10 mejores prácticas de gestión de vulnerabilidades y amenazas

Ya estamos en 2025 y los actores maliciosos están más activos que nunca. Ahora que la IA generativa se está integrando en diversas operaciones empresariales, el 46 % de los profesionales de la seguridad están preocupados por las nuevas vulnerabilidades. Además, la ausencia de un marco y una estrategia adecuados deja a la organización y sus activos a merced de unos delincuentes en continua evolución. Sin embargo, la aplicación de las mejores prácticas de gestión de amenazas y vulnerabilidades puede ayudar a las empresas a identificar y evaluar las amenazas actuales, y a establecer medidas de protección para contrarrestarlas antes de que empeoren.

En este artículo, definiremos qué es la gestión de amenazas y vulnerabilidades, por qué es importante para todas las organizaciones, independientemente de su tamaño, y cómo se puede incorporar a los marcos de evaluación de riesgos. También analizaremos cómo el uso de la gestión de vulnerabilidades y la inteligencia sobre amenazas puede generar información valiosa para contrarrestar las amenazas cibernéticas. Al final de este artículo, comprenderá los elementos clave de una buena defensa que cumple con los requisitos de cumplimiento y fortalece sus sistemas de TI.

¿Qué es la gestión de amenazas y vulnerabilidades?

La gestión de amenazas y vulnerabilidades es el proceso de proteger los activos digitales frente a amenazas mediante tecnología, marcos de procesos y experiencia humana. Se puede definir como el proceso de encontrar y clasificar los defectos en el software, el hardware y las redes, para luego erradicarlos. Un buen proceso de gestión de amenazas y vulnerabilidades también incluye amenazas recién descubiertas, amenazas desconocidas y amenazas conocidas, asociando cada una de ellas con los riesgos correspondientes.

Los datos muestran que el 71 % de los líderes cibernéticos presentes en la Reunión Anual sobre Ciberseguridad de 2024 afirmaron que las pequeñas organizaciones se encuentran en un punto de inflexión en lo que respecta a hacer frente a los riesgos cibernéticos. Por eso es necesaria una estrategia más integral que incluya tanto la tecnología como la preparación a nivel organizativo.

Fundamentalmente, la gestión de vulnerabilidades y amenazas no consiste solo en arreglar cosas, sino en cómo se define un riesgo y cómo este riesgo se relaciona con una debilidad determinada. Evaluar la probabilidad de explotación, los patrones de ataque y los controles actuales puede ayudar a los equipos de seguridad a identificar dónde centrar sus esfuerzos en términos de soluciones que tengan el mayor impacto. El objetivo es desarrollar un proceso de gestión de amenazas y vulnerabilidades que esté constantemente atento a las amenazas y vulnerabilidades, actúe rápidamente ante ellas y se comunique de manera eficaz con los departamentos. Esto ayuda a los responsables de TI y seguridad a planificar de forma proactiva, solucionar problemas críticos y cumplir con las normas y reglamentos del sector. Sin esta perspectiva estratégica, las organizaciones pueden seguir aplicando parches al software de forma individual, sin ver cómo se relacionan con los patrones de ataque actuales.

Mejores prácticas de gestión de vulnerabilidades y amenazas: 10 consejos prácticos

Cuando se trata de combatir a los actores maliciosos, algunas de las mejores prácticas en la gestión de amenazas y vulnerabilidades pueden marcar una gran diferencia. En una encuesta reciente realizada a directores generales de todo el mundo, el 74 % de los encuestados está de acuerdo en que es esencial crear una cultura cibernética sólida antes de implementar la IA. En esta sección, encontrará diez pasos prácticos para crear una estrategia de defensa integral, que incluye la evaluación de vulnerabilidades y amenazas y la utilización de la gestión de vulnerabilidades y la inteligencia sobre amenazas. Cada sugerencia va acompañada de un ejemplo de cómo se puede aplicar en la práctica, lo que ayuda a las empresas a implementar la idea de forma coherente.

1. Establecer un inventario completo de activos

El primer paso en cualquier buen proceso de gestión de amenazas y vulnerabilidades es asegurarse de que se dispone de un buen inventario de activos. De esta manera, al categorizar los servidores, las aplicaciones, los puntos finales y los dispositivos IoT, los equipos de seguridad obtienen una comprensión clara de lo que requiere protección y cómo deben organizarse los programas de análisis. Este enfoque es muy útil para decidir qué sistema debe parchearse primero, especialmente cuando se identifican nuevas amenazas. También proporciona una lista actualizada para realizar análisis periódicos en busca de dispositivos no registrados o "ocultos" que puedan albergar fallos desconocidos. Además, es imposible que una empresa defienda un activo que no está incluido en la lista de inventario.

