La adopción de la nube sigue siendo un motor clave en la transformación tecnológica de las organizaciones. Esta tendencia permite mayor flexibilidad operativa y escalabilidad, pero también amplía la superficie de ataque y exige nuevas capacidades de protección.
Admin
El Informe 2025 de Tenable sobre riesgos en la nube revela de manera concreta las vulnerabilidades que persisten en este entorno. El documento identifica los principales puntos críticos y entrega recomendaciones específicas que las organizaciones deben considerar para reducir su exposición.
Para saber más de esto conversamos en exclusiva con Hermes Romero, director para Centro, Sudamérica y Caribe de Tenable, en un mundo donde la nube hoy es una infraestructura clave, critica e importante para las empresas de Chile y la región.
¿Por qué pasando casi 10 años de hablar de la nube esta sigue siendo muy vulnerable?
La vulnerabilidad de la nube no se debe a una falla en la tecnología en sí, sino a que su escala, velocidad y complejidad han superado las estrategias de seguridad tradicionales. Después de una década, el desafío ha evolucionado. Ya no se trata de proteger un perímetro, sino de gestionar una superficie de ataque masiva y en constante cambio.
De hecho, esta percepción es compartida por los propios líderes de la industria. Un estudio de Forrester de 2023 encargado por Tenable encontró que la mayoría de los líderes de TI y de seguridad (53 %) cita la infraestructura en la nube —específicamente pública, multinube y/o nube híbrida— como la mayor fuente de exposición en su organización.
Este sentimiento se debe a varios factores. Primero, la cantidad masiva de datos sensibles que las organizaciones ahora confían a la nube ha creado un objetivo de un valor inmenso. Al mismo tiempo, la complejidad y el ritmo de la innovación son tan altos que los problemas errores evitables como servicios de almacenamiento expuestos a internet, identidades con permisos excesivos y secretos de acceso mal gestionados se han vuelto generalizados.
Jonathan Munizaga
A esto se suma lo que llamamos el "efecto Jenga": los servicios en la nube se construyen uno sobre otro, por lo que una sola configuración insegura en un servicio base —una pieza débil en la torre— puede comprometer toda la estructura que depende de él.
En resumen, la vulnerabilidad persiste porque la gestión de la seguridad no ha seguido el ritmo de la expansión de la nube. El reto ya no es si la nube es segura, sino si las organizaciones tienen la visibilidad y los procesos para gestionar su enorme y compleja huella en ella.
¿Siguen siendo los factores humanos un gran talón de Aquiles de la ciberseguridad?
Entender el efecto del "factor humano" es hoy mucho más complejo que el simple error de un individuo. El verdadero "talón de Aquiles" es sistémico: son los desafíos de personas, procesos y tecnología que, en conjunto, representan un gran desafío para la capacidad de los equipos de seguridad de adelantarse a las amenazas.
La evidencia más clara de esto la encontramos en nuestro estudio "Es difícil abandonar los viejos hábitos", realizado por Forrester en 2023. Este revela que los equipos de seguridad están fundamentalmente sobrepasados: el 58 % de los líderes de seguridad admite que su equipo está demasiado ocupado luchando contra incidentes críticos como para poder adoptar un enfoque preventivo. Están constantemente en modo reactivo, apagando incendios.
Francisco Carrasco M.
Esta situación se agrava por dos frentes. Internamente, a menudo existen objetivos contradictorios dentro de la misma organización, donde la necesidad de mantener los sistemas operativos choca con la necesidad de una ciberseguridad proactiva.
Externamente, la aceleración tecnológica y la expansión de la nube crean una superficie de ataque cada vez más compleja y difícil de gestionar, a menudo con una proliferación de herramientas de seguridad que, en lugar de ayudar, crean silos de información y aumentan la carga sobre los equipos. El factor humano puede seguir siendo un punto débil, pero hay muchos otros puntos que entran en juego.
¿El hecho de que muchas empresas siguen con servicios on premise en sus migraciones cloud los deja vulnerables?
