Gartner® no crea nuevas categorías a la ligera. En términos generales, un acrónimo nuevo solo aparece cuando resulta matemáticamente imposible completar la «lista de tareas pendientes» colectiva de la industria. Por lo tanto, parece que la introducción del Plataformas de evaluación de la exposición (EAP) La categoría es una admisión formal de que la gestión de vulnerabilidades (VM) tradicional ya no es una forma viable de proteger una empresa moderna.

El cambio desde lo tradicional Guía de mercado para la evaluación de vulnerabilidades a la nueva Cuadrante mágico para EAP representa un alejamiento de la «manguera de vulnerabilidad», es decir, el flujo interminable de CVE, y pasar a un modelo de Gestión continua de la exposición a amenazas (CTEM) . Para nosotros, esto es más que un simple cambio de terminología; es un intento de resolver la paradoja del «callejón sin salida» que ha plagado a los equipos de seguridad durante una década.

En el informe inaugural del Cuadrante Mágico de esta categoría, Gartner evaluó a 20 proveedores por su capacidad para respaldar el descubrimiento continuo, la priorización basada en los riesgos y la visibilidad integrada en las capas de nube, locales e identidades. En este artículo, analizaremos en profundidad las principales conclusiones del informe, los factores que impulsan la nueva categoría, las características que la definen y las conclusiones que, en nuestra opinión, pueden extraer los equipos de seguridad.

Por qué la evaluación de la exposición está ganando terreno

Las herramientas de seguridad siempre han prometido reducir los riesgos, pero en su mayoría han generado ruido. Un producto revelaría un error de configuración. Otro registraría una deriva de privilegios. Un tercero señalaría los activos vulnerables orientados al exterior. El resultado es una crisis de volumen que ha provocado una fatiga crónica de alerta en el SOC. Cada herramienta proporcionaba una pieza del rompecabezas, pero ninguna fue capaz de juntar todas las piezas y explicar cómo se forma la exposición... ni qué corregir primero para evitarla.

El escepticismo hacia las herramientas de máquinas virtuales antiguas es merecido. Los datos de más de 15 000 entornos muestran que el 74% de las exposiciones identificadas son «callejones sin salida», es decir, que se encuentran en activos que no tienen una ruta viable hacia un sistema crítico. En el modelo anterior, un equipo de seguridad podía dedicar el 90% de sus esfuerzos a solucionar estos callejones sin salida, con lo que el riesgo para los procesos empresariales se reducía prácticamente a cero.

Esto es lo que los EAP están diseñados para abordar. Reúnen todas esas piezas en una visión unificada que rastrea cómo los sistemas, las identidades y las vulnerabilidades interactúan en entornos reales y lo muestran cómo un atacante podría usarlo para pasar de un entorno de desarrollo de bajo riesgo a activos críticos.

Este modelo está ganando adeptos porque refleja cómo operan los atacantes. Los actores de amenazas no se limitan a un solo defecto. Tienen controles débiles, privilegios desalineados y puntos ciegos en la detección. El modelo EAP rastrea cómo se acumulan las exposiciones en todos los entornos y llevan a los atacantes a los activos accesibles. Las plataformas de esta categoría están diseñadas para mostrar dónde se origina el riesgo, cómo se propaga y qué condiciones favorecen el movimiento de los atacantes.

Gartner proyecta que las organizaciones que utilizan este enfoque reducir el tiempo de inactividad no planificado en un 30% para 2027 . Este tipo de resultado espectacular se basa en un cambio igualmente drástico en la forma en que se define, modela y operacionaliza la exposición en todos los entornos. El cambio afecta a todos los niveles del flujo de trabajo de seguridad, desde la forma en que se conectan las señales hasta la forma en que los equipos deciden qué corregir primero.

