Un nuevo estudio de inteligencia de mercado realizado por Reflectiz, que entrevistó a 128 responsables de decisiones en seguridad empresarial, señala que se está formando una brecha clara entre organizaciones que adoptan un marco moderno de gestión de exposiciones y las que siguen con modelos tradicionales. No se trata tanto del tamaño del presupuesto ni del sector, sino de una elección estratégica: las empresas que han integrado Continuous Threat Exposure Management (CTEM) muestran ventajas cuantificables en visibilidad y adopción de soluciones frente a las que no lo han hecho.
CTEM no es una moda: es una forma distinta de gestionar la superficie de ataque que prioriza la detección continua y la validación de riesgos reales frente al parcheo reactivo. En lugar de depender de revisiones puntuales, CTEM persigue descubrir activos, evaluar su relevancia para el negocio y priorizar mitigaciones con criterio. Para entender su lugar en la evolución de la ciberseguridad, es útil contrastarlo con análisis y recomendaciones de analistas como Gartner sobre la necesidad de moverse hacia modelos continuos de gestión de amenazas: Gartner: How to manage cybersecurity threats, not episodes.
El informe de Reflectiz revela cifras que invitan a reflexionar: aunque la gran mayoría de líderes de seguridad conoce el concepto, la implementación real sigue siendo minoritaria. Solo una fracción de las organizaciones encuestadas ha trasladado la idea a operaciones cotidianas, y esa diferencia ya se traduce en métricas concretas de vigilancia y control del entorno digital.
Una de las razones por las que este cambio no se materializa es la combinación de inercia organizacional y presiones competitivas: responsables de seguridad se ven obligados a priorizar entre proyectos que compiten por recursos, y vender una iniciativa que exige cambios en procesos y herramientas no siempre resulta sencillo. Aun así, cuando se comparan pares por tamaño de superficie de exposición y resultados operativos, emerge un patrón consistente: más complejidad sin automatización continua acaba por incrementar riesgos y generar puntos ciegos difíciles de controlar manualmente.
Ese fenómeno se materializa en lo que el propio estudio denomina la "brecha de visibilidad": la diferencia entre los activos que una organización cree que monitoriza y los que realmente existen y pueden ser aprovechados por un atacante. A medida que una empresa multiplica dominios, integraciones y scripts, la superficie de ataque crece exponencialmente y los métodos de supervisión puntuales dejan de ser eficaces. Cuando el número de dominios supera cierto umbral, la cantidad de artefactos conectados puede dispararse hasta convertir el panorama en un mosaico inmanejable sin procesos continuos de descubrimiento y validación.
El contexto externo también empuja hacia la adopción de enfoques más sólidos. Los incidentes vinculados a terceros han aumentado en los últimos años, algo que reflejan encuestas recientes a CISOs, y el coste medio de una brecha sigue siendo muy alto para la mayoría de organizaciones. Informes como el de IBM sobre el coste de las brechas sitúan la cifra promedio en varios millones de dólares por incidente: IBM: Cost of a Data Breach Report. Al mismo tiempo, marcos regulatorios y de cumplimiento, como las versiones más recientes de PCI DSS, exigen monitorización y controles más estrictos que obligan a no confiar únicamente en auditorías periódicas: PCI Security Standards Council.
Entonces, ¿por qué seguir retrasando una iniciativa de CTEM cuando las señales del mercado y de la regulación empujan a su adopción? La respuesta no es única: parte del problema es que muchas organizaciones aún intentan encajar nuevas necesidades de supervisión en procesos heredados. Otra parte proviene de la dificultad de justificar inversiones ante la dirección si el argumento se queda en conceptos técnicos. Por eso resulta imprescindible traducir el valor de CTEM a métricas de negocio: reducción de ventanas de exposición, disminución de incidentes asignables a activos desconocidos, y mejora de la visibilidad global que evita sanciones y costes de respuesta.
Construir el caso de negocio para CTEM pasa por hablar el idioma del consejo de administración: impacto financiero, reducción de riesgo exponencial por superficie y capacidad de demostrar control continuo frente a auditores y socios. A nivel operativo, la transición suele implicar combinar inventario automático, validación continua de dependencias externas, priorización basada en riesgo y automatización de acciones repetitivas, de forma que el equipo de seguridad no quede atrapado en tareas manuales que no escalan.
No es necesario reinventar la rueda de golpe. Existen prácticas y marcos ya bien documentados que ayudan a poner bases sólidas para CTEM. El enfoque puede apoyarse en estándares y guías de monitorización continua y gestión de riesgos, como las publicaciones del NIST sobre monitoreo continuo, que orientan sobre cómo integrar telemetría y procesos de respuesta en ciclos sostenibles: NIST SP 800-137. La clave está en diseñar una progresión que combine pequeñas victorias tácticas con la construcción de capacidades estratégicas.
La foto que arroja el mercado hoy es clara: las organizaciones que ya han apostado por CTEM reportan mejores niveles de visibilidad y resultados operativos. Esto no significa que la adopción sea trivial ni que todas las empresas deban correr sin plan. Significa, eso sí, que para entornos con alto grado de exposición y terceros, aferrarse a controles periódicos es un riesgo que crece con la complejidad. La pregunta relevante para equipos y líderes de seguridad deja de ser si CTEM aporta valor y pasa a ser si la arquitectura y los procesos actuales pueden sostener el crecimiento del ecosistema digital sin una supervisión continua.
Si quiere profundizar en los datos y en los gráficos que ilustran estas conclusiones, puede consultar el estudio completo publicado por Reflectiz: CTEM Divide 2026 — Reflectiz. Para una perspectiva complementaria sobre tendencias en incidentes de terceros, la encuesta de CISOs de 2025 ofrece contexto adicional: Panorays: CISO Survey 2025. Y si lo que busca es entender el impacto económico potencial de no cerrar la brecha, el informe de costes de brechas de datos de IBM aporta argumentos cuantitativos que suelen resultar persuasivos ante la dirección: IBM Data Breach Report.
En definitiva, la decisión ya no se planta solo en el terreno técnico: es estratégica. Adoptar una gestión continua de exposiciones puede marcar la diferencia entre mantener una superficie de riesgo visible y controlable o descubrir, demasiado tarde, que el verdadero problema era lo que no se estaba viendo.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...