{"id":1659031,"date":"2025-04-07T18:21:54","date_gmt":"2025-04-07T18:21:54","guid":{"rendered":"https:\/\/teknomers.com\/es\/teatro-de-seguridad-vanity-metrics-lo-mantiene-ocupado-y-expuesto\/"},"modified":"2025-04-07T18:21:59","modified_gmt":"2025-04-07T18:21:59","slug":"teatro-de-seguridad-vanity-metrics-lo-mantiene-ocupado-y-expuesto","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/teatro-de-seguridad-vanity-metrics-lo-mantiene-ocupado-y-expuesto\/","title":{"rendered":"Teatro de seguridad: Vanity Metrics lo mantiene ocupado y expuesto"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">07 de abril de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias del hacker<\/span><\/span><span class=\"p-tags\">Gesti\u00f3n de la superficie de ataque<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Teatro-de-seguridad-Vanity-Metrics-lo-mantiene-ocupado-y-expuesto.jpg\" style=\"display: block;  text-align: center; clear: left; float: left;\"><\/a><\/div>\n<p>Despu\u00e9s de m\u00e1s de 25 a\u00f1os de mitigar los riesgos, garantizar el cumplimiento y construir programas de seguridad s\u00f3lidos para compa\u00f1\u00edas Fortune 500, he aprendido que <em>Parecer ocupado no es lo mismo que estar seguro. <\/em><\/p>\n<p>Es una trampa f\u00e1cil para que los l\u00edderes de ciberseguridad ocupados caigan. Confiamos en las m\u00e9tricas que cuentan una historia de los tremendos esfuerzos que estamos gastando: cu\u00e1ntas vulnerabilidades parcheamos, qu\u00e9 tan r\u00e1pido respondimos, pero a menudo las m\u00e9tricas de gesti\u00f3n de vulnerabilidad se asocian con las m\u00e9tricas operativas porque los enfoques tradicionales para medir e implementar la gesti\u00f3n de vulnerabilidad no reducen el riesgo. Entonces, recurrimos a varias formas de informar sobre cu\u00e1ntos parches se aplicaron bajo el tradicional <a rel=\"noopener nofollow\" href=\"https:\/\/xmcyber.com\/blog\/its-time-to-rethink-the-30-60-90-day-approach-to-vulnerability-management\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" target=\"_blank\">M\u00e9todo de parche de 30\/60\/90 d\u00edas<\/a>.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/xmcyber.com\/blog\/its-time-to-rethink-the-30-60-90-day-approach-to-vulnerability-management\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" style=\"clear: left; cursor: pointer; display: block; float: left;  text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/1744050112_794_Teatro-de-seguridad-Vanity-Metrics-lo-mantiene-ocupado-y-expuesto.jpg\" alt=\"\" border=\"0\" data-original-height=\"380\" data-original-width=\"728\"\/><\/a><\/div>\n<p>Yo llamo a estos <em>M\u00e9tricas de vanidad<\/em>: N\u00fameros que parecen impresionantes en los informes pero carecen de impacto del mundo real. Ofrecen tranquilidad, pero no ideas. Mientras tanto, las amenazas contin\u00faan creciendo m\u00e1s sofisticadas, y los atacantes explotan los puntos ciegos que no estamos midiendo. He visto de primera mano c\u00f3mo esta desconexi\u00f3n entre medici\u00f3n y significado puede dejar a las organizaciones expuestas. <\/p>\n<p>En este art\u00edculo, explicar\u00e9 por qu\u00e9 las m\u00e9tricas de vanidad no son suficientes para proteger los entornos complejos de hoy y por qu\u00e9 es hora de dejar de medir <em>actividad<\/em> y comenzar a medir <em>eficacia<\/em>.<\/p>\n<h2 style=\"text-align: left;\"><strong>Derriba: \u00bfQu\u00e9 son las m\u00e9tricas de vanidad? <\/strong><\/h2>\n<p>Las m\u00e9tricas de vanidad son n\u00fameros que se ven bien en un informe pero ofrecen poco valor estrat\u00e9gico. Son f\u00e1ciles de rastrear, f\u00e1ciles de presentar y a menudo se usan para demostrar actividad, pero generalmente no reflejan la reducci\u00f3n real del riesgo. Normalmente caen en tres tipos principales:<\/p>\n<ul>\n<li><strong>M\u00e9tricas de volumen<\/strong> &#8211; Estas cuentan las cosas: parches aplicados, vulnerabilidades descubiertas, escaneos completados. Crean un sentido de productividad pero no hablan con el impacto empresarial o la relevancia del riesgo.