Esto es exactamente lo que promete el CTEM (Continuous Threat Exposure Management)<\/strong>: pasar de una l\u00f3gica de control peri\u00f3dico a una gesti\u00f3n continua y estructurada del riesgo<\/strong>.<\/p>\n\n\n\n En este art\u00edculo, analizaremos este enfoque que se ha vuelto imprescindible, comprenderemos c\u00f3mo redefine la gesti\u00f3n de vulnerabilidades y c\u00f3mo Cyberwatch le permite integrarlo de forma concreta en sus pr\u00e1cticas.<\/p>\n\n\n\n Durante a\u00f1os, la gesti\u00f3n de vulnerabilidades (VM) y de la seguridad de los sistemas de informaci\u00f3n se ha basado en auditor\u00edas peri\u00f3dicas: un escaneo mensual, una prueba de penetraci\u00f3n trimestral, una auditor\u00eda de cumplimiento anual.<\/p>\n\n\n\n Pero este enfoque ya no se ajusta a la realidad de los sistemas de informaci\u00f3n modernos. Y ello por varias razones:<\/p>\n\n\n\n El modelo tradicional de gesti\u00f3n de vulnerabilidades se basa en un principio sencillo: capturar el estado de seguridad del SI en un momento dado<\/strong>, analizar los resultados y, a continuaci\u00f3n, corregir los problemas identificados.<\/p>\n\n\n\n Pero aqu\u00ed est\u00e1 el problema: en la era de la nube y las implementaciones continuas, esa instant\u00e1nea queda obsoleta en el mismo instante en que se toma.<\/p>\n\n\n\n Imagina un ciclo de an\u00e1lisis mensual que se ejecuta el d\u00eda 1 del mes. El d\u00eda 3, tu equipo de DevOps implementa un microservicio con una dependencia vulnerable. El d\u00eda 7, se publica una CVE cr\u00edtica sobre un componente presente en el 30 % de tu infraestructura. El d\u00eda 15, un becario inicia una instancia EC2 para probar un POC y se olvida de desactivarla.<\/p>\n\n\n\n Su pr\u00f3ximo escaneo detectar\u00e1 estos problemas con un retraso de entre 2 y 4 semanas, en el mejor de los casos.<\/p>\n\n\n\n Este escenario no es hipot\u00e9tico. En las arquitecturas modernas, con entornos h\u00edbridos multicloud, miles de microservicios, contenedores orquestados por Kubernetes, funciones sin servidor o incluso API expuestas p\u00fablicamente, su superficie de ataque se multiplica y los cambios en su infraestructura son constantes<\/strong>.<\/p>\n\n\n\n La consecuencia es inmediata: el mapa de activos en el que se basa su an\u00e1lisis queda r\u00e1pidamente obsoleto<\/strong>, y algunos activos escapan a su supervisi\u00f3n.<\/p>\n\n\n\n M\u00e1s all\u00e1 de estos puntos ciegos en la supervisi\u00f3n de activos, el volumen de vulnerabilidades que hay que tratar aumenta a un ritmo sin precedentes<\/strong>.<\/p>\n\n\n\n Seg\u00fan las cifras del FIRST<\/a> (Forum of Incident Response and Security Teams), en 2025 se registraron cerca de 50 000 CVE. Esto supone un aumento de aproximadamente el 21 % en un a\u00f1o, tras un incremento ya estimado en un 39 % entre 2023 y 2024.<\/p>\n\n\n\n A esta avalancha de vulnerabilidades se suma una aceleraci\u00f3n de los plazos de explotaci\u00f3n: los atacantes industrializan ahora la explotaci\u00f3n de las fallas cr\u00edticas <\/strong>y,<\/strong> en el caso de las vulnerabilidades m\u00e1s medi\u00e1ticas (como Log4Shell hace unos a\u00f1os), el plazo entre la publicaci\u00f3n y los primeros ataques se reduce a veces a menos de 24 horas.<\/p>\n\n\n\n Resultado: la ventana de correcci\u00f3n se reduce dr\u00e1sticamente, lo que acent\u00faa a\u00fan m\u00e1s el desfase con los ciclos de an\u00e1lisis peri\u00f3dicos.