Ejemplo:

Consideremos una empresa manufacturera de tamaño medio que ha entrado en un nuevo mercado de servicios en la nube. Su equipo de seguridad sabe dónde se encuentran todas sus instancias en la nube y servidores locales, y cómo están etiquetados en función de su función y criticidad. Cuando se descubre una vulnerabilidad grave de ejecución remota de código, identifican rápidamente qué ordenadores están ejecutando el software comprometido. De esta manera, pueden manejar rápidamente el problema, al tiempo que se alinean con las mejores prácticas de gestión de amenazas y vulnerabilidades, dando prioridad a los activos más críticos.

2. Realizar análisis periódicos de vulnerabilidades y amenazas

El escaneo y el análisis son las dos actividades clave que definen la gestión de vulnerabilidades y amenazas. Los escáneres automatizados identifican los exploits conocidos, mientras que las revisiones de código y firmas, junto con la inteligencia sobre amenazas, proporcionan información sobre las amenazas nuevas y en desarrollo. La integración del descubrimiento con la puntuación de riesgos permite a los equipos clasificar las vulnerabilidades en críticas, altas, medias y bajas prioridades en función de la madurez y el impacto de los exploits. Estas actividades de evaluación de vulnerabilidades y amenazas deben realizarse periódicamente, con una frecuencia ajustada en función de la propensión al riesgo de la organización, sus obligaciones legales y el ritmo de los avances tecnológicos.

Ejemplo:

Un proveedor de atención médica debe garantizar el cumplimiento de las normas de la HIPAA, que exigen la realización de análisis de riesgos de forma periódica. En concreto, utilizan varios escáneres especializados en atención médica para examinar los sistemas de registros médicos electrónicos en busca de vulnerabilidades críticas del software. Tan pronto como se identifican nuevas amenazas que explotan las interfaces de los dispositivos médicos, el equipo de seguridad modifica los parámetros de escaneo y aumenta el escrutinio. Esto refleja las mejores prácticas de gestión de amenazas y vulnerabilidades, en las que no se deja ningún fallo sin abordar y se reevalúa cada sistema relevante.

3. Clasificar y priorizar las vulnerabilidades

A medida que se identifican cada vez más amenazas con mayor frecuencia, se hace imperativo diferenciar entre la señal y el ruido. Es muy importante clasificar y priorizar las debilidades para contar con un programa de gestión de amenazas y vulnerabilidades centrado. Gracias a marcos como el Sistema Común de Puntuación de Vulnerabilidades (CVSS) y a la incorporación de contexto en parámetros como la frecuencia de explotación y la sensibilidad de los datos, el equipo de seguridad puede identificar fácilmente qué brechas específicas son más peligrosas. Este enfoque asigna los recursos donde serán más eficaces, centrándose en las áreas que proporcionarán la mejora más significativa.

Ejemplo:

Un banco internacional con numerosos centros de datos asigna una clasificación de consecuencias empresariales a cada servidor, que va desde operaciones financieras críticas hasta la presentación de informes. Cuando se analizan estos servidores en busca de vulnerabilidades, los analistas combinan los informes públicos sobre exploits con la inteligencia interna del banco. Identifican un vector de ataque de desbordamiento de búfer totalmente operativo en una plataforma de pagos que actualmente utilizan varios hackers. Al abordar ese sistema de inmediato, ilustran los principios de gestión de amenazas y vulnerabilidades: tratar primero los problemas más críticos.

4. Integrar la gestión de vulnerabilidades y la inteligencia sobre amenazas

La incorporación de la gestión de vulnerabilidades con la inteligencia sobre amenazas permite identificar nuevos exploits asociados a vulnerabilidades conocidas. La inteligencia sobre amenazas permite una comprensión más realista: ¿están los ciberdelincuentes explotando una determinada debilidad en este momento? ¿Existe algún exploit de día cero disponible en el dominio público? La introducción de estos detalles en un programa de gestión de amenazas y vulnerabilidades mejora el proceso de toma de decisiones sobre la priorización y aporta enfoques más sutiles para la corrección. La integración de herramientas de análisis con inteligencia externa mejora la cobertura del entorno, a diferencia de lo que ocurre cuando se depende únicamente de las bases de datos de vulnerabilidades, que a menudo están desactualizadas.

Ejemplo:

Una empresa de comercio electrónico está recibiendo una serie de fuentes de inteligencia sobre amenazas que se centran en el software malicioso para minoristas. Al saber que una cadena de exploits afecta a un complemento de pasarela de pago muy utilizado, la inteligencia le da prioridad como de alto riesgo. La empresa verifica esta información con su análisis semanal de vulnerabilidades, donde descubre que el 20 % de sus servidores web utilizan este complemento específico. En la implementación inmediata de parches, explican cómo las prácticas de gestión de amenazas y vulnerabilidades utilizan inteligencia en tiempo real para prevenir ataques.

