La superficie de ataque es el número total de vectores de ataque que podrían usarse como punto de entrada para lanzar un ataque cibernético u obtener acceso no autorizado a datos confidenciales. Estas intrusiones no autorizadas podrían usar vulnerabilidades en determinados sistemas, dispositivos, aplicaciones, etc..

Puede afectar a las personas, los entornos físicos, de red o software.

Son todas las posibles brechas en los controles de seguridad que podrían ser explotadas por un atacante. Esto incluye sistemas operativos, aplicaciones instaladas, aplicaciones web, IoT, dispositivos móviles, centros de datos CPD, electrónica de red, dispositivos de seguridad perimetral, controles físicos de acceso, factor humano, como ingeniería social (phising y otros), etc…