Resumen ejecutivo del Informe Global sobre Amenazas 2026 de CrowdStrike: el informe definitivo sobre inteligencia de amenazas para la era de la IA Descargar

¿Qué es una evaluación de riesgos de ciberseguridad?

Una evaluación de riesgos de ciberseguridad es un proceso organizado cuyo objetivo es identificar vulnerabilidades y amenazas en el entorno de IT de una empresa. Para ello, se mide la posibilidad de que se produzca un evento de seguridad y sus posibles consecuencias.

En la mayoría de casos, recomendará a la empresa controles de acceso adicionales para abordar los retos a los que se enfrenta y mitigar el riesgo de brechas o de otros ataques desestabilizadores.

¿Por qué es importante realizar una evaluación de riesgos de ciberseguridad?

Actualmente, casi todas las empresas tienen presencia digital y emplean dispositivos conectados en sus operaciones. En estas circunstancias, cualquier endpoint, actividad online o sistema puede ser una puerta de entrada a sistemas, aplicaciones, datos y otros recursos, con lo que toda la empresa quedaría expuesta.

Por desgracia, a mayor actividad digital, mayor riesgo de ser el objetivo de ciberataques. En los últimos años, estos ataques han aumentado constantemente en frecuencia y complejidad; esto realza aún más la importancia de que las empresas tomen medidas de seguridad proactivas para mitigar estos riesgos.

El reciente Informe Global sobre Amenazas 2024 de CrowdStrike hace hincapié en siete descubrimientos clave que subrayan la innegable necesidad de realizar evaluaciones de riesgos de ciberseguridad de manera periódica y completa:

  • Los ataques "hands-on-keyboard" están al alza: las intrusiones interactivas (p. ej., la obtención de credenciales a través de phishing, el "password spraying" y la ingeniería social) aumentaron un 60 % en 2023. Los vectores de ataque a los que se enfrentan las empresas son muy variados.
  • Los atacantes ocultos están empleando credenciales robadas: el uso de credenciales legítimas se ha convertido en uno de los métodos más rápidos y comunes para obtener acceso. Las empresas necesitan defenderse contra ataques relacionados con la identidad muy difíciles de detectar.
  • La nube está especialmente expuesta a ataques: el análisis de CrowdStrike reveló un incremento del 75 % de las intrusiones en la nube en 2023. La migración a la nube es una estrategia empresarial clave para muchas organizaciones, pero no puede ir exenta de unas medidas de seguridad sólidas.

Informe Global sobre Amenazas 2025 de CrowdStrike

Informe Global sobre Amenazas 2025 de CrowdStrike

Consigue el informe sobre ciberseguridad imprescindible de este año.

Descargar

¿Cuáles son las ventajas de una evaluación de riesgos de ciberseguridad?

La ventaja más obvia para las empresas es poder perfeccionar su posición de seguridad en todo su entorno informático. Esto se logra a través de:

  • Visibilidad mejorada de todos los recursos informáticos y las aplicaciones
  • Inventario completo de los privilegios de los usuarios, su actividad en Active Directory (AD) y sus identidades
  • Identificación de puntos débiles en todos los dispositivos, aplicaciones e identidades de los usuarios
  • Identificación de vulnerabilidades concretas que podrían ser explotadas por atacantes

Además de esta primera ventaja, la evaluación de riesgos aporta otros muchos beneficios, por ejemplo:

  • Reducción de los costes al mitigar las vulnerabilidad y prevenir ataques
  • Optimización de los recursos más limitados al identificar actividades prioritarias relacionadas con el riesgo y el impacto
  • Reducción del riesgo de infringir la normativa al garantizar el cumplimiento de requisitos de datos relevantes
  • Reducción del tiempo de inactividad de las aplicaciones y los servicios

¿Qué deberías tener en cuenta antes de realizar una evaluación de riesgos de ciberseguridad?

Existen una serie de pasos previos que las empresas deben seguir para asegurarse de que la evaluación se realiza correctamente.