5. Establecer un calendario claro de correcciones y parches

La detección es inútil si las vulnerabilidades se dejan abiertas y pueden ser explotadas durante mucho tiempo. Para garantizar una gestión eficaz de las vulnerabilidades y las amenazas, la aplicación de parches debe programarse de forma racional, teniendo en cuenta los requisitos operativos. Dicho calendario se basa en la gravedad del problema: los cambios críticos se realizan en un plazo de un día, mientras que los menos urgentes pueden implementarse en una semana o incluso en dos. Esta formalización de los intervalos y las escaladas ayuda a evitar que surjan debilidades graves debido a la falta de claridad o responsabilidad. Además, documentar cada ciclo de parches ayuda a realizar un seguimiento del cumplimiento y de las mejoras realizadas.

Ejemplo:

Una marca minorista global utiliza un ciclo de parches, que también se estructura en semanas o meses en los que se agrupan las actualizaciones. Siempre que surge un problema crítico con sus sistemas de punto de venta, el proceso pasa al modo de emergencia y se corrige en un plazo de 48 horas. De esta manera, el minorista no solo se protege de una mayor exposición, sino que también demuestra su cumplimiento de los plazos establecidos. Este es un buen ejemplo de las mejores prácticas de gestión de amenazas y vulnerabilidades, que están orientadas a la acción oportuna.

6. Supervisar continuamente los entornos en la nube

Cada vez son más las empresas que optan por trasladar sus datos y su carga de trabajo a nubes públicas, privadas o híbridas. Aunque los proveedores de nube cuentan con ciertas medidas para garantizar la seguridad, la responsabilidad principal recae siempre en la organización cliente. Esta debe incluir un proceso integral de gestión de amenazas y vulnerabilidades para analizar las configuraciones, las máquinas virtuales, los contenedores y los clústeres de Kubernetes en estos entornos en la nube. Las herramientas de supervisión de la nube en tiempo real, junto con los sistemas de gestión de identidades y accesos, alertan a la organización cuando se produce un intento de compromiso o se ha realizado una configuración incorrecta que puede dar lugar a una brecha de seguridad.

Ejemplo:

Una startup tecnológica aloja sus microservicios en AWS, pero mantiene un canal DevOps local. Para centralizar la seguridad, la startup también implementa reglas de escaneo continuo que pueden escanear la pila de la nube y los servidores locales. Por ejemplo, si se descubre que un bucket S3 mal configurado es accesible públicamente, el sistema notifica inmediatamente a los administradores y corrige el problema. Esta solución combinada destaca la seguridad y la mitigación de riesgos en entornos multinube o híbridos sin lagunas.

7. Realizar pruebas de penetración periódicas

Mientras que las herramientas automatizadas muestran las debilidades de seguridad previamente descubiertas, los evaluadores de penetración pueden exponer fallos lógicos o interacciones que pasan desapercibidos. Las pruebas de penetración son una buena forma de garantizar que el programa de gestión de amenazas y vulnerabilidades no se quede obsoleto y dependa excesivamente de los escaneos rutinarios. Los hackers éticos son profesionales altamente capacitados que recrean amenazas del mundo real, vinculando vulnerabilidades menores con vías críticas. El resultado es una visión más profunda de las vulnerabilidades de la organización, en la que los equipos pueden centrarse en las áreas que necesitan mejoras estructurales que pueden estar fuera del alcance de los escáneres ordinarios.

Ejemplo:

Un proveedor de servicios financieros realiza evaluaciones de vulnerabilidad mensuales, pero también contrata los servicios de una empresa profesional de pruebas de penetración al menos dos veces al año. Aunque la mayoría de los escáneres no detectan nada, los evaluadores identifican un exploit de varias etapas que utiliza tokens de autenticación en una API interna poco conocida. El proveedor aborda rápidamente esta debilidad y mejora los escáneres de seguridad para identificar este tipo de problemas en el futuro. Este enfoque muestra cómo se debe gestionar la amenaza y la vulnerabilidad de una manera que combine procesos automatizados y análisis humano.

8. Desarrollar un equipo de respuesta a incidentes sólido

Incluso los mejores planes para gestionar los riesgos de vulnerabilidades y amenazas no son capaces de proteger contra todas las amenazas. Cuando se produce un incidente, es fundamental actuar con rapidez para evitar daños mayores o una destrucción total. Por eso, los miembros del equipo de respuesta a incidentes (IRT) deben conocer los sistemas internos, los procedimientos de escalamiento y la colaboración con socios externos. Al integrarlos en el proceso general de gestión de amenazas y vulnerabilidades, las vulnerabilidades detectadas no solo se abordan para solucionarlas, sino que también contribuyen a mejorar las reglas de detección y la comunicación entre los equipos.

