Superfície d’atac externa: quins serveis de la teva empresa estan exposats a Internet

Superfície d’atac externa: quins serveis de la teva empresa estan exposats a Internet
Índex de continguts

Moltes empreses protegeixen allò que coneixen: servidors, usuaris, firewall, antivirus, còpies de seguretat, xarxa interna i aplicacions principals. Però una part important del risc pot quedar fora d’aquest inventari visible.

Una VPN antiga, un subdomini oblidat, un escriptori remot publicat, un panell d’administració accessible des d’Internet o una regla de firewall que ningú recorda poden convertir-se en una porta d’entrada.

Això és el que anomenem superfície d’atac externa: tot allò que una empresa exposa cap a Internet i que podria ser detectat, analitzat o atacat des de fora.

El problema no afecta només les grans companyies. Qualsevol empresa amb teletreball, seus connectades, proveïdors externs, serveis cloud, firewalls, centraletes IP, NAS, aplicacions web o accessos remots té una superfície d’atac que convé revisar de manera periòdica.

Què és la superfície d’atac externa

La superfície d’atac externa és el conjunt d’actius digitals d’una empresa que són visibles o accessibles des d’Internet.

Inclou tots els elements que un atacant podria descobrir sense estar dins de la xarxa corporativa: IPs públiques, dominis, subdominis, serveis publicats, certificats, ports oberts, VPN, panells d’administració, APIs, escriptoris remots o aplicacions antigues.

Dit d’una manera senzilla, la superfície d’atac externa respon a una pregunta molt concreta:

Què pot veure algú de la teva empresa des de fora?

Si la resposta no és clara, l’empresa té un problema de visibilitat. I en ciberseguretat no es pot protegir correctament allò que no es coneix.

Per què moltes empreses tenen més exposició de la que creuen

L’exposició externa no acostuma a aparèixer de cop. Normalment s’acumula amb els anys, a mesura que l’empresa creix, canvia de proveïdors, incorpora noves eines o adapta la seva infraestructura.

Un dia s’obre una VPN per al teletreball. Més endavant es publica una aplicació per als empleats. Després es crea un subdomini per a proves. En un altre moment s’habilita un accés remot per a un proveïdor. I, amb el pas del temps, alguns d’aquests elements queden actius tot i que ja no tinguin una necessitat clara.

Cada decisió aïllada pot tenir sentit. El problema apareix quan ningú manté una visió global.

Algunes causes habituals són:

  • Serveis publicats “temporalment” que mai es retiren.
  • Regles de firewall heretades.
  • Subdominis antics que continuen actius.
  • Accessos remots de proveïdors sense data de caducitat.
  • Equips o aplicacions que ja no tenen manteniment.
  • Migracions cloud que deixen serveis duplicats.
  • Manca d’inventari actualitzat.
  • Canvis tècnics urgents sense documentació posterior.
  • Absència de revisió periòdica de ports i serveis exposats.

Aquest tipus de situacions no sempre neix d’una mala pràctica evident. Moltes vegades és simplement el resultat d’anys d’activitat, incidències, urgències i canvis tècnics que no s’han consolidat en un inventari únic.

Exemples habituals de serveis exposats a Internet

Per entendre millor el problema, convé veure’l amb exemples concrets. Aquests són alguns dels casos que poden aparèixer en una revisió de superfície d’atac externa.

VPN antigues o mal mantingudes

Les VPN continuen sent necessàries en moltes empreses, especialment per al teletreball, el suport remot o la connexió entre seus.

El risc apareix quan una VPN manté firmware antic, protocols obsolets, usuaris que ja no haurien de tenir accés o configuracions sense MFA. Que una VPN funcioni no significa necessàriament que estigui ben protegida.

Una revisió adequada ha de comprovar usuaris actius, polítiques d’accés, versions, mètodes d’autenticació, permisos i registres de connexió.

Escriptoris remots publicats

L’accés RDP o els escriptoris remots publicats directament a Internet continuen sent un dels punts més delicats.

Encara que estiguin protegits amb contrasenya, poden ser detectats i atacats de manera automatitzada. En molts casos, aquest tipus d’accés hauria d’estar darrere d’una VPN, una passarel·la segura, una solució Zero Trust o un sistema amb autenticació multifactor.

Si una empresa necessita accés remot, ha d’existir una arquitectura segura. No n’hi ha prou amb obrir un port i confiar que ningú el trobarà.

Firewalls i routers accessibles des de fora

El firewall és una peça clau de defensa, però també pot convertir-se en un risc si la seva administració està exposada.

Panells de gestió accessibles des d’Internet, firmware sense actualitzar o configuracions heretades poden facilitar atacs contra la mateixa infraestructura de seguretat.

