IPROFESIONAL ENTREVISTA

Esta "tríada tóxica" informática pone en riesgo a tu empresa

Esta "trilogía tóxica en la nube" crea una ruta de ataque que convierte a las cargas de trabajo en objetivos principales de los delincuentes digitales
Por César Dergarabedian
TECNOLOGÍA - 02 de Enero, 2025

Los servidores de acceso remoto, más conocidos como computación en la nube en la jerga informática, están bajo la amenaza de una "tríada tóxica", compuesta por cargas de trabajo expuestas públicamente, críticamente vulnerables y altamente privilegiadas.

Así lo advierte un informe de la empresa de seguridad digital Tenable, a partir de una investigación de telemetría en el primer semestre de 2024 entre su base de clientes, compuesta por más de 44 mil organizaciones en todo el mundo.

Hermes Romero, director para Centro, Sudamérica y Caribe de Tenable, analiza en la siguiente entrevista de iProfesional los principales riesgos que enfrentan las organizaciones que suben su negocio a la computación en la nube:

-¿Cuáles son los hallazgos más significativos del informe 2024 sobre los riesgos en la nube que podrían resumir el estado de la seguridad informática en el año pasado?

-El informe revela que el 38% de las organizaciones tiene al menos una carga de trabajo en la nube que está expuesta a nivel público, es críticamente vulnerable y tiene privilegios excesivos. Esta "trilogía tóxica en la nube" crea una ruta de ataque de alto riesgo que convierte a estas cargas de trabajo en objetivos principales de los agentes maliciosos.

La mayoría de las organizaciones (84,2%) posee claves de acceso sin utilizar o con permisos excesivos de gravedad crítica o alta desde hace mucho tiempo, lo que supone una importante brecha de seguridad que plantea riesgos sustanciales.

Estas claves de acceso riesgoso desempeñaron un papel fundamental en múltiples ataques y puestas en riesgo con base en identidades. 23% de las identidades en la nube tiene permisos excesivos de gravedad crítica o alta.

El enfoque más efectivo será adoptar estrategias basadas en confianza cero y privilegio mínimo.

-¿Cómo ha evolucionado la exposición a riesgos cibernéticos en las organizaciones desde el inicio de 2024 hasta ahora?

-Las organizaciones han enfrentado un aumento en la complejidad de las amenazas debido a la transformación digital acelerada. Los entornos de nube modernos se han convertido en un elemento central de las operaciones de negocios, ampliando la superficie de ataque, mientras que la falta de profesionales especializados en ciberseguridad ha exacerbado las brechas. Esto refleja una tendencia global donde los equipos de ciberseguridad deben gestionar múltiples herramientas y procesos, muchas veces con recursos limitados.

-El informe menciona que el 38% de las organizaciones enfrentan una "tríada tóxica en la nube". ¿Qué pasos han tomado las empresas para mitigar estos riesgos?

-Para controlar las brechas de seguridad en la nube y reducir el riesgo cibernético, las organizaciones deben poder comprender los riesgos más críticos y establecer prioridades. Hacer esto a escala requiere un análisis de riesgos integral e integrado en todas las partes de la infraestructura de la nube y la automatización tanto de la detección como de la remediación de riesgos.

Las empresas que han adoptado un enfoque de gestión de exposición integral son las que logran tener un panorama completo de su nivel de riesgo pudiendo actuar rápido. Específicamente el informe brinda recomendaciones prácticas:

  • Crear valores basados en el contexto: reúna la información sobre identidades, vulnerabilidades, errores de configuración y riesgos de datos en herramientas unificadas, para una visualización, contexto y priorización precisos en torno a los riesgos de la seguridad en la nube. No todos los riesgos son iguales: identificar las combinaciones tóxicas puede reducir drásticamente el riesgo.
  • Gestionar minuciosamente el acceso a Kubernetes/contenedores: asegúrese de que los contenedores estén configurados como con privilegios solo cuando sea absolutamente necesario. Cumpla las normas de seguridad, como limitar los contenedores con privilegios y aplicar controles de acceso. A modo de principio: Restrinja el acceso entrante, limite el acceso entrante a los servidores API de Kubernetes y asegúrese de que las configuraciones de kubernetes deshabiliten la autenticación anónima.
  • Revise las vinculaciones de roles de administrador de clúster, verifique si se utilizan y necesitan el rol de administrador de clúster y, cuando sea posible, vincule a los usuarios a un rol con menos privilegios.
  • Gestionar las credenciales y los permisos: modifique periódicamente las credenciales, evite el uso de claves de acceso de larga duración e implemente mecanismos de acceso justo a tiempo. Audite y ajuste periódicamente los permisos de las identidades humanas y no humanas para respetar el principio del menor privilegio.
  • Priorizar las vulnerabilidades: centre los esfuerzos de corrección en las vulnerabilidades de alto riesgo, especialmente aquellas con puntuaciones VPR elevadas.
  • Minimizar la exposición: revise los activos públicos para garantizar que dicha exposición sea necesaria y no ponga en riesgo la información confidencial o la infraestructura crítica. Manténgase actualizado sobre los parches.