  1. Pregúntate qué quieres ganar con esta evaluación. La mayoría de empresas buscan identificar vulnerabilidades concretas y amenazas en su entorno informático y adoptar las medidas de seguridad necesarias para reducir esas vulnerabilidades y, en definitiva, cualquier riesgo. Más allá de esto, es posible que tu empresa tenga intereses diferentes, como reducir los costes, optimizar los recursos, etc.
  2. Determina el objeto de estudio. Muchas empresas tienen un entorno informático amplio y complejo, pero no destacan especialmente por su presupuesto y sus recursos. Por ello, puede que tengan que limitar el objeto de estudio para abarcar recursos y sistemas específicos o escoger las vulnerabilidades y amenazas que quieren estudiar.
  3. Encuentra a tu equipo de evaluación. Para realizar una evaluación de riesgos eficaz, necesitas contar con los mejores expertos en ciberseguridad. No todas las empresas tienen un grupo de especialistas en plantilla y necesitan recurrir a un tercero que domine el tema y les ayude a planificar y realizar la evaluación.
  4. Desarrolla un marco de evaluación. El proceso de evaluación de riesgos en cuanto a ciberseguridad debe medir y analizar el riesgo según criterios definidos que se aplican de manera uniforme. Es fundamental basarse en un marco preestablecido para garantizar la exhaustividad y la coherencia de la evaluación.

Más información

Échale un vistazo a esta entrada de blog para descubrir cómo los usuarios internos maliciosos aprovecharon vulnerabilidades para escalar privilegios y acceder a datos confidenciales.

Blog: How Malicious Insiders Use Known Vulnerabilities Against Their Organizations (Cómo los usuarios internos maliciosos aprovechan las vulnerabilidades de las empresas para atacarlas)

Los siete pasos para realizar una evaluación de riesgos de ciberseguridad

Para identificar de manera proactiva puntos débiles en nuestras medidas de seguridad, priorizar recursos y desarrollar estrategias eficaces para defendernos frente a ciberamenazas, es fundamental que realicemos periódicamente evaluaciones de riesgos de ciberseguridad. ¿Cómo debemos hacerlas?

Aquí te contamos los sietes pasos principales para realizar una evaluación de riesgos de ciberseguridad lo más completa posible.

1. Realiza un inventario de todos tus datos e identifica los más importantes

Para empezar con buen pie cualquier programa de ciberseguridad, es imprescindible que cuentes con un inventario completo y actualizado de todos los recursos de tu empresa. De esta manera, tendrás visibilidad completa de todos los endpoints, cargas de trabajo en la nube, aplicaciones y cuentas que están siendo utilizados, lo que te permitirá identificar lagunas de seguridad críticas y reducir el riesgo de una brecha de datos.

Además de inventariar todos los recursos, también deberías identificar cuáles son los más importantes, es decir, las "joyas de la corona". Podrían ser datos altamente confidenciales, direcciones IP con un valor enorme para la empresa o una aplicación o recurso esenciales.

Al definir el entorno informático e identificar los recursos más importantes, las empresas pueden tomar medidas para protegerlos y priorizar la implementación de controles de seguridad personalizados.

2. Identifica las ciberamenazas y las vulnerabilidades

La empresa identificará todas las ciberamenazas y vulnerabilidades en la segunda parte de la evaluación de riesgos.

Una vulnerabilidad es cualquier punto débil dentro del entorno informático que puede ser aprovechado durante un ciberataque. Algunas de las vulnerabilidades más habituales son:

  • Errores de configuración de TI
  • Derechos administrativos y de acceso excesivos
  • Endpoints poco protegidos o totalmente desprotegidos
  • Recursos expuestos no gestionados (incluidos los usuarios o recursos que no están bien desaprovisionados)
  • Aplicaciones o sistemas sin parches
  • Contraseñas poco seguras
  • Ajustes de TI débiles

Las amenazas son las tácticas, técnicas y métodos que utilizan los ciberdelincuentes para aprovechar una vulnerabilidad, y pueden ser internas (originadas por un empleado u otro usuario autorizado) o externas (desde fuera de la empresa). Estos son algunos ejemplos:

  • Malware: ransomware, troyanos, spyware, virus y cualquier otro tipo de ataque que aproveche el software de forma maliciosa.
  • Phishing: el phishing selectivo y otros ataques de ingeniería social.
  • Kit de exploits: cualquier conjunto de herramientas que utilizan los ciberdelincuentes para atacar vulnerabilidades específicas en un sistema o en código.
  • Ataques de denegación de servicio distribuido (DDoS): un ciberataque que intenta interrumpir el funcionamiento de un servidor o una red inundándolos con tráfico falso.
  • Inyecciones SQL: un ciberataque que inyecta código SQL malicioso en una aplicación. Esto permite al ciberdelincuente ver o modificar una base de datos.
  • Amenazas internas: cualquier riesgo de ciberseguridad que se origine en la propia empresa.

Las empresas necesitan recurrir a marcos de seguridad y metodologías de confianza, así como a informes e investigaciones externas, para que les resulte más sencillo identificar las posibles amenazas en función de los recursos que utilicen. Estos pueden incluir:

  • El marco MITRE ATT&CK® es una base de conocimientos seleccionados que rastrea el ciclo de vida de las tácticas y técnicas de los ciberdelincuentes en su totalidad.
  • La cadena de ciberataque es una adaptación de la cadena de ataque militar que describe las distintas etapas de varios ciberataques habituales y, por extensión, los puntos en los que el equipo de seguridad de la información puede prevenir, detectar o interceptar el ciberdelito.
  • La base de datos nacional de vulnerabilidades de EE. UU. (NVD) es un repositorio de datos de gestión de vulnerabilidades basado en estándares. Lo desarrolló el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU.
  • Informes y alertas de proveedores de ciberseguridad
  • Informes y alertas emitidos por instituciones gubernamentales

 3. Evalúa y analiza los riesgos asociados

Una vez identificados los recursos prioritarios de la empresa, además de las vulnerabilidades concretas y las posibles amenazas, el equipo de seguridad de la información puede entonces evaluar y calcular los riesgos asociados a esos componentes.

El objetivo es evitar que se solapen los recursos críticos de la empresa con las vulnerabilidades o amenazas existentes. Esto ayuda a la empresa a determinar la probabilidad de que se produzca un ataque concreto y el impacto que tendría. Gracias a esta información, la empresa podrá priorizar sus acciones para así mitigar el riesgo.

4. Calcula la probabilidad y el impacto de los diferentes riesgos asociados a la ciberseguridad

Otros aspectos importantes dignos de considerar en una evaluación de riesgos son:

  1. La probabilidad de que se produzca un ataque o de que un ciberdelincuente aproveche una vulnerabilidad.
  2. El resultado de un posible ataque o el impacto que un incidente de ese tipo puede tener en la empresa.

La probabilidad de que se produzca un ataque depende de diversos factores, como:

  • Capacidad de detección: hasta qué punto se conoce una vulnerabilidad.
  • Aprovechamiento: la facilidad con la que un adversario puede explotar una debilidad.
  • Repetición: la capacidad que tienen los ciberdelincuentes para utilizar las mismas técnicas o aprovechar una misma vulnerabilidad a lo largo del tiempo.

El impacto de un ataque se basa normalmente en la pérdida de confidencialidad, integridad y disponibilidad de los datos de una empresa. Además, también puede derivar en pérdidas económicas, gastos de recuperación, sanciones o repercusiones legales en materia de incumplimiento, perjuicios a la reputación y erosión de marca.

Como parte de este proceso, las empresas deben adoptar una herramienta de evaluación clara y coherente para calcular y cuantificar el impacto que podrían tener todas las vulnerabilidades y las posibles amenazas en el entorno informático. De esta forma, podrán priorizar sus acciones en función de las posibles repercusiones de un ataque.