Una estratègia de seguretat perimetral per a empreses ha d’incloure regles de filtratge, control d’accessos administratius, actualització de dispositius i revisió periòdica de configuracions.

NAS, càmeres, centraletes i dispositius auxiliars

No tots els actius exposats són servidors clàssics.

Moltes empreses tenen dispositius auxiliars connectats a Internet: NAS, càmeres IP, gravadors, centraletes telefòniques, impressores avançades, sistemes de control o dispositius de xarxa.

Aquests equips sovint queden fora de l’inventari principal, però poden contenir dades, credencials o accessos interns. A més, alguns no reben actualitzacions amb la mateixa freqüència que un servidor corporatiu.

Si romanen publicats durant anys, poden convertir-se en un punt feble difícil de detectar fins que ja és massa tard.

Aplicacions web antigues o de proveïdors

També és freqüent trobar aplicacions web desenvolupades a mida, portals de client, eines internes o plataformes mantingudes per proveïdors externs.

El risc apareix quan aquestes aplicacions continuen publicades encara que ja no s’utilitzin de manera activa, no s’actualitzin o depenguin de tecnologies antigues.

En alguns casos, el proveïdor va publicar un accés per a suport o proves i aquest accés va quedar obert molt temps després de finalitzar el projecte.

Subdominis oblidats

Els subdominis són un altre punt habitual d’exposició.

Adreces com proves.empresa.com, vpn.empresa.com, demo.empresa.com, app.empresa.com o suport.empresa.com poden continuar existint encara que el projecte original hagi finalitzat.

Un subdomini oblidat pot revelar informació, apuntar a serveis antics o provocar errors de configuració en entorns cloud.

Quins riscos genera una superfície d’atac externa sense controlar

Tenir serveis visibles a Internet no és necessàriament dolent. Moltes empreses necessiten publicar serveis per operar amb normalitat.

El problema no és l’exposició en si, sinó l’exposició no controlada.

Quan una empresa no sap exactament què té publicat, augmenta la probabilitat que existeixin vulnerabilitats, accessos innecessaris o configuracions insegures.

Explotació de vulnerabilitats conegudes

Els atacants no sempre necessiten tècniques sofisticades. Moltes intrusions comencen aprofitant vulnerabilitats ja conegudes en serveis publicats.

Si un firewall, una VPN, un servidor web o una aplicació estan desactualitzats, poden ser detectats i atacats de manera automatitzada.

Per això és tan important combinar inventari, manteniment i actualització contínua.

Robatori de credencials

Els serveis exposats solen estar protegits per credencials. Si no hi ha MFA, control d’intents, polítiques de contrasenya robustes o revisió d’usuaris, el risc augmenta.

Un accés vàlid pot ser més perillós que una vulnerabilitat tècnica, perquè permet a l’atacant entrar utilitzant un compte aparentment legítim.

Ransomware

Molts atacs de ransomware comencen amb accessos remots insegurs, credencials compromeses o serveis exposats.

Un cop dins, l’atacant intenta moure’s lateralment, elevar privilegis i afectar servidors, còpies de seguretat o dades crítiques.

Reduir la superfície d’atac externa no elimina tot el risc, però sí que redueix moltes oportunitats d’entrada.

Filtració d’informació

Un servei mal configurat pot exposar noms d’usuari, versions de programari, rutes internes, documents, panells d’administració o informació útil per preparar un atac.

Fins i tot quan no hi ha accés directe a dades crítiques, la informació visible des de fora pot facilitar fases posteriors de l’atac.

Interrupció de serveis crítics

Una empresa també pot patir impacte operatiu encara que no hi hagi robatori de dades.

Un servei exposat pot ser objecte d’atacs de denegació de servei, explotació, bloqueig, manipulació o caiguda. Si aquest servei està relacionat amb clients, empleats, producció o comunicacions, l’impacte pot ser immediat.

Com revisar quins serveis de la teva empresa estan exposats

Una revisió de superfície d’atac externa ha de ser ordenada. No es tracta només d’executar una eina i generar un llistat de ports.

El més important és entendre què existeix, quina funció té, qui ho gestiona i quin risc representa per a l’empresa.

1. Identificar dominis, subdominis i IPs públiques

El primer pas és crear un mapa de presència externa.

Això inclou dominis principals, subdominis, rangs d’IP, serveis cloud, seus, proveïdors, connexions remotes i qualsevol actiu associat a l’empresa.

En moltes organitzacions, aquesta fase ja descobreix elements que ningú tenia inventariats.

2. Detectar ports i serveis oberts

Després cal revisar quins serveis responen des d’Internet.

No tots els ports oberts són insegurs, però tots han de tenir una justificació. Un port obert sense responsable, sense documentació o sense una necessitat clara s’hauria de revisar.