<\/li>\n<li><strong>M\u00e9tricas basadas en el tiempo sin contexto de riesgo<\/strong> &#8211; Las m\u00e9tricas como el tiempo medio para detectar (MTTD) o el tiempo medio para remediar (MTTR) pueden sonar impresionantes. Pero sin priorizaci\u00f3n en funci\u00f3n de la criticidad, la velocidad es solo el &#8220;c\u00f3mo&#8221;, no el &#8220;qu\u00e9&#8221;.<\/li>\n<li><strong>M\u00e9tricas de cobertura<\/strong> &#8211; Porcentajes como &#8220;95% de los activos escaneados&#8221; o &#8220;90% de las vulnerabilidades parcheadas&#8221; dan una ilusi\u00f3n de control. Pero ignoran la pregunta de la cual se perdieron el 5%, y si son los que m\u00e1s importan.<\/li>\n<\/ul>\n<p>Las m\u00e9tricas de vanidad no son inherentemente incorrectas, pero son peligrosamente incompletas. Rastrean el movimiento, no significan. Y si no est\u00e1n vinculados a la relevancia de la amenaza o los activos cr\u00edticos para el negocio, pueden socavar silenciosamente toda su estrategia de seguridad.<\/p>\n<h2 style=\"text-align: left;\"><strong>M\u00e9tricas de vanidad: m\u00e1s da\u00f1o que bien<\/strong><\/h2>\n<p>Cuando las m\u00e9tricas de vanidad dominan los informes de seguridad, pueden hacer m\u00e1s da\u00f1o que bien. He visto a las organizaciones quemar el tiempo y los n\u00fameros de persecuci\u00f3n presupuestario que se ve\u00edan geniales en las sesiones ejecutivas, mientras que las exposiciones cr\u00edticas quedaron intactas. <\/p>\n<p>\u00bfQu\u00e9 sale mal cuando conf\u00edas en las m\u00e9tricas de vanidad?<\/p>\n<ul>\n<li><strong>Esfuerzo mal asignado<\/strong> &#8211; Los equipos se centran en lo que es f\u00e1cil de solucionar o lo que mueve una m\u00e9trica, no lo que realmente reduce el riesgo. Esto crea una brecha peligrosa entre lo que <em>hecho<\/em> y que <em>debe hacerse<\/em>. <\/li>\n<li><strong>Falsa confianza<\/strong> -Los gr\u00e1ficos de tendencia ascendente pueden enga\u00f1ar al liderazgo para que crea que la organizaci\u00f3n es segura. Sin contexto (explotabilidad, caminos de ataque), esa creencia es fr\u00e1gil y puede ser costosa. <\/li>\n<li><strong>Priorizaci\u00f3n rota<\/strong> &#8211; Las listas de vulnerabilidad masiva sin contexto causan fatiga. Los problemas de alto riesgo pueden perderse f\u00e1cilmente en el ruido, y la remediaci\u00f3n puede retrasarse donde m\u00e1s importa. <\/li>\n<li><strong>Estancamiento estrat\u00e9gico<\/strong> &#8211; Al informar que recompensa la actividad sobre el impacto, la innovaci\u00f3n se ralentiza. El programa se vuelve reactivo, siempre ocupado, pero no siempre m\u00e1s seguro.<\/li>\n<\/ul>\n<p>He visto que se producen violaciones en entornos llenos de KPI brillantes. \u00bfLa raz\u00f3n? Esos KPI no estaban vinculados a la realidad. Una m\u00e9trica que no refleja el riesgo comercial real no es solo sin sentido, es peligroso.<\/p>\n<h2 style=\"text-align: left;\"><strong>Pasar a m\u00e9tricas significativas<\/strong><\/h2>\n<p>Si las m\u00e9tricas de vanidad nos dicen qu\u00e9 se ha hecho, las m\u00e9tricas significativas nos dicen <em>lo que importa<\/em>. Cambian el enfoque de <em>actividad<\/em> a <em>impacto<\/em> &#8211; Dar a los equipos de seguridad y a los l\u00edderes empresariales una comprensi\u00f3n compartida del riesgo real.<\/p>\n<p>Una m\u00e9trica significativa comienza con una f\u00f3rmula clara: <em>riesgo = probabilidad \u00d7 impacto<\/em>. No solo pregunta &#8220;\u00bfqu\u00e9 vulnerabilidades existen?