<\/p>\n\n\n\n En este contexto, ya no se puede tratar todo: hay que saber qu\u00e9 corregir con prioridad y en qu\u00e9 plazos.<\/p>\n\n\n\n Sin embargo, en los enfoques tradicionales, la priorizaci\u00f3n sigue bas\u00e1ndose en gran medida en puntuaciones t\u00e9cnicas gen\u00e9ricas (CVSS), sin tener en cuenta:<\/p>\n\n\n\n Resultado: sus equipos acumulan miles de vulnerabilidades, sin poder identificar claramente cu\u00e1les deben tratarse en primer lugar<\/strong>.<\/p>\n\n\n\n Por lo tanto, pueden pasar varias semanas (a veces varios meses) entre la detecci\u00f3n de una vulnerabilidad cr\u00edtica y su correcci\u00f3n efectiva.<\/p>\n\n\n\n Este desfase es a\u00fan m\u00e1s problem\u00e1tico a medida que se intensifica la presi\u00f3n normativa. La Directiva NIS2 (aplicable desde octubre de 2024) impone obligaciones reforzadas en materia de gesti\u00f3n de riesgos cibern\u00e9ticos<\/strong>, con sanciones que pueden alcanzar hasta el 2 % de la facturaci\u00f3n mundial.<\/p>\n\n\n\n Para responder a todos estos retos, ya no basta con mejorar los esc\u00e1neres: hay que cambiar de enfoque. Ese es precisamente el objetivo del CTEM.<\/p>\n\n\n\n El t\u00e9rmino CTEM (Continuous Threat Exposure Management) fue introducido por la empresa de investigaci\u00f3n y consultor\u00eda Gartner en 2022, en sus trabajos sobre la \u00abgesti\u00f3n de la exposici\u00f3n\u00bb.<\/p>\n\n\n\n Gartner lo define como un conjunto de procesos y capacidades organizados en cinco fases <\/strong>(que detallaremos a continuaci\u00f3n), que permiten evaluar de forma continua la accesibilidad, la exposici\u00f3n y la vulnerabilidad de los activos digitales y f\u00edsicos.<\/strong><\/p>\n\n\n\n Hay dos elementos esenciales en esta definici\u00f3n:<\/p>\n\n\n\n El objetivo es claro: reducir de forma sistem\u00e1tica y cuantificable la exposici\u00f3n a las amenazas mediante un ciclo continuo.<\/p>\n\n\n\n El marco CTEM se articula en torno a cinco fases:<\/p>\n\n\n\n Estas cinco fases forman un ciclo continuo<\/strong>, y eso es precisamente lo que las distingue de una secuencia cl\u00e1sica de acciones de seguridad. Queda entonces una pregunta clave: \u00bfc\u00f3mo industrializar este ciclo e integrarlo realmente en sus operaciones de seguridad?<\/p>\n\n\n\n Ah\u00ed es donde entra en juego Cyberwatch, nuestra plataforma de gesti\u00f3n de vulnerabilidades<\/a> y de cumplimiento normativo<\/a>: no como un componente m\u00e1s en su pila de seguridad, sino como la plataforma que pone en pr\u00e1ctica cada etapa del ciclo CTEM.<\/p>\n\n\n\n Sin un inventario exhaustivo y actualizado, no es posible el CTEM.<\/p>\n\n\n\n Por eso, Cyberwatch se basa en una amplia gama de mecanismos de descubrimiento<\/a> para identificar autom\u00e1ticamente los activos de su infraestructura<\/strong>, ya sean locales, en la nube, en contenedores o externos.<\/p>\n\n\n\n Los principales mecanismos de descubrimiento:<\/p>\n\n\n\n Al final, cada nuevo activo detectado se integra autom\u00e1ticamente, y los activos retirados del servicio se eliminan del inventario: dispones en todo momento de una visi\u00f3n fiable de tu superficie de exposici\u00f3n<\/strong>.<\/p>\n\n\n\n Una vez que el inventario ha ganado en fiabilidad gracias a la fase de descubrimiento, el reto ya no es analizarlo todo de la misma manera, sino adaptar el nivel de exigencia al nivel de riesgo.