Aquí és on una auditoria de sistemes TIC pot aportar una visió objectiva de l’entorn real, més enllà del que figura en la documentació interna.

3. Revisar versions, configuracions i certificats

Un cop identificats els serveis, convé analitzar-ne l’estat.

Cal comprovar versions de programari, configuració TLS, certificats digitals, mètodes d’autenticació, exposició de panells administratius i possibles tecnologies obsoletes.

Un certificat caducat pot semblar un problema menor, però en determinats serveis pot provocar interrupcions, errors de confiança o problemes de seguretat.

4. Validar accessos remots i usuaris actius

Els accessos remots requereixen una revisió específica.

Cal comprovar qui pot accedir, des d’on, amb quins permisos, si existeix MFA, si hi ha comptes antics i si els proveïdors externs mantenen accessos que ja no són necessaris.

Aquest punt és especialment important en empreses amb suport extern, seus distribuïdes, personal en mobilitat o eines publicades per a tercers.

5. Prioritzar riscos

No totes les troballes tenen la mateixa criticitat.

No és el mateix un panell d’administració exposat sense MFA que una web corporativa correctament mantinguda. Tampoc té el mateix risc un servei de proves abandonat que una aplicació crítica monitorada i actualitzada.

La clau és prioritzar segons impacte, exposició, criticitat de l’actiu i facilitat d’explotació.

6. Corregir, tancar o protegir

Un cop prioritzats els riscos, cal actuar.

Algunes mesures habituals són:

  • Tancar serveis innecessaris.
  • Restringir accessos per IP.
  • Activar MFA.
  • Actualitzar firmware i programari.
  • Eliminar regles de firewall obsoletes.
  • Retirar subdominis antics.
  • Protegir panells d’administració.
  • Migrar accessos insegurs a solucions més robustes.
  • Documentar responsables i finalitat de cada servei.

La reducció de la superfície d’atac externa no consisteix a apagar serveis sense criteri. Consisteix a mantenir publicats només els serveis necessaris i protegir-los correctament.

7. Monitorar canvis

La superfície d’atac externa no és estàtica.

Cada nova seu, aplicació, proveïdor, migració cloud, regla de firewall o projecte temporal pot modificar-la. Per això, la revisió no s’hauria de fer una sola vegada i oblidar-la.

Un servei de manteniment informàtic 24×7 ajuda a detectar incidències, canvis i comportaments anòmals abans que es converteixin en un problema major.

Relació entre superfície d’atac, inventari IT i compliment normatiu

La superfície d’atac externa està directament relacionada amb l’inventari IT.

Si una empresa no sap quins actius té, difícilment podrà protegir-los. I si no sap quins actius estan exposats a Internet, tampoc podrà avaluar correctament el seu risc.

Aquest punt també té relació amb normatives i marcs de ciberseguretat. La Directiva NIS2 i les guies tècniques publicades per ENISA reforcen la importància de gestionar riscos, protegir actius, aplicar mesures tècniques adequades i millorar la resiliència de les organitzacions.

No totes les empreses tenen les mateixes obligacions reguladores, però totes poden beneficiar-se d’una idea bàsica: conèixer, classificar i protegir els actius tecnològics crítics.

Com a referència externa, el National Cyber Security Centre defineix l’External Attack Surface Management com el procés d’identificar, monitorar i reduir vulnerabilitats en actius accessibles des d’Internet. Pots consultar la seva guia oficial sobre External Attack Surface Management.

Per a empreses que necessiten reforçar el seu govern tècnic, una combinació d’inventari, revisió externa, polítiques d’accés i ciberseguretat empresarial permet reduir riscos de manera progressiva i controlada.

Quin paper tenen firewall, DNS, VPN i cloud

La superfície d’atac externa no depèn d’una única eina. És el resultat de moltes capes treballant conjuntament.

El firewall controla què entra i què surt. El DNS defineix com es localitzen els serveis. La VPN permet accessos remots. Els certificats garanteixen confiança. La monitorització detecta caigudes o comportaments anòmals. L’inventari permet saber què existeix. I les polítiques de seguretat defineixen què està permès i què no.

Quan aquestes peces no estan coordinades, apareixen zones grises.

Per exemple, una regla de firewall pot continuar activa encara que el servei ja no s’utilitzi. Un subdomini pot apuntar a una aplicació antiga. Una VPN pot conservar usuaris que ja no treballen a l’empresa. Un proveïdor pot mantenir un accés remot sense data de caducitat.

També passa en entorns cloud. En migrar serveis al núvol, poden quedar recursos publicats, regles obertes, aplicacions duplicades o configuracions provisionals. Per això, qualsevol projecte de cloud computing per a empreses ha d’incorporar criteris de seguretat, inventari i revisió contínua.

