¿Qué es EASM (External Attack Surface Management)?
EASM (External Attack Surface Management) es la disciplina de descubrir, inventariar y monitorear continuamente todos los activos digitales que una organización expone a internet — dominios, subdominios, IPs, certificados, repositorios de código y servicios en la nube — para detectar exposiciones, vulnerabilidades y rutas de ataque antes de que sean explotadas por adversarios.
Resumen rápido
- EASM es visibilidad continua y automatizada de tu superficie de ataque externa.
- Cubre activos conocidos y, sobre todo, activos olvidados o no documentados (shadow IT).
- Gartner define EASM como una capacidad core dentro del marco CTEM (Continuous Threat Exposure Management).
- Distinto de DRP: EASM es lo que la organización expone; DRP es lo que pasa fuera del perímetro (dark web, marca, ejecutivos).
- Crítico para cualquier organización con presencia digital significativa: cloud, SaaS, microservicios, M&A multiplican la superficie real.
Por qué EASM importa en 2026
La superficie de ataque promedio de una empresa mediana creció más del 130% entre 2020 y 2025, impulsada por adopción de cloud, microservicios, integraciones SaaS, trabajo remoto y fusiones/adquisiciones. Cada nuevo dominio registrado, cada bucket S3 público, cada API expuesta es un activo potencialmente atacable.
El problema no es la falta de herramientas internas — es la falta de visibilidad sobre lo que existe. La mayoría de los equipos de seguridad no pueden enumerar con confianza todos sus dominios, IPs y servicios expuestos. EASM resuelve ese problema de descubrimiento.
Componentes de una solución EASM moderna
Descubrimiento de activos: enumeración pasiva de dominios y subdominios (DNS, certificate transparency logs, registros WHOIS), descubrimiento de IPs asociadas, identificación de tecnologías y proveedores cloud.
Monitoreo de exposiciones: detección de servicios accidentalmente expuestos (RDP, bases de datos, paneles de administración), buckets de almacenamiento mal configurados, certificados vencidos, secretos en código público.
Priorización por criticidad: no todo activo es igual. Una solución EASM madura asigna criticidad a cada asset y prioriza alertas en función del impacto de negocio.
Integración con flujo de trabajo: las exposiciones detectadas deben llegar a los equipos correctos (red team, IT, DevOps) con contexto suficiente para actuar.
EASM vs vulnerability scanning vs pentesting
Un escáner de vulnerabilidades clásico (Nessus, Qualys) requiere que vos le digas qué escanear. Un pentest es una evaluación puntual realizada por humanos. EASM es la capa anterior: descubre todo lo que tu organización expone, incluso lo que no sabías que existía. Las tres capacidades son complementarias, no excluyentes.
EASM en el marco CTEM de Gartner
Gartner introdujo en 2023 el marco CTEM (Continuous Threat Exposure Management) como evolución de la gestión de vulnerabilidades. EASM es una de las cinco fases (Scoping, Discovery, Prioritization, Validation, Mobilization) — específicamente alimenta Discovery y Scoping. Para 2026, Gartner proyecta que las organizaciones que adopten CTEM con EASM como base reducirán su probabilidad de brecha en 3x.
Preguntas frecuentes
¿Cuál es la diferencia entre EASM y DRP?
EASM se enfoca en descubrir y monitorear activos que la propia organización expone a internet (dominios, IPs, servicios). DRP (Digital Risk Protection) monitorea amenazas que ocurren fuera del perímetro: credenciales filtradas en la dark web, suplantación de marca, menciones a ejecutivos en foros criminales. Las plataformas modernas como Kalir unifican ambas capacidades.
¿EASM reemplaza a un escáner de vulnerabilidades?
No. EASM responde "¿qué tenemos expuesto?". Un escáner de vulnerabilidades responde "¿qué vulnerabilidades tienen los activos que ya conocemos?". Son capas distintas y complementarias del programa de seguridad.
¿Qué tan seguido se descubren activos nuevos con EASM?
En organizaciones medianas que activan EASM por primera vez, es común descubrir entre 20% y 50% más activos de los que el equipo de seguridad inventariaba previamente. El proceso de descubrimiento es continuo: dominios nuevos, subdominios, IPs y servicios aparecen permanentemente.
¿EASM es solo para grandes empresas?
No. Cualquier organización con presencia digital significativa — incluso pymes con e-commerce, fintech, instituciones educativas — se beneficia de EASM. La complejidad y el costo escalan con el tamaño del activo monitorizado, no con el tamaño de la empresa.