-¿Qué tipo de incidentes de seguridad se han reportado con mayor frecuencia en 2024 y cuáles han sido sus impactos?

-El informe revela que el 95% de las organizaciones experimentaron incidentes relacionados con la nube en los últimos 18 meses. Entre estos, el 58% de las organizaciones reportó daños significativos debido a la exposición de datos confidenciales, que frecuentemente se debe a configuraciones incorrectas y permisos excesivos.

Estos incidentes pueden afectar tanto la continuidad del negocio como la integridad de los datos, resaltando la importancia de priorizar la remediación de configuraciones inseguras y el uso de herramientas para la gestión de permisos y accesos.

Hermes Romero

-¿Cómo ha afectado el costo promedio de una filtración de datos, estimado en cerca de USD 5 millones, a las decisiones de inversión en ciberseguridad por parte de las organizaciones?

-Aunque el costo financiero de una filtración de datos es alarmante, las organizaciones están comenzando a reconocer que no siempre la solución está en un mayor presupuesto, sino en una estrategia más efectiva. En Tenable, vemos tres retos distintos en el mundo real a los que se enfrentan los profesionales de la ciberseguridad.

  • En primer lugar, los programas de seguridad actuales son reactivos cuando deberían ser proactivos. La mayoría de las soluciones de seguridad se basan en eventos, lo que deja a los equipos de seguridad en un estado constante de extinción de incendios, en lugar de identificar y reducir el riesgo.
  • En segundo lugar, cuando los actores de las amenazas evalúan la superficie de ataque de una empresa, no piensan en términos de silos organizativos. Buscan la combinación adecuada de vulnerabilidades, desconfiguraciones y privilegios de identidad. Las organizaciones de seguridad tampoco deberían operar en silos, sino que deberían considerar toda la superficie de ataque en una visión unificada.
  • Por último, hay más datos disponibles que nunca. En promedio las organizaciones utilizan más de 130 soluciones de ciberseguridad. Sin embargo, los equipos de seguridad se enfrentan al desafío de seguir el ritmo de la afluencia constante de datos procedentes de múltiples soluciones y de analizar de forma eficaz todos esos datos para tomar decisiones informadas y proactivas sobre qué exposiciones representan el mayor riesgo para la organización.

La implementación de programas de gestión de exposición cibernética permite identificar, priorizar y cerrar las brechas más críticas, enfocándose en las áreas de mayor riesgo. Esto incluye mejorar la higiene de datos, auditar configuraciones, y consolidar herramientas para eliminar silos y mejorar la visibilidad.

Para reducir el riesgo de manera efectiva, las empresas necesitan evaluar sus programas de ciberseguridad como un todo, no solo la inversión pero también optimizar recursos existentes y establecer procesos claros que integren a la ciberseguridad como un socio estratégico en todas las etapas del negocio.

-¿Qué medidas proactivas recomendaría Tenable a las empresas para cerrar brechas de seguridad identificadas en su informe?

-La clave para cerrar las brechas de seguridad no radica únicamente en herramientas tecnológicas o presupuestos más altos, sino en un enfoque integrado y estratégico que aborde los desafíos en personas, procesos y tecnología.

En términos de personas, es esencial romper los silos organizativos que dificultan la coordinación entre equipos de TI y ciberseguridad. Esto incluye redefinir cómo se mide el rendimiento de los equipos y garantizar una colaboración efectiva desde las etapas iniciales de cualquier proyecto tecnológico.

El crecimiento de Kubernetes y los contenedores ha transformado las operaciones en la nube.

En cuanto a los procesos, es fundamental tratar a la ciberseguridad como un socio estratégico del negocio, integrándola en cada decisión organizativa, especialmente en la adopción de servicios en la nube. Mejorar la higiene de los datos es igualmente crucial para priorizar de manera eficaz las vulnerabilidades y minimizar el tiempo dedicado a tareas manuales.

Desde el punto de vista tecnológico, las organizaciones deben auditar y consolidar sus herramientas de ciberseguridad. La proliferación de soluciones aisladas no solo incrementa los costos, sino que también fragmenta la visibilidad y dificulta la toma de decisiones informadas.

