23. febrero 2026 | Imprimir artículo |

CTEM: Por qué la gestión continua de la exposición a amenazas sustituye al escaneo de vulnerabilidades

7 min de lectura

Los escaneos de vulnerabilidades detectan debilidades. Eso ya no es suficiente. Gartner ha declarado la Gestión Continua de la Exposición a Amenazas (CTEM, por sus siglas en inglés) como la inversión tecnológica prioritaria para 2026. Las empresas que alinean sus inversiones en ciberseguridad con un programa CTEM tienen, según Gartner, tres veces menos probabilidades de sufrir un ataque exitoso. No obstante, el 84 % de los programas de seguridad se quedan atrás en la adopción del enfoque CTEM. La diferencia clave radica en que CTEM no piensa en vulnerabilidades aisladas, sino en rutas de ataque.

En resumen

  • 🔒 Según Gartner, las empresas con un programa CTEM sufren brechas de seguridad tres veces menos frecuentemente que aquellas sin dicho programa.
  • ⚠️ El 84 % de los programas de seguridad se quedan atrás en la implementación del enfoque CTEM (The Hacker News, febrero de 2026).
  • 🛡️ CTEM comprende cinco fases: delimitación del alcance (Scoping), descubrimiento (Discovery), priorización (Prioritization), validación (Validation) y movilización (Mobilization).
  • 📊 El BSI (Oficina Federal de Seguridad Informática de Alemania) exige para 2026 un «año de la gestión integral»: todos los sistemas accesibles digitalmente deben registrarse y supervisarse de forma estructurada.
  • 🔧 CTEM integra la gestión de vulnerabilidades, la gestión de la superficie de ataque (Attack Surface Management) y las pruebas de penetración (Pentesting) en un único programa continuo.
3x
menos probabilidades de sufrir una brecha: empresas con programa CTEM
Fuente: Gartner, Implement a Continuous Threat Exposure Management Program, 2024/2025

¿Qué es CTEM y por qué la gestión de vulnerabilidades ya no basta?

La gestión clásica de vulnerabilidades sigue un principio sencillo: el escáner detecta una debilidad y el equipo la parchea. El problema es que el número de CVEs está explotando. En 2024 se publicaron más de 30.000 nuevas CVEs, un aumento del 25 % respecto al año anterior. Ninguna empresa puede cerrar todas las vulnerabilidades de inmediato.

CTEM da un paso más allá. En lugar de tratar todas las vulnerabilidades por igual, CTEM evalúa su explotabilidad real en el contexto específico del entorno de la organización. Una vulnerabilidad crítica en un sistema sin conexión a Internet es menos urgente que una vulnerabilidad media en un servidor web accesible públicamente. Suena obvio, pero rara vez se aplica en la práctica.

Gartner acuñó el término CTEM en 2022 y lo ha desarrollado desde entonces como un concepto estratégico fundamental. En su evaluación más reciente, CTEM figura entre las principales inversiones para 2026. La razón: CTEM integra la gestión de vulnerabilidades, la gestión de la superficie de ataque y las pruebas de penetración continuas en un programa coherente.

«Las organizaciones que priorizan sus inversiones en seguridad basándose en un programa CTEM lograrán una reducción de dos tercios en las brechas para 2026.»
Gartner, Implement a Continuous Threat Exposure Management Program

Las cinco fases de un programa CTEM

Fase 1 – Delimitación del alcance (Scoping): ¿Qué superficie de ataque es crítica para el negocio? No todos los sistemas tienen la misma importancia. CTEM comienza definiendo las áreas relevantes: superficie de ataque externa, infraestructura de identidad, entorno SaaS, cargas de trabajo en la nube. Esta delimitación se orienta al riesgo empresarial, no a la topología técnica.

Fase 2 – Descubrimiento (Discovery): Identificar todos los activos accesibles. Esto incluye no solo los sistemas conocidos, sino también la TI sombra (Shadow IT), subdominios olvidados, APIs expuestas y dependencias de terceros. Los inventarios tradicionales de activos son insuficientes, pues solo registran los activos conocidos.

Fase 3 – Priorización (Prioritization): ¿Qué vulnerabilidades son realmente explotables? Aquí radica la mayor diferencia con la gestión clásica de vulnerabilidades. CTEM valora las vulnerabilidades según la disponibilidad de exploits, su accesibilidad, su impacto empresarial y las compensaciones contextuales (por ejemplo, una WAF previa o una red segmentada).

Fase 4 – Validación (Validation): ¿Pueden los atacantes explotar realmente las vulnerabilidades priorizadas? Las simulaciones de brecha y ataque (Breach-and-Attack Simulation, BAS), las pruebas de penetración automatizadas y los ejercicios de equipos rojos (Red Team) validan la priorización teórica. Las vulnerabilidades que no resultan explotables en la práctica se rebajan de categoría.

Fase 5 – Movilización (Mobilization): Integrar los resultados en procesos operativos. Crear incidencias para los equipos correspondientes, definir tiempos de respuesta según el nivel de riesgo y realizar un seguimiento automatizado. Sin esta fase, CTEM se queda en un mero proyecto de evaluación, no en un programa continuo.