<\/p>\n\n\n\n Un activo cr\u00edtico, como un servidor ERP expuesto a Internet, debe ser objeto de un seguimiento prioritario, mientras que un activo con baja exposici\u00f3n, como un entorno de desarrollo aislado, tiene una prioridad menor.<\/p>\n\n\n\n El alcance consiste precisamente en organizar su superficie de ataque en per\u00edmetros coherentes <\/strong>para evitar el ruido y concentrar sus esfuerzos donde el impacto empresarial es real<\/strong>.<\/p>\n\n\n\n Con Cyberwatch, esta l\u00f3gica se materializa mediante la organizaci\u00f3n de los activos en proyectos<\/a> o grupos<\/a> que se corresponden con sus entornos (Producci\u00f3n, DMZ, servidores web, pruebas\u2026).<\/p>\n\n\n\n Cada per\u00edmetro puede entonces disponer de sus propias reglas<\/a>: frecuencia de escaneo, umbrales de alerta, criterios de priorizaci\u00f3n o derechos de acceso.<\/p>\n\n\n\n Por ejemplo:<\/p>\n\n\n\n Proyecto \u00abProducci\u00f3n\u00bb<\/p>\n\n\n\n \u251c\u2500 Frecuencia de an\u00e1lisis: diaria<\/p>\n\n\n\n \u251c\u2500 Umbral de alerta: CVSS \u2265 9,0 (notificaci\u00f3n inmediata)<\/p>\n\n\n\n \u2514\u2500 Acceso: DSI + RSSI<\/p>\n\n\n\n Tambi\u00e9n es posible definir con precisi\u00f3n los rangos de IP que se deben supervisar y distinguir los activos expuestos de los sistemas internos.<\/p>\n\n\n\n Esta segmentaci\u00f3n evita sobrevalorar riesgos poco realistas, al tiempo que se aplica un nivel de exigencia m\u00e1s alto a los recursos cr\u00edticos<\/strong>.<\/p>\n\n\n\n Una vez controlado el inventario y definido el per\u00edmetro, el reto queda claro: definir qu\u00e9 debe corregirse con prioridad.<\/p>\n\n\n\n En concreto, se trata de transformar una lista de miles de vulnerabilidades en una cola corta, contextualizada y alineada con sus retos empresariales.<\/strong><\/p>\n\n\n\n En Cyberwatch, esta priorizaci\u00f3n se basa, en primer lugar, en la definici\u00f3n de una pol\u00edtica de criticidad para cada activo. A cada \u00e1mbito se le asignan requisitos de Confidencialidad, Integridad y Disponibilidad (CIA) <\/strong>que permiten recalcular una puntuaci\u00f3n<\/a> CVSS<\/a> contextual: el CVSS-BTE<\/strong>.<\/p>\n\n\n\n<\/a>CTEM: un nuevo enfoque frente a las limitaciones de la gesti\u00f3n cl\u00e1sica de vulnerabilidades<\/strong><\/h2>\n\n\n\n
<\/a>1) Infraestructuras cada vez m\u00e1s din\u00e1micas y ef\u00edmeras<\/strong><\/h3>\n\n\n\n
<\/a>2) Un volumen de vulnerabilidades que se dispara<\/strong><\/h3>\n\n\n\n
<\/a>3) <\/strong>Una priorizaci\u00f3n a\u00fan demasiado desconectada del riesgo real<\/strong><\/h3>\n\n\n\n
\n
<\/a>El CTEM al detalle: definici\u00f3n y principios clave de la gesti\u00f3n continua de la exposici\u00f3n a amenazas<\/strong><\/h2>\n\n\n\n
<\/a>Un concepto popularizado por Gartner<\/strong><\/h3>\n\n\n\n
\n
\n
<\/a>Las 5 fases del marco CTEM<\/strong><\/h3>\n\n\n\n
\n
<\/li>\n\n\n\n
<\/li>\n\n\n\n\n
<\/li>\n\n\n\n
<\/p>\n\n\n\n<\/a>Implementar el CTEM con Cyberwatch, paso a paso<\/strong><\/h2>\n\n\n\n
<\/a>1) Descubrimiento: crear un inventario fiable y din\u00e1mico de sus activos<\/strong><\/h3>\n\n\n\n
\n
<\/li>\n\n\n\n
<\/li>\n\n\n\n
<\/li>\n\n\n\n<\/a>2) Delimitaci\u00f3n del alcance: definir un per\u00edmetro alineado con sus retos empresariales<\/strong><\/h3>\n\n\n\n
<\/a>3) Priorizaci\u00f3n: pasar del volumen de CVE al riesgo realmente cr\u00edtico<\/strong><\/h3>\n\n\n\n
![\"\"](\"https:\/\/cyberwatch.fr\/wp-content\/uploads\/2026\/04\/metricas-cvss-1024x292.png\")