5. Implementa medidas de seguridad

Es necesario implementar medidas de seguridad adicionales para mitigar cualquier riesgo presente en el entorno informático. Aquí las empresas deben determinar qué medidas concretas reducirán al mínimo las probabilidades de ataque.

Estas son algunas de las medidas de seguridad:

 6. Prioriza los riesgos según los análisis de costes y beneficios

Llegadas a este punto, las empresas analizan las vulnerabilidades identificadas durante la evaluación y priorizan aquellas que suponen un mayor riesgo. Las de mayor prioridad deben corregirse primero.

Ejemplos de factores de priorización:

  • Puntuación de la vulnerabilidad determinada por la base de datos o herramienta de inteligencia sobre amenazas
  • Impacto en la empresa si se explota dicha vulnerabilidad
  • Probabilidad de que los ciberdelincuentes conozcan la vulnerabilidad y vuelvan a aprovecharse de ella
  • Facilidad de aprovechamiento
  • Disponibilidad del parche necesario para neutralizar la vulnerabilidad

Más información

En este blog destacamos la importancia de priorizar adecuadamente las vulnerabilidades y explicamos cómo CrowdStrike puede ayudarte a hacerlo de manera sencilla.

Blog: CrowdStrike Services ayuda a las empresas a priorizar la aplicación de parches en las vulnerabilidades

7. Monitoriza y documenta los resultados

En la última etapa, la herramienta de evaluación elabora un informe exhaustivo que proporciona al equipo de seguridad una recopilación de todas las vulnerabilidades del entorno. En el informe también se priorizarán estas vulnerabilidades y se incluirán consejos sobre cómo corregirlas.

En el informe se incluirá información sobre:

  • Dónde y cuándo se identificaron las vulnerabilidades
  • Sistemas o recursos afectados por estas vulnerabilidades
  • Probabilidad de que los ciberdelincuentes vuelvan a aprovecharlas
  • Potencial de daños causados a la empresa si se explotan
  • Disponibilidad de un parche y esfuerzo necesario para aplicarlo

Es importante recordar que la evaluación de riesgos en materia de ciberseguridad es un proceso continuo. Dado que el panorama de vulnerabilidades y amenazas cambia día a día, por no decir minuto a minuto, las evaluaciones deben llevarse a cabo con regularidad y frecuencia. Esto no solo ayudará a las empresas a asegurarse de que han resuelto eficazmente las vulnerabilidades identificadas en análisis anteriores, sino que también les servirá para detectar otras nuevas a medida que surjan.

La estrategia de CrowdStrike

Para proteger a tu empresa de los ciberataques, antes debes conocer las brechas, los puntos débiles y los riesgos que subyacen a tu entorno informático.

La evaluación de riesgos técnicos de CrowdStrike es un servicio completo y evaluación de riesgos y detección de vulnerabilidades y amenazas que pueden utilizar las empresas para proteger adecuadamente sus datos, sistemas, redes y usuarios antes de que se produzca una brecha.

La evaluación de riesgos técnicos de CrowdStrike ayuda a las empresas a:

  • Detectar aplicaciones vulnerables al obtener información sobre las aplicaciones sin parchear o no autorizadas que se están usando en su entorno.
  • Corregir los sistemas no autorizados sin proteger mediante la detección de endpoints no gestionados en la red.
  • Impedir el uso indebido de Active Directory supervisando las credenciales de administrador en toda la red.

Janani Nagarajan es Senior Director of Product Marketing y se responsabiliza de la cartera de servicios y el ecosistema de la plataforma CrowdStrike. Aporta más de 15 años de experiencia en ciberseguridad, nube y tecnologías de red, y ha trabajado en Cisco e Illumio. Se especializa en posicionamiento, mensajería y estrategias de comercialización, y también aporta gran experiencia en ingeniería, gestión de productos, ventas y alianzas. En la actualidad, lidera un equipo de especialistas en marketing para supervisar los lanzamientos de productos y asociaciones, articular el valor para los equipos de ventas, partners y clientes, y definir y ejecutar estrategias de mercado.