00edderes ahora abogan por un enfoque de &#8220;asumir violaci\u00f3n&#8221;:<\/strong> asumiendo el enemigo <em>voluntad<\/em> Penetre sus defensas iniciales, puede concentrarse en validar su preparaci\u00f3n para esa eventualidad. En la pr\u00e1ctica, esto significa emular constantemente las t\u00e1cticas adversas en todo su cadena de asesinato, desde el acceso inicial, hasta el movimiento lateral, hasta la exfiltraci\u00f3n de datos, y garantizar que sus personas y herramientas est\u00e9n detectando, e idealmente se detienen, cada paso. Este es el objetivo: defensa verdaderamente proactiva.<\/p>\n<p>Gartner predice que para 2028, <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/resource\/blog\/top-5-benefits-of-implementing-adversarial-exposure-validation\" target=\"_blank\">Validaci\u00f3n de exposici\u00f3n continua<\/a> Ser\u00e1 aceptado como una alternativa a los requisitos tradicionales de Pentest en los marcos regulatorios. <\/strong>Los l\u00edderes de seguridad con visi\u00f3n de futuro ya se est\u00e1n moviendo de esta manera, \u00bfpor qu\u00e9 fortalecer ese muelle solo una vez al a\u00f1o y esperar lo mejor, cuando puede probar y reforzarlo continuamente para que se adapte a una marea creciente de amenazas en constante evoluci\u00f3n?<\/p>\n<h2><strong>Desde el ruido hasta la precisi\u00f3n: conc\u00e9ntrese en lo que importa<\/strong><\/h2>\n<p>Uno de los mayores desaf\u00edos entre las industrias para los equipos de seguridad es la incapacidad de reducir el ruido. Por eso <strong>La validaci\u00f3n de la exposici\u00f3n adversaria es muy importante: reenfoca a sus equipos sobre lo que realmente le importa a su organizaci\u00f3n:<\/strong><\/p>\n<ul>\n<li><strong>Eliminando las conjeturas mostr\u00e1ndote <em>cual<\/em> Las vulnerabilidades pueden ser explotadas y <em>c\u00f3mo<\/em>.<\/strong> En lugar de sudar a m\u00e1s de docenas de CVSS de m\u00e1s de 9+ vulns que atacantes <em>podr\u00eda<\/em> Explotaci\u00f3n, sabr\u00e1s cu\u00e1les <em>poder<\/em> Explotar en su entorno y en qu\u00e9 secuencia. Esto le permite priorizar las defensas basadas en <strong>riesgo real, no severidad hipot\u00e9tica<\/strong>.<\/li>\n<li><strong>Racionalizaci\u00f3n de la remediaci\u00f3n.<\/strong> En lugar de una acumulaci\u00f3n interminable de hallazgos &#8220;cr\u00edticos&#8221; que nunca parece reducirse, AEV ofrece una visi\u00f3n clara y estructurada de la cual las exposiciones son realmente explotables en su entorno, a menudo <strong>en combinaciones peligrosas que no ser\u00edan obvias de los resultados de escaneo aislado<\/strong>. Esto significa que los equipos finalmente pueden salir de reaccionar y arreglar proactivamente lo que <em>en realidad<\/em> necesita arreglar, reducir dr\u00e1sticamente el riesgo y <strong>ahorrar tiempo y esfuerzo<\/strong>.<\/li>\n<li><strong>Inculcando confianza (el buen tipo).<\/strong> Cuando las pruebas de AEV no incumplen un control particular, cuando un ataque no puede superar su protecci\u00f3n de punto final o se detiene el movimiento lateral, obtienes la confianza de que esa defensa est\u00e1 sosteniendo la l\u00ednea. Luego puedes centrar tu atenci\u00f3n en otro lugar. En resumen, usted y sus equipos obtendr\u00e1n cr\u00e9dito por hacer las cosas bien, no culpadas por arreglar las cosas incorrectas.<\/li>\n<\/ul>\n<p>Este cambio a la defensa centrada en la validaci\u00f3n tiene una recompensa tangible: <strong>Gartner proyecta que para 2026, organizaciones que priorizan las inversiones basadas en <a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/continuous-threat-exposure-management\" target=\"_blank\">Gesti\u00f3n continua de la exposici\u00f3n a la amenaza<\/a> (incluido AEV) sufrir\u00e1 dos tercios menos violaciones. <\/strong>Esa es una reducci\u00f3n masiva en el riesgo, lograda al concentrarse en el <em>bien<\/em> problemas.<\/p>\n<h2><strong>Seguridad Picus: una fuerza l\u00edder en la validaci\u00f3n de exposici\u00f3n adversaria (AEV)<\/strong><\/h2>\n<p>En PICU, hemos estado a la vanguardia de la validaci\u00f3n de seguridad desde 2013, pionero en la simulaci\u00f3n de incumplimiento y ataque y ahora integr\u00e1ndolo con pruebas de penetraci\u00f3n automatizadas para ayudar a las organizaciones realmente a comprender la efectividad de sus defensas. Con el <strong><a rel=\"noopener nofollow\" href=\"https:\/\/www.picussecurity.com\/security-validation-platform\" target=\"_blank\">Plataforma de validaci\u00f3n de seguridad PICUS<\/a><\/strong>los equipos de seguridad obtienen la claridad que necesitan para actuar decisivamente. No m\u00e1s puntos ciegos, no m\u00e1s suposiciones, solo pruebas del mundo real que asegura que sus controles est\u00e9n listos para los de hoy <em>y <\/em>las amenazas de ma\u00f1ana.<\/p>\n<p>\u00bfListo para pasar de la ilusi\u00f3n de ciberseguridad a la realidad? Obtenga m\u00e1s informaci\u00f3n sobre c\u00f3mo AEV puede transformar su programa de seguridad descargando nuestro gratis <strong><em><a rel=\"noopener nofollow\" href=\"https:\/\/hubs.li\/Q03b3q4m0\" target=\"_blank\">Libro electr\u00f3nico &#8220;Introducci\u00f3n a la validaci\u00f3n de la exposici\u00f3n&#8221;<\/a><\/em><\/strong>.<\/p>\n<p><b>Nota: <\/b>Este art\u00edculo ha sido escrito por expertos y contribuido por <a rel=\"nofollow noopener\" href=\"https:\/\/scholar.google.com\/citations?user=tkRe6H8AAAAJ\" target=\"_blank\">Dr. Suleyman Ozarslan<\/a>cofundador de Picus y vicepresidente de Picus Labs, donde creemos que se obtiene la verdadera seguridad, no se supone.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? <span class=\"\">Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/03\/your-risk-scores-are-lying-adversarial.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80211 de marzo de 2025\ue804Las noticias del hackerPrueba de simulaci\u00f3n de violaci\u00f3n \/ penetraci\u00f3n En ciberseguridad, la confianza<\/p>\n","protected":false},"author":1,"featured_media":1616910,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,63161,8898,4661,4664,415,4013,1398,273784,273783,20858,4654,273782,4659,4653,4655,114046,1524,4578,246983,4665,246984,251,74694,455,239484],"class_list":["post-1616909","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-adversa","tag-amenazas","tag-ataques-ciberneticos","tag-como-hackear","tag-estan","tag-expone","tag-exposicion","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-mentir","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-puntajes","tag-reales","tag-riesgo","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-sus","tag-validacion","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1616909","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1616909"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1616909\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1616910"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1616909"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1616909"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1616909"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}