La nube es el principal riesgo para 77% de profesionales de ciberseguridad en México

La adopción de la tecnología de nube ha traído consigo una serie de ventajas indiscutibles para las empresas, como la escalabilidad, la flexibilidad y la reducción de costos operativos. Sin embargo, estos beneficios también conllevan un aumento significativo en los riesgos de ciberseguridad, especialmente en países como México.

De acuerdo con el Informe 2024 de Tenable sobre los riesgos en la nube, 77% de los profesionales de ciberseguridad en México identifica a la nube como el principal vector de riesgo para sus organizaciones, una cifra que refleja la magnitud de las vulnerabilidades a las que se enfrentan.

El informe de Tenable, elaborado a partir de datos recolectados entre enero y junio de 2024 de miles de millones de recursos en varias nubes públicas, revela que las amenazas más preocupantes se centran en la complejidad de los entornos de nube modernos. El documento pone de manifiesto la llamada "tríada tóxica" de vulnerabilidades que afecta a las cargas de trabajo en la nube: exposición pública, vulnerabilidades críticas y privilegios excesivos.

La tríada tóxica

Uno de los hallazgos más alarmantes del informe es que el 38% de las organizaciones en México tiene al menos una carga de trabajo que cumple con las condiciones de la tríada tóxica, lo que las convierte en un blanco fácil para los ciberdelincuentes.

La tríada tóxica es un cóctel explosivo para las empresas, ya que suele implicar la explotación de vulnerabilidades de día cero en cargas de trabajo expuestas públicamente. Los atacantes luego se mueven lateralmente a través de los sistemas, aprovechando los privilegios comprometidos para ampliar su acceso y causar estragos.

Robert Huber, director de Seguridad de la Información de Tenable, explicó en entrevista la importancia de abordar estos riesgos desde una perspectiva empresarial: "Lo que queremos hacer es crear conciencia sobre el riesgo de esa nueva tecnología para los líderes empresariales, porque ellos serán los que decidan si una organización se expande a un nuevo mercado o si migra su infraestructura a la nube".

Huber destacó que muchas empresas no comprenden plenamente el modelo de responsabilidad compartida que caracteriza a los entornos de nube, lo que contribuye a la proliferación de vulnerabilidades no gestionadas.

Privilegios excesivos

El informe también muestra el papel de la gestión de identidades y accesos como uno de los principales vectores de riesgo. El 84% de las organizaciones tiene claves de acceso sin utilizar o con permisos excesivos, un hecho que abre la puerta a ataques basados en identidades comprometidas. Además, el 23% de las identidades en la nube (humanas y no humanas) tiene permisos que superan lo necesario, lo que agrava aún más la posibilidad de ataques exitosos.

Esta tendencia es particularmente preocupante en México, donde la adopción acelerada de tecnologías en la nube ha superado la capacidad de las empresas para asegurar adecuadamente sus entornos. "La mayoría de las organizaciones no han desplegado herramientas para identificar configuraciones incorrectas y debilidades en la nube, lo que permite que estas vulnerabilidades proliferen", dijo Huber.

Exposición pública de activos

Otro de los riesgos identificados en el informe es la exposición pública de activos y almacenamiento en la nube. Según el estudio, el 74% de las organizaciones a nivel global tiene activos de almacenamiento expuestos públicamente, incluyendo datos confidenciales, lo que aumenta significativamente el riesgo de ataques de ransomware y otras formas de explotación.

"La facilidad con la que se pueden crear buckets de almacenamiento hace que los datos críticos queden expuestos sin que los desarrolladores o las empresas se den cuenta", dijo.

Esta falta de visibilidad es un problema recurrente en las organizaciones mexicanas, que a menudo carecen de los controles necesarios para detectar y corregir estas exposiciones a tiempo.

"Lo que necesitas es una solución tecnológica que te proporcione visibilidad continua", añadió.

Kubernetes, desafío adicional

En el ámbito de la gestión de contenedores, Kubernetes ha emergido como una herramienta esencial para las empresas que operan en la nube, pero también plantea retos importantes en términos de seguridad.

Según el informe de Tenable, el 78% de las organizaciones en el mundo tiene servidores API de Kubernetes accesibles públicamente, y el 41% de estos permiten acceso entrante desde Internet, lo que expone aún más los sistemas a posibles ataques.

Además, el 44% de las organizaciones ejecuta contenedores con privilegios elevados, lo que amplifica los riesgos de cryptojacking y explotación de vulnerabilidades críticas.

"Cuando despliegas un sistema en la nube, normalmente no está asegurado de forma predeterminada, y eso incrementa la probabilidad de que veas información expuesta públicamente cuando las personas migran inicialmente a la nube", dijo.

Mitigación

Para hacer frente a estos riesgos, el informe de Tenable propone varias estrategias de mitigación. Entre las recomendaciones destacan la creación de visibilidad basada en el contexto, la gestión de permisos y credenciales, el control en Kubernetes y la priorización de vulnerabilidades críticas. La adopción de soluciones que proporcionen visibilidad continua y automatización en la gestión de permisos es esencial para que las organizaciones puedan proteger sus activos en la nube de manera efectiva.

"Es fundamental que las empresas mexicanas comprendan que, al migrar a la nube, deben estar preparadas para enfrentar estos riesgos de seguridad", dijo Huber.

"Los líderes empresariales deben asegurarse de que sus equipos de tecnología y seguridad están alineados y capacitados para implementar los controles necesarios", añadió.

En un entorno donde las amenazas cibernéticas evolucionan constantemente, las organizaciones en México no pueden permitirse el lujo de ser complacientes. La nube, con todas sus ventajas, también representa un riesgo significativo que requiere atención y recursos inmediatos para evitar consecuencias catastróficas.

rodrigo.riquelme@eleconomista.mx