Adoptar plataformas integradas de gestión de exposición permite a las empresas evaluar de forma continua su superficie de ataque, priorizar riesgos críticos en contexto y comunicar los resultados en términos comprensibles para todos los niveles organizativos. La adopción de este enfoque preventivo no solo ayuda a reducir riesgos, sino también a optimizar recursos y mejorar la resiliencia ante un panorama de amenazas cada vez más complejo.

-¿Cuál es la importancia de la configuración correcta y los permisos adecuados en la prevención de brechas de seguridad, según su análisis?

-La correcta gestión de configuraciones y permisos es esencial para prevenir brechas de seguridad, especialmente en entornos cloud, donde los permisos excesivos representan un riesgo crítico. Según el informe, el 84,2% de las organizaciones posee claves de acceso sin uso o con permisos excesivos críticos o de alta severidad, lo que constituye una vulnerabilidad significativa.

Estas claves han sido factores determinantes en ataques de alto perfil, como los incidentes de Capital One, Tesla Cloud y Marriott International, donde actores maliciosos aprovecharon permisos excesivos para comprometer sistemas críticos.

Para mitigar estos riesgos, es crucial que las organizaciones adopten el principio de privilegio mínimo, revocando permisos innecesarios y auditando de forma continua tanto las configuraciones como las credenciales.

En 2025 las amenazas cibernéticas en la nube progresarán significativamente en complejidad

La implementación de herramientas de gestión de exposición cibernética puede ayudar a identificar y remediar permisos riesgosos antes de que sean explotados, fortaleciendo la postura de seguridad de manera proactiva.

-¿Cuáles son las tendencias emergentes en seguridad informática que anticipa Tenable para el año 2025?

-De cara a 2025, la ciberseguridad estará marcada por la acelerada adopción de tecnologías como la inteligencia artificial (IA) y la creciente complejidad de los entornos multicloud. Estas transformaciones ofrecerán grandes oportunidades, pero también desafíos significativos, especialmente en la protección de datos distribuidos y en el desarrollo de estrategias para gestionar un panorama de amenazas cada vez más sofisticado.

La adopción de IA no sólo impulsará la innovación, sino que también ampliará la superficie de ataque al introducir nuevos riesgos asociados con su implementación y seguridad. Al mismo tiempo, la fragmentación de datos en entornos multicloud exigirá enfoques integrados para garantizar una protección consistente y efectiva.

En este contexto, la clave será adoptar un enfoque estratégico que combine innovación y resiliencia, priorizando la gestión de la exposición como un componente esencial de las estrategias de seguridad. Las organizaciones deberán enfocarse en visibilidad, prevención y respuesta efectiva para mantenerse a la vanguardia frente a un panorama de amenazas dinámico

-¿Cómo prevé que evolucionen las amenazas cibernéticas en el entorno de la nube para el próximo año?

-En lo que respecta el 2025 se espera que las amenazas cibernéticas en la nube progresen significativamente en complejidad, impulsadas por el aumento de datos distribuidos y la adopción masiva de IA. La expansión de entornos multicloud y la falta de visibilidad integral representan puntos críticos que los atacantes seguirán explotando.

Además, el uso de herramientas impulsadas por IA permitirá a los ciberdelincuentes identificar y atacar vulnerabilidades con mayor rapidez y precisión, aumentando los riesgos asociados con configuraciones incorrectas y permisos excesivos. En este contexto, será esencial que las organizaciones adopten soluciones que integren visibilidad, contexto y priorización para gestionar de manera proactiva su superficie de ataque.

La clave para cerrar las brechas de seguridad no radica únicamente en herramientas tecnológicas.

-Con el aumento del uso de tecnologías como Kubernetes y contenedores, ¿qué desafíos adicionales se esperan en la gestión de la seguridad?

-El crecimiento de Kubernetes y los contenedores ha transformado las operaciones en la nube, pero también ha introducido nuevos desafíos de seguridad. Según el informe, el 78% de las organizaciones tienen servidores API de Kubernetes expuestos públicamente, y el 44% ejecutan contenedores en modo privilegiado, lo que incrementa significativamente el riesgo de explotación. Estas configuraciones, combinadas con accesos anónimos y permisos excesivos, amplifican la vulnerabilidad de los entornos.

Para mitigar estos riesgos, es esencial limitar la exposición pública a los servidores API, aplicar controles de acceso basados en roles (RBAC) y garantizar que los contenedores no operen con privilegios elevados a menos que sea absolutamente necesario.