Profundizar: de las listas estáticas a la exposición en movimiento

Ese cambio en el flujo de trabajo comienza con la forma en que los EAP detectan y conectan las condiciones que conducen al riesgo. Las plataformas de evaluación de la exposición adoptan un enfoque diferente al de las herramientas de vulnerabilidad tradicionales. Se basan en un conjunto distinto de capacidades:

  • Consolidan el descubrimiento en todos los entornos. Los EAP escanean continuamente las redes internas, las cargas de trabajo en la nube y los sistemas orientados al usuario para identificar tanto los activos conocidos como los no rastreados, junto con las identidades no administradas, las funciones mal configuradas y los sistemas heredados que pueden no aparecer en los inventarios estándar.
  • Priorizan en función del contexto, no solo de la gravedad. La exposición se clasifica según varios parámetros: importancia de los activos, rutas de acceso, explotabilidad y cobertura de control. Esto permite a los equipos ver qué problemas son accesibles, cuáles están aislados y cuáles permiten el movimiento lateral.
  • Integran los datos de exposición en los flujos de trabajo operativos. La salida EAP está diseñada para apoyar la acción. Las plataformas se conectan con las herramientas de TI y de seguridad para que los hallazgos puedan asignarse, rastrearse y resolverse mediante los sistemas existentes, sin esperar a una auditoría trimestral o a una revisión manual.
  • Permiten el seguimiento del ciclo de vida. Una vez que se identifican las exposiciones, los EAP las supervisan a lo largo de las etapas de corrección, los cambios de configuración y las actualizaciones de políticas. Esa visibilidad ayuda a los equipos a comprender qué se ha corregido, qué queda y cómo cada ajuste afecta a la postura ante el riesgo.

Lo que revela el cuadrante sobre la madurez del mercado

El nuevo Cuadrante Mágico destaca una división en el mercado. Por un lado, tenemos a las empresas tradicionales que intentan «incorporar» las funciones de exposición a sus motores de escaneo existentes. Por otro lado, hay jugadores nativos de gestión de la exposición que llevan años modelando el comportamiento de los atacantes.

La madurez de la categoría se evidencia en un cambio en la «definición de terminado». El éxito ya no se mide por el número de vulnerabilidades corregidas, sino por el número de rutas críticas de ataque eliminadas. Plataformas como XM Cyber, que se crearon a partir de modelos basados en gráficos de ataque, ahora lideran este enfoque.

Qué deben observar los equipos de seguridad

La evaluación de la exposición ahora es una categoría propia, con capacidades definidas, criterios de evaluación y un papel cada vez mayor en los flujos de trabajo empresariales. Las plataformas del Cuadrante Mágico identifican las exposiciones conectadas, trazan un mapa de los activos a los que se puede acceder y guían las medidas correctivas en función de los movimientos de los atacantes.

Para el profesional, el valor inmediato es la eficiencia. Estas plataformas están tomando decisiones sobre qué corregir primero, cómo asignar la propiedad y dónde la reducción del riesgo tendrá el mayor impacto. La evaluación de la exposición se posiciona ahora como un elemento fundamental en la forma en que se protegen, mantienen y comprenden los entornos. Si puedes demostrar matemáticamente que el 74% de tus alertas se pueden ignorar de forma segura, no solo estás «mejorando la seguridad», sino que estás devolviendo tiempo y recursos a un equipo que probablemente ya esté en su punto de quiebre. La categoría EAP por fin está alineando las métricas de seguridad con la realidad empresarial. La pregunta ya no es «¿cuántas vulnerabilidades tenemos?» sino «¿Estamos a salvo de las rutas de ataque más importantes?»

Para obtener más información sobre por qué XM Cyber fue nombrada retadora en el Cuadrante Mágico de 2025 en cuanto a plataformas de evaluación de la exposición, obtenga su copia del informe aquí .

Nota : Este artículo ha sido escrito y contribuido de manera experta por Maya Malevich, directora de marketing de productos de XM Cyber.

Descargo de responsabilidad de Gartner: Gartner, Cuadrante mágico para plataformas de evaluación de la exposición, por Mitchell Schneider, Dhivya Poole y Jonathan Nunez, 10 de noviembre de 2025. GARTNER es una marca comercial registrada y una marca de servicio de Gartner, y Magic Quadrant es una marca comercial registrada de Gartner, Inc. y/o sus filiales en EE. UU. e internacionalmente, y se utilizan en este documento con permiso. Todos los derechos reservados. Gartner no respalda a ningún proveedor, producto o servicio descrito en sus publicaciones de investigación y no recomienda a los usuarios de tecnología que seleccionen únicamente a los proveedores con las calificaciones más altas u otra designación. Las publicaciones de investigación de Gartner se basan en las opiniones de la organización de investigación de Gartner y no deben interpretarse como declaraciones de hechos. Gartner se exime de toda garantía, expresa o implícita, con respecto a esta investigación, incluidas las garantías de comerciabilidad o idoneidad para un propósito determinado.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.