No inherentemente, pero sí aumenta drásticamente la complejidad de la seguridad y, con ello, el riesgo. Los entornos híbridos, que combinan nube y on-premise, son la realidad para la mayoría de las empresas, pero también crean una superficie de ataque más grande y fragmentada.
El principal problema es la falta de visibilidad unificada. Las organizaciones a menudo usan herramientas de seguridad distintas para su infraestructura on-premise y para cada nube que utilizan. Esto crea puntos ciegos en las "costuras" entre ambos mundos. Estas conexiones se convierten en las rutas de ataque preferidas, donde un atacante puede comprometer un sistema on-premise menos vigilado para luego moverse lateralmente hacia la nube, o viceversa.
Francisco Carrasco M.
Para gestionar esta complejidad, las organizaciones necesitan adoptar un enfoque de Gestión de la Exposición (Exposure Management), que les proporcione una visión unificada de toda su superficie de ataque —on-premise, nube, identidades, etc.— para poder identificar y priorizar estas rutas de ataque correlacionadas.
¿Por qué creen que aún las empresas se confían en la nube y no resguardan y realizan backups de su data?
Creo que no se trata tanto de un exceso de confianza, sino de una persistente confusión sobre el Modelo de Responsabilidad Compartida. Muchas organizaciones asumen erróneamente que el proveedor de la nube (AWS, Azure, GCP, OCI, etc) es responsable de la seguridad de todo lo que ponen en ella, cuando la realidad es muy diferente.
El modelo es claro:
● El proveedor es responsable de la seguridad de la nube (sus centros de datos, su infraestructura física, sus servicios base).
● El cliente es responsable de la seguridad en la nube (sus datos, sus aplicaciones, sus configuraciones de red, sus identidades y accesos).
La evidencia de que esta brecha de entendimiento existe es abrumadora. El hecho de que encontremos que un 9 % del almacenamiento público contiene datos altamente sensibles o que las empresas configuren mal los permisos de sus identidades demuestra que no están asumiendo su parte de la responsabilidad. La solución es que las organizaciones asuman proactivamente la propiedad de la seguridad de sus datos y configuraciones, implementando las herramientas y procesos necesarios para tener visibilidad y control total.
Jonathan Munizaga
¿Es la IA aún una de las grandes enemigas de la ciberseguridad en la nube y muchas áreas TI no saben cómo resolver esta interrogante?
Más que una "enemiga", la IA es un acelerador dual: acelera la innovación de una manera sin precedentes, pero también magnifica y acelera el riesgo cibernético. La adopción de la IA se ha disparado, pasando a un 72 % de penetración global en 2024 (Encuesta mundial de McKinsey sobre IA)., y esto ha creado un nuevo centro de gravedad para los datos más sensibles de las empresas, como algoritmos propietarios y propiedad intelectual.
El problema para las áreas de TI no es que la IA sea intrínsecamente maliciosa, sino que presenta dos desafíos clave:
- Hereda los riesgos de la nube. Como mencionamos con el "efecto Jenga", los servicios de IA se construyen sobre la infraestructura de nube y heredan sus configuraciones, a menudo inseguras. Nuestro hallazgo de que el 77 % de las instancias de Vertex AI de Google Cloud tienen permisos excesivos es un ejemplo perfecto de esto.
- Crea nuevos objetivos de alto valor. Los modelos de IA y los datos de entrenamiento son ahora "las joyas de la corona" para los atacantes.
Por lo tanto, el reto para las organizaciones no es ver a la IA como una enemiga, sino entender que deben aplicar los mismos principios de gestión de la exposición a sus entornos de IA: obtener visibilidad, aplicar privilegios mínimos y proteger los datos desde el diseño.
Francisco Carrasco M.
![[Especial] Marcio Aguiar de NVIDIA: "Hemos construido un ecosistema de software pensado para cada etapa del desarrollo robótico"](/content/images/size/w150/2025/08/Marcio-Aguiar--3-.jpg)