También se deben revisar regularmente los roles administrativos en clústeres, implementando controles más granulares y ajustados a las necesidades específicas. Adoptar prácticas de seguridad desde el diseño, como Infraestructura como Código (IaC), y fortalecer la monitorización continua son pasos fundamentales para gestionar la seguridad en estos entornos dinámicos y complejo.

-¿Qué papel jugarán las tecnologías emergentes, como la inteligencia artificial, en la mejora de la seguridad informática en 2025?

-La inteligencia artificial (IA) será una herramienta clave para fortalecer la ciberseguridad, permitiendo detectar y responder a amenazas de manera más rápida y precisa. Sin embargo, esta misma tecnología también será utilizada por actores maliciosos para lanzar ataques más sofisticados, como el phishing avanzado y el acceso no autorizado a datos sensibles.

El éxito dependerá de cómo las organizaciones utilicen la IA de forma responsable, integrándola en sus sistemas con políticas de seguridad robustas y priorizando su implementación en áreas críticas, como la gestión de vulnerabilidades y la automatización de procesos. La IA tiene el potencial de ser tanto un habilitador como un desafío, por lo que es esencial abordarla con una estrategia equilibrada.

-¿Cómo pueden las organizaciones prepararse mejor para enfrentar los riesgos cibernéticos que se anticipan para el próximo año?

-Prepararse para los riesgos futuros requiere un enfoque preventivo y estratégico. Las organizaciones deben adoptar plataformas integradas que ofrezcan visibilidad completa de su superficie de ataque, priorizar riesgos críticos y mejorar la colaboración entre equipos de seguridad y negocios.

El 95% de las organizaciones experimentaron incidentes relacionados con la nube.

Además, es fundamental fortalecer la capacitación en nuevas tecnologías, como la IA y la nube, para cerrar la brecha de conocimiento. Invertir en recuperación post-brecha también será crucial, asegurando que las organizaciones puedan minimizar el impacto financiero y reputacional de incidentes, mientras avanzan hacia una postura de ciberseguridad más resiliente.

-¿Cuál será el enfoque más efectivo para gestionar las identidades y permisos críticos en entornos cloud en 2025?

-El enfoque más efectivo será adoptar estrategias basadas en confianza cero y privilegio mínimo, combinadas con soluciones que permitan una gestión continua y contextual de identidades y permisos. Según el informe sobre los riesgos en la nube, la mayoría de las organizaciones (84,2%) posee claves de acceso sin utilizar o con permisos excesivos de gravedad crítica o alta desde hace mucho tiempo, lo que representa una brecha significativa en su seguridad.

Estas claves con permisos excesivos han sido un factor clave en múltiples ataques basados en identidades, como los incidentes de Capital One y Tesla Cloud, lo que demuestra la urgencia de remediarlas de manera prioritaria.

Adoptar modelos como el acceso justo a tiempo (Just-in-Time) y la auditoría continua ayuda a minimizar la exposición al riesgo, asegurando que solo las identidades necesarias tengan acceso a recursos específicos.

Además, el concepto de gestión de la exposición resulta crucial para identificar y priorizar las configuraciones incorrectas, los permisos riesgosos y las vulnerabilidades de mayor impacto. Esto no solo reduce riesgos, sino que también mejora la eficiencia operativa al limitar accesos innecesarios y garantizar un uso seguro y controlado de los recursos en la nube. En un entorno de amenazas cada vez más complejo, este enfoque estratégico permite a las organizaciones proteger sus activos más valiosos y optimizar sus recursos.

-¿Qué recomendaciones específicas daría a las empresas para fortalecer su postura de seguridad ante un panorama cibernético cada vez más complejo?

-La ciberseguridad debe ser transversal a todas las áreas de una organización y no limitarse a ser una función aislada o un silo operativo. Es imprescindible integrarla como un componente estratégico en todas las decisiones empresariales, asegurando que cada área entienda su rol en la protección de los datos y activos de la organización.

Esto implica fomentar una cultura organizacional que valore la ciberseguridad como una responsabilidad compartida. Desde la alta dirección hasta los equipos operativos, todos deben estar alineados en la importancia de implementar medidas preventivas, mejorar la higiene de los datos y colaborar activamente en la gestión de riesgos.

Además, consolidar herramientas para reducir silos tecnológicos, establecer procesos claros y adoptar enfoques como la gestión de la exposición permite priorizar y abordar las amenazas más críticas. La ciberseguridad no solo protege la continuidad del negocio, sino que también se convierte en un diferenciador competitivo en un mundo donde la confianza y la resiliencia son esenciales.

Te puede interesar

Ver más

Secciones