Activos “fantasma”: el mayor riesgo es el que no ves

En toda infraestructura IT, OT o IoT existe un riesgo que rara vez recibe la atención que merece: el de los “activos fantasma.” No se trata de una amenaza nueva ni de una categoría tecnológica desconocida, sino de componentes que, aunque forman parte de la infraestructura, acaban fuera del radar de quienes deberían gestionarlos.

A menudo ocurre que, con el tiempo, ciertas tecnologías permanecen conectadas a la infraestructura a pesar de haber perdido su función original. Un servidor puede quedar encendido tras una migración sin que nadie lo apague o lo desmantele formalmente; una aplicación desarrollada para un proyecto experimental se olvida cuando la iniciativa termina; un dispositivo IoT instalado para una prueba sigue activo en silencio aunque ya no tenga utilidad. De igual modo, reglas antiguas de firewall siguen existiendo aunque ya no tengan coherencia con el tráfico actual, y cuentas de usuario vinculadas a empleados o proveedores que ya no forman parte de la empresa permanecen activas mucho más tiempo del debido.

Descartados por silenciosos, excluidos de los procesos normales de actualización e invisibles en los inventarios oficiales, los activos fantasma terminan viviendo en los márgenes de la infraestructura, en una zona gris donde nadie los ve ni se ocupa de ellos. Precisamente esta condición de invisibilidad los convierte, con el tiempo, en el objetivo perfecto: el punto débil más expuesto, fácil de explotar para que un atacante obtenga un acceso inesperado y abra el camino hacia el corazón de la red.

La invisibilidad como factor de riesgo

La naturaleza insidiosa de los activos fantasma radica en su propia invisibilidad. Un activo no registrado no aparece en los inventarios, no recibe parches de seguridad, no se incluye en los planes de endurecimiento ni en los procesos de gestión de vulnerabilidades. En otras palabras, no existe para los defensores, pero sí existe, y mucho, para los atacantes.

Esto genera dos consecuencias inmediatas. La primera afecta a la seguridad operativa: basta con un nodo olvidado para comprometer todo el perímetro, aprovechando la complejidad de las interconexiones entre sistemas. La segunda, igualmente crítica, tiene que ver con la compliance normativa: directivas como NIS2 (UE 2022/2555), DORA o normas como ISO/IEC 27001:2022 e IEC 62443 exigen un inventario completo de los activos digitales. La existencia de sistemas fantasma representa, por tanto, una violación estructural con consecuencias legales y reputacionales potencialmente devastadoras.

Las estadísticas recientes (Ponemon Institute 2023) muestran que el 67% de las empresas admite no tener una visibilidad completa de su perímetro IT/OT, y que en promedio, el 30% de los activos no está registrado. ENISA (2024) detectó que más del 20% de los incidentes cibernéticos en Europa se originan en sistemas obsoletos o olvidados. El coste medio de una brecha de datos vinculada a activos fantasma es de 4,45 millones de USD, con tiempos de detección un 30% más largos que los incidentes originados en activos monitorizados (IBM, 2023).

El límite de los enfoques tradicionales

Muchas organizaciones, convencidas de que el control manual es sinónimo de precisión, siguen basando el descubrimiento de activos en actividades manuales o semiautomáticas, apoyadas en listas de verificación redactadas por los operadores. Pero en ecosistemas hiperconectados y distribuidos, donde conviven entornos cloud, centros de datos heredados, dispositivos IoT y sistemas OT, el error humano no es una posibilidad: es una certeza.

Un inventario manual queda obsoleto en cuanto se completa, porque la red ya ha cambiado: se conectan nuevos dispositivos, otros se desmantelan, aplicaciones migran a la nube. El resultado es un mapa parcial que ya no refleja la realidad de la infraestructura.

Gartner prevé que, para 2026, el 75% de las organizaciones OT sufrirá al menos un incidente grave originado en activos no monitorizados o en shadow IT. Esto confirma que el enfoque tradicional es insuficiente y corre el riesgo de convertirse en un punto de fallo sistémico.

El nuevo camino: de lo visible a lo invisible

Si el mayor riesgo es el que no ves, la respuesta es avanzar hacia una visibilidad total y continua. Y esto solo es posible mediante un enfoque automatizado y basado en datos, capaz de escanear en tiempo real toda la red, detectar cada activo conectado, reconstruir sus relaciones y generar un gemelo digital de la infraestructura.

Este modelo virtual, siempre actualizado, permite:

• identificar sistemas olvidados o no registrados;
• comprender cómo se propagan amenazas y vulnerabilidades entre activos heterogéneos (IT, OT, IoT);
• simular escenarios what-if para evaluar el impacto de un ataque o un cambio de configuración;
• entregar un mapa de riesgos que no se limita a enumerar vulnerabilidades, sino que las vincula directamente con los procesos de negocio.

Las técnicas más avanzadas se basan en descubrimiento continuo de activos mediante herramientas de monitoreo pasivo de red y en el uso de algoritmos de detección de anomalías basados en machine learning. Además, la integración de una SBOM (Software Bill of Materials) extendida a IoT/OT garantiza visibilidad también a lo largo de la cadena de suministro, reduciendo el riesgo de exploits vinculados a componentes no rastreados.

Conclusión: lo que no ves puede dañarte

Los activos fantasma no son un detalle menor ni un problema que pueda posponerse: representan la forma más peligrosa de vulnerabilidad porque no generan señales evidentes hasta que ya es demasiado tarde. La verdadera diferencia entre una organización resiliente y una que solo lo parece no está en la cantidad de herramientas defensivas que despliega, sino en la capacidad de hacer visible lo invisible, eliminar los puntos ciegos y transformar la gestión del riesgo de un ejercicio estático a un proceso continuo.

En números: un activo no registrado tiene tres veces más probabilidades de convertirse en vector de ataque que uno inventariado y monitorizado (ENISA Threat Landscape 2023).

El verdadero punto débil no es lo que controlas, sino lo que permanece en la sombra sin que te des cuenta.