Com pot ajudar Inmove IT a reduir l’exposició externa

A Inmove IT ajudem les empreses a revisar, ordenar i protegir la seva infraestructura tecnològica amb un enfocament pràctic.

La reducció de la superfície d’atac externa no consisteix únicament a tancar ports. Requereix entendre com treballa l’empresa, quins serveis necessita, quins accessos són imprescindibles i quins riscos s’han de prioritzar.

Des de les nostres àrees de sistemes, comunicacions, manteniment i ciberseguretat, podem ajudar en tasques com:

  • Revisió de serveis publicats a Internet.
  • Anàlisi de regles de firewall.
  • Revisió d’accessos VPN i usuaris externs.
  • Identificació d’actius exposats.
  • Validació de configuracions crítiques.
  • Revisió de firmware i versions.
  • Monitorització d’infraestructura.
  • Documentació de serveis i responsables.
  • Planificació de millores de seguretat.

L’objectiu no és bloquejar l’operativa, sinó reduir riscos sense frenar el treball diari.

Una empresa pot necessitar accessos remots, aplicacions publicades o serveis cloud. L’important és que estiguin correctament protegits, actualitzats, documentats i monitorats.

La superfície d’atac externa és un dels punts més importants i, alhora, més oblidats de la ciberseguretat empresarial.

Moltes empreses creuen que la seva exposició està controlada perquè tenen firewall, antivirus o còpies de seguretat. Però si existeixen serveis publicats que ningú revisa, accessos antics, subdominis oblidats o aplicacions desactualitzades, el risc continua existint.

La pregunta clau no és només si la teva empresa està protegida.

La pregunta és: saps exactament què pot veure un atacant quan mira la teva empresa des d’Internet?

Si no tens una resposta clara, és un bon moment per revisar la teva superfície d’atac externa i convertir-la en una part més de la teva estratègia de seguretat.

A Inmove IT podem ajudar-te a identificar serveis exposats, revisar configuracions i definir un pla de millora adaptat a la realitat de la teva empresa. Coneix les nostres solucions de seguretat perimetral per a empreses, auditories de sistemes TIC i ciberseguretat empresarial per reduir riscos abans que es converteixin en incidents.

Preguntes freqüents sobre superfície d’atac externa

A continuació resolem alguns dubtes habituals sobre la superfície d’atac externa i la seva importància en la seguretat d’una empresa.

Què és la superfície d’atac externa d’una empresa

És el conjunt de serveis, sistemes, dominis, IPs, aplicacions i accessos que una empresa té visibles o accessibles des d’Internet. Inclou webs, VPN, firewalls, escriptoris remots, aplicacions cloud, subdominis, APIs i altres serveis publicats.

Per què és important revisar els serveis exposats a Internet

Perquè qualsevol servei visible des d’Internet pot ser analitzat per atacants. Si està desactualitzat, mal configurat o protegit amb credencials febles, pot convertir-se en una via d’entrada a la xarxa corporativa.

Cada quant s’hauria de revisar la superfície d’atac externa

Depèn de la mida i l’activitat de l’empresa, però s’hauria de revisar de manera periòdica i sempre que hi hagi canvis rellevants: noves seus, migracions cloud, canvis de firewall, publicació d’aplicacions, altes de proveïdors o implantació de nous accessos remots.

Quina diferència hi ha entre una auditoria externa i una revisió interna de seguretat

La revisió interna analitza la infraestructura des de dins de la xarxa corporativa. La revisió externa analitza què es pot veure des d’Internet. Totes dues són complementàries, però la revisió externa ajuda a entendre millor la perspectiva d’un possible atacant.

És perillós tenir una VPN publicada a Internet

No necessàriament. Moltes empreses necessiten VPN per al teletreball, suport o connexió entre seus. El risc apareix quan la VPN no està actualitzada, no té MFA, manté usuaris antics o utilitza configuracions insegures.

Quins serveis s’haurien d’evitar directament exposats a Internet

En general, convé evitar l’exposició directa d’escriptoris remots, panells d’administració, serveis antics, NAS, aplicacions sense manteniment i qualsevol sistema que no tingui controls de seguretat adequats. Quan sigui necessari publicar un servei, s’ha de fer amb mesures de protecció addicionals.

T'agrada? Comparteix aquesta entrada:

SUPORT

Necessites Assistència?

El nostre equip està a punt per a ajudar-te a través del nostre programa de teleassistència, oferint suport remot per a resoldre els teus problemes ràpidament i millorar l'eficiència dels teus sistemes informàtics.
Equipo profesional de soporte técnico informático

Potser també t'interessa...