Las 10 principales exposiciones de superficies de ataque en 2026 – CYBERDEFENSA.MX
admin Noticias, Trending
Las 10 principales exposiciones de superficies de ataque en 2026 – CYBERDEFENSA.MX

Las infracciones no siempre comienzan con un día cero. Un panel de administración expuesto puede sufrir fuerza bruta o reutilizarse credenciales de un ataque anterior. Pero cuando cae una vulnerabilidad, como MongoBleed a principios de este año, que permitió a los atacantes extraer credenciales y tokens de sesión de la memoria del servidor sin autenticación, cualquier cosa que esté conectada a Internet está inmediatamente en riesgo.

Ahora que el tiempo de explotación se ha reducido a un solo día, la cuestión no es sólo qué tan rápido se puede parchear. Es por eso que el servicio quedó expuesto en primer lugar.

El equipo de Intruder analizó 3000 superficies de ataque para descubrir qué parte de la superficie de ataque de una organización típica consiste en servicios que no tienen ninguna razón para estar allí. Agrupamos lo que encontramos en cuatro categorías: paneles HTTP, puertos y servicios riesgosos, bases de datos y archivos e información de acceso público.

Los hallazgos completos, incluidos los desgloses por tamaño de empresa e industria, se encuentran en nuestro Índice de gestión de superficies de ataque 2026.

¿Qué tan extendido está el problema?

  • El 60% de las organizaciones tenían al menos un panel HTTP expuesto: consolas de administración, interfaces de usuario de administración, páginas de inicio de sesión para herramientas internas que no tienen por qué ser accesibles públicamente.
  • Casi la mitad (49%) tenía expuesto un puerto o servicio riesgoso.
  • El 42% tenía una base de datos accesible directamente desde Internet.
  • El 30% tenía archivos o información de acceso público que no debería serlo: documentación de API, archivos de configuración, datos que nunca debieron ser detectables.

Las diez exposiciones más comunes

Estas son las exposiciones de superficies de ataque más comunes que afectaron a las organizaciones en los últimos 12 meses.

  1. Base de datos MySQL expuesta: 26%
  2. Base de datos de Postgres expuesta: 16%
  3. Documentación API expuesta: 15%
  4. Panel de administración de WordPress expuesto: 15%
  5. Servicio de escritorio remoto expuesto: 11%
  6. Servicio SNMP expuesto: 9%
  7. Panel de administración de phpMyAdmin expuesto: 8 %
  8. Servicio UPnP expuesto: 8%
  9. Servicio NTP expuesto: 7%
  10. Servicio RPC Portmapper expuesto: 7%

Las bases de datos dominan los dos primeros lugares

Las bases de datos expuestas ocupan los dos primeros lugares, con más de una cuarta parte de las organizaciones exponiendo MySQL y Postgres, lo que afecta a 1 de cada 6. Las bases de datos orientadas a Internet han sido durante mucho tiempo un objetivo para atacantes oportunistas. La campaña de ransomware PLEASE_READ_ME en 2020 comprometió más de 250.000 bases de datos MySQL mediante la fuerza bruta de credenciales débiles. MongoDB y Elasticsearch se han enfrentado a lo mismo.

La documentación API está más expuesta que RDP

La documentación API ocupó el tercer lugar, por delante de RDP, lo que nos sorprendió. Algunos documentos de API son intencionalmente públicos, pero las organizaciones con frecuencia pasan por alto la documentación vinculada a API privadas o del lado administrativo que nunca debieron ser detectables. Los documentos API públicos pueden convertir vulnerabilidades que de otro modo serían difíciles de encontrar en rutas de ataque documentadas.

RDP sigue siendo un punto de entrada de ransomware

RDP en el puesto número cinco es una preocupación dado su historial como vector de acceso inicial en ataques de ransomware. BlueKeep en 2019 dejó casi un millón de sistemas inmediatamente explotables. La adivinación de credenciales contra RDP expuesto sigue siendo una de las formas más confiables en que ingresan los operadores de ransomware.

El resto de la lista nunca estuvo destinado a estar disponible en Internet.

El resto de la lista (SNMP, UPnP, NTP, RPC) son servicios heredados diseñados para redes internas que nunca debieron estar conectados a Internet.

Obtenga los hallazgos completos

La mayoría de los equipos consideran que la aplicación de parches es una prioridad. Pero para mucho de lo que está en esta lista (bases de datos, paneles de administración, servicios heredados) la mejor pregunta es por qué son accesibles. Ahí es donde reducción de la superficie de ataque entra en juego, y para la mayoría de las organizaciones, no recibe la misma atención que la gestión de vulnerabilidades.

Los hallazgos completos, incluidos los desgloses por tamaño de empresa e industria, se encuentran en el Índice de gestión de superficies de ataque 2026.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.