SAM, pilar estratégico de la ciberseguridad
El SAM como pilar estratégico de la ciberseguridad: una necesidad imperativa en 2026
Félix Ruiz, Senior Account Manager en Matrix42
En 2026, la conversación sobre ciberseguridad ha dejado de girar únicamente en torno a firewalls, detección avanzada o arquitecturas Zero Trust. A medida que los incidentes graves se multiplican y las sanciones regulatorias alcanzan cifras capaces de comprometer la continuidad de una organización, emerge una realidad incómoda: muchas brechas no se producen por ataques sofisticados al perímetro, sino por algo mucho más básico y, paradójicamente, menos controlado: el software que se ejecuta dentro de las organizaciones.
Durante años, la gestión de activos de software (SAM) ha sido percibida como una disciplina administrativa, centrada en el control de licencias y la optimización de costes. Sin embargo, ese enfoque resulta claramente insuficiente para el contexto actual. Hoy, el software es uno de los principales vectores de riesgo cibernético y, por tanto, el SAM se ha convertido en un componente crítico de cualquier estrategia de seguridad y continuidad de negocio.
La mayoría de los incidentes relevantes en organizaciones medianas y grandes tiene su origen en aplicaciones vulnerables, obsoletas o no gobernadas: versiones sin soporte, librerías con vulnerabilidades conocidas desde hace años, herramientas desplegadas fuera del control de TI o servicios SaaS adoptados sin evaluación previa de riesgos. A este escenario se suman ahora el Shadow SaaS, los permisos excesivos y el uso de identidades y tokens que rara vez se revisan. El resultado es una superficie de ataque creciente, silenciosa y difícil de medir.
Lo más preocupante es que esta realidad convive con inversiones muy significativas en tecnologías avanzadas de seguridad. EDR, XDR, SIEM, NDR, SASE o Zero Trust forman parte del stack habitual de muchas organizaciones, pero operan sobre una base incompleta: una visibilidad parcial —cuando no inexistente— del software real que se ejecuta en endpoints, servidores y entornos cloud. En muchos casos no se conocen con precisión las versiones instaladas, no se correlacionan de forma sistemática con vulnerabilidades publicadas, no se controlan dependencias críticas y no se mide de forma continua qué parte del parque software se encuentra fuera de los estándares de seguridad definidos.
Sin ese conocimiento básico, cualquier arquitectura avanzada se vuelve frágil. Zero Trust, por ejemplo, pierde gran parte de su efectividad si no se puede determinar con exactitud qué aplicaciones son confiables, qué versiones están autorizadas y cuál es el impacto real de una vulnerabilidad concreta. La seguridad se convierte entonces en una declaración de intenciones más que en un mecanismo operativo de control del riesgo.
A esta falta de visibilidad se suma un nuevo factor que acelera y amplifica el problema: la adopción masiva de herramientas de inteligencia artificial generativa. La capacidad de crear código, scripts y automatizaciones en cuestión de minutos ha transformado la forma de trabajar, pero también ha industrializado la generación de software inseguro. Dependencias vulnerables incorporadas automáticamente, credenciales incrustadas sin revisión, exposición de datos sensibles en prompts o la proliferación de soluciones internas sin trazabilidad ni aprobación de seguridad son ya situaciones habituales. El riesgo que antes tardaba semanas en materializarse ahora aparece casi en tiempo real.
En este contexto, la gobernanza del software ya no puede limitarse a lo “instalado” de forma tradicional. El código generado por IA difumina las fronteras entre usuario, desarrollador y proveedor, y obliga a replantear el alcance del SAM como disciplina capaz de dar visibilidad también a estos nuevos artefactos digitales.
El marco regulatorio refuerza esta necesidad sin dejar espacio a interpretaciones. Normativas como NIS2, DORA, el ENS en sus niveles más exigentes, RGPD, ISO/IEC 27001:2022, NIST CSF 2.0 o PCI-DSS v4 convergen en un mismo punto: las organizaciones deben disponer de un inventario exhaustivo de software, controlar versiones autorizadas, gestionar el ciclo de vida de las aplicaciones y medir de forma continua el riesgo asociado a cada activo TIC. Ya no se trata de buenas prácticas, sino de obligaciones cuyo incumplimiento conlleva sanciones económicas, responsabilidades directivas y pérdida de confianza del mercado.
Frente a este escenario, las organizaciones que están logrando reducir de manera tangible su exposición al riesgo comparten un patrón claro: han institucionalizado el SAM como una función estratégica, con responsabilidades definidas, recursos propios y visibilidad en los comités de dirección y de riesgos. En 2026, su misión va mucho más allá del ahorro en licencias. Incluye la capacidad de medir y reportar riesgo cibernético derivado del software, mantener inventarios dinámicos basados en huella digital, priorizar vulnerabilidades por versión exacta y criticidad del activo, aplicar controles preventivos y participar activamente en la gobernanza de nuevas iniciativas de IA, SaaS y desarrollo interno.
La conclusión es difícil de ignorar. En un entorno donde el coste medio de una brecha grave supera con creces varios millones de euros, mantener una postura reactiva frente al software es una decisión estratégica de alto riesgo. Crear una oficina SAM madura y bien posicionada no es un proyecto más de TI: es una medida de control esencial, alineada con las expectativas de reguladores, aseguradoras, consejos de administración y clientes.
La pregunta, a estas alturas, ya no es si la inversión en SAM se puede justificar. La verdadera cuestión es si una organización puede permitirse seguir operando sin conocer, de forma precisa y continua, el software sobre el que se sostiene su negocio.