&#8221; &#8211; Pregunta &#8220;\u00bfCu\u00e1l de estos puede explotarse para alcanzar nuestros activos m\u00e1s cr\u00edticos, y cu\u00e1les ser\u00edan las consecuencias?&#8221; Para hacer el cambio a m\u00e9tricas significativas, considere anclar su informe alrededor de cinco m\u00e9tricas clave:<\/p>\n<ol>\n<li><strong>Puntaje de riesgo (vinculado al impacto comercial)<\/strong> &#8211; Una puntuaci\u00f3n de riesgo significativa pesa explotabilidad, criticidad de activos e impacto potencial. Debe evolucionar din\u00e1micamente a medida que cambian las exposiciones o a medida que cambia la inteligencia de amenazas. Este puntaje ayuda al liderazgo a comprender la seguridad en t\u00e9rminos comerciales, no cu\u00e1ntas vulnerabilidades existen, sino cu\u00e1n cerca estamos de una violaci\u00f3n significativa.<\/li>\n<li><strong>Exposici\u00f3n cr\u00edtica de activos (rastreado con el tiempo) <\/strong>&#8211; No todos los activos son iguales. Debe saber cu\u00e1les de sus sistemas cr\u00edticos de negocios est\u00e1n actualmente expuestos, y c\u00f3mo esa exposici\u00f3n es de tendencia. \u00bfEst\u00e1 reduciendo el riesgo a su infraestructura m\u00e1s importante o simplemente ciclos giratorios en soluciones de bajo impacto? El seguimiento de esto con el tiempo muestra si su programa de seguridad realmente est\u00e1 cerrando las brechas correctas.<\/li>\n<li><strong>Mapeo de ruta de ataque<\/strong> &#8211; Las vulnerabilidades no existen de forma aislada. Los atacantes encadenan las exposiciones (configuraciones err\u00f3neas, identidades sobrevivilizadas, CVE sin parpaderos) para alcanzar objetivos de alto valor. <a rel=\"noopener nofollow\" href=\"https:\/\/xmcyber.com\/glossary\/what-are-attack-graphs\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" target=\"_blank\">Mapeo de estos caminos<\/a> Te muestra c\u00f3mo un atacante podr\u00eda moverse a trav\u00e9s de tu entorno. Ayuda a priorizar no solo problemas individuales, sino tambi\u00e9n c\u00f3mo trabajan juntos para formar una amenaza.<\/li>\n<li><strong>Desglose de la clase de exposici\u00f3n<\/strong> &#8211; Debe comprender qu\u00e9 tipos de exposiciones son m\u00e1s frecuentes y m\u00e1s peligrosas. Ya sea mal uso de credenciales, parches faltantes, puertos abiertos o configuraciones err\u00f3neas en la nube, este desglose informa tanto la respuesta t\u00e1ctica como la planificaci\u00f3n estrat\u00e9gica. Si el 60% de su riesgo proviene de exposiciones basadas en la identidad, por ejemplo, eso deber\u00eda dar forma a sus decisiones de inversi\u00f3n.<\/li>\n<li><strong>Tiempo medio de remediar (MTTR) para exposiciones cr\u00edticas<\/strong> &#8211; El MTTR promedio es una m\u00e9trica defectuosa. Es arrastrado hacia abajo por soluciones f\u00e1ciles e ignora los problemas dif\u00edciles. Lo que importa es qu\u00e9 tan r\u00e1pido est\u00e1 cerrando las exposiciones que realmente lo ponen en riesgo. MTTR para exposiciones cr\u00edticas, aquellas vinculadas a caminos de ataque explotables o activos de la jud\u00eda de la corona, es lo que realmente define la efectividad operativa.<\/li>\n<\/ol>\n<p>Tomados en conjunto y actualizadas continuamente, las m\u00e9tricas significativas le brindan m\u00e1s que una instant\u00e1nea: proporcionan una visi\u00f3n viva y contextual de su exposici\u00f3n de amenazas. Elevan los informes de seguridad del seguimiento de tareas a la visi\u00f3n estrat\u00e9gica. Y lo m\u00e1s importante, brindan a los equipos de seguridad y a los l\u00edderes empresariales un lenguaje com\u00fan para tomar decisiones informadas por el riesgo.