CTEM frente a la gestión de vulnerabilidades: diferencias prácticas

La gestión de vulnerabilidades pregunta: «¿Qué vulnerabilidades existen?». CTEM pregunta: «¿Qué rutas de ataque son más probables y tienen mayor impacto empresarial?». Este cambio de perspectiva es fundamental.

Un escáner clásico de vulnerabilidades reporta 10.000 hallazgos. El equipo de seguridad intenta priorizarlos según la puntuación CVSS: primero los de CVSS 9.8. Pero un CVSS 9.8 en un sistema de pruebas aislado es irrelevante, mientras que un CVSS 6.5 en un servidor web expuesto que transmite tokens de sesión en los parámetros de la URL representa un riesgo crítico.

Por eso, herramientas CTEM como Rapid7, Tenable One, Palo Alto XSIAM o CrowdStrike Falcon Exposure Management combinan datos de vulnerabilidades con la topología de red, el contexto de identidad y la inteligencia de amenazas. El resultado: en lugar de 10.000 hallazgos equiparables, el equipo recibe una lista priorizada de 50 rutas de ataque críticas.

Para las empresas afectadas por NIS2, CTEM es especialmente relevante. La directiva exige «medidas técnicas y organizativas adecuadas» para la detección de riesgos. Un programa CTEM ofrece precisamente esa evaluación de riesgos estructurada y continua que NIS2 demanda.

Cómo iniciar un programa CTEM en pymes

Paso 1: Comience con la superficie de ataque externa. La gestión externa de la superficie de ataque (External Attack Surface Management, EASM) es la parte de CTEM más rápida de implementar. Herramientas como Censys, Shodan o Microsoft Defender EASM muestran en cuestión de horas qué activos de su empresa son accesibles desde Internet.

Paso 2: Integre el contexto de identidad. ¿Qué cuentas tienen acceso privilegiado? ¿Qué cuentas de servicio usan contraseñas estáticas? La dureza de Active Directory es un componente crítico que suele pasarse por alto.

Paso 3: Valide periódicamente. Un pentest automatizado mensual o una solución BAS demuestra si los riesgos priorizados se han corregido efectivamente. Sin validación, CTEM se convierte en un simple ejercicio teórico.

Paso 4: Defina SLAs claros para la fase de movilización. Rutas de ataque críticas: corrección en 48 horas. Riesgos altos: 7 días. Riesgos medios: 30 días. Sin plazos vinculantes, CTEM pierde toda su eficacia.

84 %
de los programas de seguridad se quedan atrás en la implementación del enfoque CTEM
Fuente: The Hacker News, febrero de 2026

Preguntas frecuentes

¿Cuál es la diferencia entre CTEM y la gestión de vulnerabilidades?

La gestión de vulnerabilidades identifica debilidades. CTEM va más allá: evalúa dichas vulnerabilidades en el contexto de la superficie de ataque, valida su explotabilidad real y transforma los resultados en procesos operativos concretos. El foco cambia de «detectar todas las vulnerabilidades» a «cerrar las rutas de ataque más relevantes».

¿Necesita todo empresa un programa CTEM?

Las empresas con aproximadamente 200 activos TI o más se benefician de CTEM. Para organizaciones más pequeñas, basta con un programa clásico de gestión de vulnerabilidades complementado con pruebas de penetración externas periódicas. Las empresas afectadas por la Directiva NIS2 deberían considerar la adopción de CTEM, ya que cubre de forma estructurada la evaluación continua de riesgos exigida por dicha normativa.

¿Qué herramientas apoyan la implementación de CTEM?

Las principales plataformas son Rapid7 (InsightVM + Cloud Risk), Tenable One, Palo Alto XSIAM, CrowdStrike Falcon Exposure Management y Qualys CSAM. Para comenzar, resultan adecuadas Microsoft Defender EASM (para la superficie de ataque externa) y Censys Search (para el descubrimiento de activos). Los costes comienzan en varios miles de euros anuales.

¿Cuánto tiempo lleva implementar un programa CTEM?

La fase 1 (Scoping) y la fase 2 (Discovery) pueden ejecutarse en 2 a 4 semanas. La integración completa de las cinco fases suele requerir entre 3 y 6 meses. El factor más decisivo no es la tecnología, sino el arraigo organizativo: responsabilidades claramente definidas y acuerdos de nivel de servicio (SLA) vinculantes para la corrección de hallazgos.

¿Es relevante CTEM para cumplir con la normativa NIS2?

Sí. NIS2 exige «medidas técnicas adecuadas» para la detección y evaluación de riesgos. Un programa CTEM ofrece precisamente eso: una evaluación estructurada y continua de la superficie de ataque, con una priorización y corrección verificables. En auditorías, CTEM constituye una sólida base documental.

Recomendaciones de lectura de la redacción

Más contenido del ecosistema mediático MBF Media

Fuente de imagen: Pexels / Sora Shimazaki

Imprimir artículo
Tobias Massow

Sobre el autor: Tobias Massow

Más artículos de

También disponible en

FrançaisEnglishDeutsch
Una revista de Evernine Media GmbH