Ejemplo:

En un gran proveedor de servicios de telecomunicaciones, el IRT realiza ejercicios de simulación mensuales en los que los escenarios son infracciones imaginarias. Cuando el equipo se encuentra con un intruso real que utiliza un servicio de intercambio de archivos sin parchear, tiene un plan de acción claro: poner en cuarentena el host afectado, bloquear las IP maliciosas e iniciar un análisis avanzado. Esta rápida actuación, basada en un plan integral de gestión de amenazas y vulnerabilidades, ayuda a frenar la infracción antes de que se vea comprometida la información del cliente.

9. Crear una cultura y una gobernanza que den prioridad a la seguridad

Aunque la gestión de amenazas y vulnerabilidades puede depender de la tecnología, la cultura de una organización es igual de importante. Esto significa que todos los empleados de la organización, independientemente de si trabajan en RR. HH., marketing o el departamento financiero, deben conocer los fundamentos de la ciberseguridad y saber cómo detectar ataques de phishing y crear contraseñas seguras.

Se pueden establecer estructuras de gobernanza de la seguridad, por ejemplo, comités o juntas, para supervisar y aplicar políticas, así como para asignar recursos. Cuando estos mecanismos de gobernanza están sincronizados con los ciclos técnicos de análisis y aplicación de parches, toda la empresa permanece protegida.

Ejemplo:

Un fabricante de automóviles establece un consejo de gobernanza de la seguridad que se reúne una vez al trimestre. Este consejo realiza un seguimiento del tiempo medio de aplicación de parches, las vulnerabilidades más críticas que siguen sin parchear y las tasas de finalización de la formación del personal. Se aseguran de que cualquier deficiencia, como la lentitud en la implementación de parches en la planta de fabricación, se solucione rápidamente. Mediante la integración de la tecnología con el liderazgo, amplían la identificación de vulnerabilidades y amenazas más allá de los empleados de TI al resto de los empleados.

10. Perfeccione y evolucione continuamente su estrategia

Las amenazas y vulnerabilidades son dinámicas y evolucionan con el tiempo, por lo que es fundamental seguir iterando el programa de gestión de amenazas y vulnerabilidades. Los equipos deben mantenerse ágiles mediante la revisión semanal de la inteligencia sobre amenazas, las herramientas de análisis y el proceso de corrección. Esto significa cambiar las políticas, pasar a soluciones mejores cuando sea necesario o reasignar funciones cuando haya lagunas. Establecer medidas como el tiempo medio de detección o el tiempo medio de parcheo también ayuda a realizar un seguimiento del progreso y a descubrir qué ralentiza el proceso de corrección.

Ejemplo:

Una empresa multinacional de logística realiza análisis retrospectivos trimestrales, que incluyen todos los riesgos identificados y el tiempo que se tarda en abordarlos. Los resultados muestran que el trabajo de un área concreta suele provocar el aplazamiento de las actualizaciones de los sistemas de almacenamiento obsoletos. Teniendo en cuenta esta información, la dirección implementa una formación cruzada y una distribución adecuada de los recursos. Esta retroalimentación de ciclo cerrado es un excelente ejemplo de las mejores prácticas de gestión de amenazas y vulnerabilidades: la estrategia se desarrolla a medida que cambian las amenazas y los entornos operativos.

Conclusión

Un enfoque estratégico de gestión de vulnerabilidades y amenazas implica una identificación continua, una categorización precisa y una mitigación inmediata. Al combinar la detección, la aplicación de parches y la gobernanza en un enfoque cohesionado, las organizaciones pueden lograr avances significativos frente a los humildes grupos de ransomware y los sofisticados grupos estatales, así como frente a todos los demás. Desde las actualizaciones diarias o semanales de la lista de activos hasta la gestión de vulnerabilidades y la inteligencia sobre amenazas, estas medidas de protección convierten los procesos reactivos en estrategias de defensa bien coordinadas.

Hay que entender que no existe una solución perfecta ni una política única infalible que pueda proteger contra todas las amenazas. Esto se debe a que la ciberseguridad es un campo en constante evolución que requiere un aprendizaje y una mejora continuos. Sin embargo, las empresas que han implementado las mejores prácticas de gestión de amenazas y vulnerabilidades están mucho más preparadas para estos cambios y están listas para hacer frente a todas las amenazas posibles con la ayuda de métodos conocidos y desconocidos.

"