<\/p>\n<h2 style=\"text-align: left;\"><strong>El resultado final<\/strong><\/h2>\n<p>Las m\u00e9tricas de vanidad ofrecen consuelo. Llenan paneles, impresionan en salas de juntas y sugieren progreso. Pero en el mundo real, donde a los actores de amenaza no les importa cu\u00e1ntos parches aplic\u00f3 el mes pasado, ofrecen poca protecci\u00f3n. <\/p>\n<p>La seguridad real exige un cambio de rastrear lo que es f\u00e1cil de medir a centrarse en lo que realmente importa. Eso significa adoptar m\u00e9tricas basadas en el riesgo comercial. Y aqu\u00ed es donde marcos como <a rel=\"noopener nofollow\" href=\"https:\/\/xmcyber.com\/ctem\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" target=\"_blank\">Gesti\u00f3n continua de la exposici\u00f3n a la amenaza<\/a> (CTEM) Entra en juego. CTEM ofrece a las organizaciones la estructura para pasar de listas de vulnerabilidad est\u00e1tica a una acci\u00f3n din\u00e1mica priorizada. Y los resultados son los proyectos convincentes: para 2026, las organizaciones que implementan CTEM podr\u00edan reducir las infracciones en dos tercios.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/xmcyber.com\/ctem\/?utm_medium=sponsorarticle&amp;utm_source=hackernews&amp;utm_campaign=vanity%20metrics\" style=\"cursor: pointer; display: block; margin-left: 1em; margin-right: 1em;  text-align: center;\" target=\"_blank\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Teatro-de-seguridad-Vanity-Metrics-lo-mantiene-ocupado-y-expuesto.png\" border=\"0\" data-original-height=\"768\" data-original-width=\"768\" height=\"400\" width=\"400\" alt=\"Las noticias del hacker\"\/><\/a><\/div>\n<p>Las m\u00e9tricas que eliges dan forma a las conversaciones que tienes, y las que te pierden. Las m\u00e9tricas de vanidad mantienen a todos c\u00f3modos. Las m\u00e9tricas significativas obligan a preguntas m\u00e1s dif\u00edciles, pero te acercan a la verdad. Porque no puede reducir el riesgo si no lo mide correctamente.<\/p>\n<p><strong>Nota:<\/strong> Este art\u00edculo es escrito por expertos por Jason Fruge, CISO en residencia en XM Cyber.<\/p>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/04\/Teatro-de-seguridad-Vanity-Metrics-lo-mantiene-ocupado-y-expuesto.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 este art\u00edculo interesante? <span class=\"\">Este art\u00edculo es una pieza contribuida de uno de nuestros valiosos socios.<\/span> S\u00e9guenos <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> Para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/04\/security-theater-vanity-metrics-keep.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80207 de abril de 2025\ue804Las noticias del hackerGesti\u00f3n de la superficie de ataque Despu\u00e9s de m\u00e1s de 25<\/p>\n","protected":false},"author":1,"featured_media":1659032,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,58836,273784,273783,2570,293802,4654,273782,4659,4653,4655,6351,42,246983,4665,246984,1002,55907,455,239484],"class_list":["post-1659031","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-expuesto","tag-las-noticias-del-hacker","tag-malware-de-ransomware","tag-mantiene","tag-metrics","tag-noticias-ciberneticas","tag-noticias-de-hacker","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-ocupado","tag-seguridad","tag-seguridad-de-la-informacion","tag-seguridad-de-la-red","tag-seguridad-informatica","tag-teatro","tag-vanity","tag-violacion","tag-vulnerabilidad-del-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1659031","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1659031"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1659031\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1659032"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1659031"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1659031"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1659031"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}