La superficie de ataque de una organización es la suma de vulnerabilidades, vías o métodos —a veces llamados vectores de ataque— que los hackers pueden utilizar para obtener acceso no autorizado a la red o a datos confidenciales, o bien para perpetuar un ciberataque.

A medida que las organizaciones adoptan cada vez más los modelos de trabajo híbrido (en local/teletrabajo) y servicios en cloud, sus redes y las superficies de ataque asociadas se expanden y ganan complejidad prácticamente a diario. De acuerdo con el informe The State of Attack Surface Management 2022 de Randori (enlace externo a ibm.com) (Randori es una filial de IBM Corp.), el 67 por ciento de las organizaciones ha visto crecer sus superficies de ataque en los últimos dos años. El analista del sector Gartner estableció la expansión de la superficie de ataque como tendencia n.° 1 en seguridad y gestión de riesgos para 2022 (enlace externo a ibm.com).

Los expertos en seguridad dividen la superficie de ataque en tres subsuperficies: la superficie de ataque digital, la superficie de ataque física y la superficie de ataque de ingeniería social.