El punto de partida
El negocio era — y es — digital de verdad: portales web públicos con gran volumen de tráfico, APIs de integración con terceros (tasadoras, portales, entidades) y un ciclo de despliegues frecuente que negocio y marketing empujaban sin pausa. Cada campaña nueva significaba una landing nueva; cada acuerdo con un tercero, una integración nueva. La seguridad iba por detrás: escaneos ocasionales, sin inventario completo de activos web y sin un proceso que conectara los hallazgos con el equipo de desarrollo.
El síntoma más revelador apareció el primer mes: webs de campañas antiguas que seguían publicadas y que TI ni siquiera sabía que existían. Ningún escaneo puntual las habría cubierto, porque no estaban en ninguna lista. Y todo ese parque expuesto procesaba datos de clientes — solicitudes, valoraciones, datos de contacto — en un sector donde la confianza es el producto. Una vulnerabilidad crítica en un portal público no era un tecnicismo: era un titular potencial.
Cómo lo abordamos
- Descubrimiento continuo de activos web — rastreo recurrente de dominios, subdominios, certificados y registros DNS para mantener un inventario vivo. La primera pasada destapó webs de campañas y microsites de agencias que TI no controlaba; tres años después, cada activo nuevo que se publica aparece en el inventario en días, no cuando alguien lo recuerda.
- Escaneo recurrente de aplicaciones e infraestructura expuesta — análisis periódico de los portales de gran tráfico, las APIs de integración y la infraestructura que los sirve. Los hallazgos típicos del día a día: librerías JavaScript desactualizadas, cabeceras de seguridad y configuraciones TLS débiles, algún XSS y controles de acceso mejorables en APIs.
- Priorización con contexto de negocio, no solo con CVSS — la pregunta que ordena la cola no es "¿qué puntuación tiene?" sino "¿esto está en internet y procesa datos de clientes?". Una vulnerabilidad media en un portal público con tráfico real puede ir por delante de una alta en un sistema interno.
- Resolución integrada en el ciclo de releases de desarrollo — los hallazgos llegan como tickets al backlog del equipo, con severidad, contexto y pasos de corrección; las críticas en activos públicos tienen SLA pactado y entran en la siguiente release o en un hotfix. Tras cada despliegue se reescanea para verificar el cierre.
- Terceros y agencias dentro del perímetro — las webs administradas por proveedores se escanean igual, y los hallazgos se trasladan con plazos y evidencia. Con el tiempo, los requisitos mínimos de seguridad y los plazos de corrección acabaron escritos en los contratos con agencias.
- Seguimiento constante con métricas de tendencia — reuniones periódicas con TI y desarrollo donde no se revisa una lista, sino una tendencia: activos nuevos descubiertos, tiempo de resolución por severidad, deuda acumulada y reincidencias. Es lo que convierte un escáner en un programa.
Resultados
días
de ventana de exposición para críticas en activos públicos — antes se medía en semanas
100%
del parque web bajo inventario y escaneo continuo — al inicio ni existía la lista completa
3 años
de programa continuo integrado con el ciclo de despliegues, y en curso
El cambio de fondo no es una cifra, es un hábito: cuando aparece una vulnerabilidad crítica en un portal público, ya existe el circuito para resolverla — quién la recibe, con qué plazo, en qué release sale y quién verifica el cierre. Las librerías JavaScript desactualizadas, las cabeceras débiles y los controles de acceso mejorables en APIs siguen apareciendo, porque el negocio sigue desplegando; la diferencia es que ahora se detectan, se priorizan con contexto y se cierran dentro de un plazo conocido.
Tres años dan también para lo que un escaneo puntual nunca ve: la deuda que baja release a release, las webs de campañas que se retiran cuando dejan de usarse en vez de quedarse publicadas para siempre, y unas agencias que ya entregan sabiendo que su trabajo se va a escanear. El programa no ha frenado el ritmo de negocio y marketing — se ha integrado en él.
Claves del caso
- En un negocio digital, cada web pública es superficie de ataque — también las de campañas que nadie recuerda. Si no está en el inventario, no está en el escaneo.
- Una vulnerabilidad crítica en un portal público que procesa datos de clientes es riesgo reputacional directo, no un tecnicismo de un informe.
- La detección se automatiza; la resolución se gobierna. Sin SLAs, tickets en el backlog de desarrollo y verificación tras el despliegue, el escáner solo produce PDFs.
Preguntas frecuentes
¿Cómo se descubren los activos web que TI no tiene inventariados?
Con descubrimiento continuo, no con una foto puntual: se rastrean dominios y subdominios, certificados TLS emitidos, registros DNS y rangos de IP de la organización de forma recurrente, y cada activo nuevo que aparece se contrasta con el inventario. En negocios con marketing activo es donde más aparece 'shadow IT': landings de campañas, microsites de agencias y entornos de prueba publicados que nadie comunicó a TI. Cada hallazgo se clasifica — propio, de tercero, obsoleto — y entra en el ciclo de escaneo o se retira. La lista de activos deja de ser un documento y pasa a ser un proceso.
¿Cómo se integra la corrección con un equipo de desarrollo que despliega cada semana?
Adaptándose a su ciclo, no imponiendo otro. Los hallazgos llegan como tickets al backlog del equipo, con severidad, contexto de exposición y pasos de corrección concretos; las críticas en activos públicos tienen un SLA pactado que las mete en la siguiente release — o en un hotfix si no puede esperar. Tras cada despliegue se reescanea para verificar el cierre. El resultado es que corregir vulnerabilidades deja de ser un proyecto aparte y se convierte en una tarea más del sprint, con la fricción mínima posible.
¿Qué pasa con las webs gestionadas por terceros o agencias?
Se escanean igual, porque para un atacante — y para el cliente final — son la marca de la organización, dé igual quién las administre. La diferencia está en la resolución: la responsabilidad es compartida, así que los hallazgos en activos de terceros se trasladan a la agencia o proveedor con plazos, y el programa aporta la evidencia para exigirlo. Con el tiempo, esas exigencias acaban en los contratos: requisitos mínimos de seguridad, plazos de corrección y derecho a verificar. Es una de las mejoras menos visibles y más rentables del programa.
¿Cuánto cuesta mantener un programa así frente a un escaneo puntual?
Como orden de magnitud, un programa continuo anual cuesta lo que unas pocas auditorías puntuales — pero no compite con ellas en precio, sino en cobertura temporal. Un escaneo puntual describe un día concreto; al día siguiente hay una release nueva y el informe empieza a caducar. En una plataforma que despliega cada semana, la pregunta relevante no es cuánto cuesta el programa, sino cuánto cuesta que una vulnerabilidad crítica pase semanas expuesta en un portal público que procesa datos de clientes. El programa existe para que esa ventana se mida en días.
Servicios relacionados
¿Sabes cuántas webs tuyas hay ahora mismo en internet?
Si tienes que preguntarlo, la respuesta real es "más de las que crees". Nuestra gestión de vulnerabilidades continua inventaría tu superficie expuesta, la escanea de forma recurrente y gobierna la corrección con tu equipo de desarrollo — al ritmo al que despliega tu negocio.