El sueño de todo cibercriminal: un objetivo fácil y de alto impacto. No es una utopía hacker, sino un riesgo real al que están expuestas muchas organizaciones: el 9% del almacenamiento en la nube de acceso público contiene datos sensibles y el 97% de estos está clasificado como "restringidos" o "confidenciales". 

Lo revela el 2025 Cloud Security Risk Report, elaborado por la empresa especializada en gestión de vulnerabilidades Tenable, que desnuda una realidad: los entornos cloud siguen peligrosamente expuestos debido a errores de conguración generalizados, valores predeterminados inseguros y riesgos pasados por alto en datos, identidades, cargas de trabajo y servicios de IA. Eso no es todo: más de la mitad de las empresas almacenan secretos como tokens, claves y contraseñas de forma insegura. 

Una realidad que no distingue de hyperscalers: ocurre tanto en entornos AWS como Google y Azure. "La forma en que los riesgos se interconectan genera una acumulación de exposiciones que crean verdaderas autopistas para los atacantes", afirma Hermes Romero, director para Centro, Sudamérica y Caribe de Tenable.
 

"Las malas configuraciones no son anomalías aisladas, sino patrones recurrentes naturalizados, parte del 'paisaje digital cotidiano'", indica Luciano Moreira, CTSO (chief transformation & strategy office) de Cloud Legion, especializada en gestión y seguridad cloud. "La nube, entendida más como un paradigma que como una tecnología puntual, transformó nuestro perfil profesional de especialistas a generalistas, impulsados por la urgencia del time to market, sin tiempo ni capacidad de formar expertos en los atributos de calidad que exige un producto o servicio", aporta. "Este modelo nos lleva a depender de herramientas automatizadas que prometen soluciones listas para usar y que, como el traje invisible del rey, ocultan su fragilidad bajo una falsa percepción de eficiencia", concluye.

Una nube cada vez más compleja
"La gestión de la seguridad en la nube se volvió más compleja y rápida que los enfoques tradicionales: los 'secretos' mal almacenados son un síntoma de este nuevo paradigma", dice Romero. Y enumera las razones: esos secretos ya no son sólo contraseñas, sino miles de claves que se crean y destruyen constantemente. Además, se produce un "efecto Jenga" en configuraciones heredadas: un
bloque fundamental mal configurado, como una cuenta de servicio con permisos excesivos por defecto, transfiere ese riesgo a todas las aplicaciones que se construyen sobre él.

¿Es posible defenderse de esto? Numerosas empresas trabajan en el tema. "Para mitigar el riesgo de almacenar secretos incorrectamente en la nube, tenemos un programa para que nuestros empleados conozcan las leyes de protección de datos privados y la clasificación de documentos, considerando la sensibilidad de sus datos, mientras nuestros equipos de I+D escanean el código fuente en busca de fragmentos de credenciales no deseadas", explica Marcelo Gentile, gerente de Ciberseguridad de SAM y México de Schneider Electric.
 

Gustavo Aldegani, coordinador académico del curso de posgrado en gestión de la ciberseguridad de la Universidad de Belgrano, pone el foco en el factor humano. "El riesgo no sólo lo genera un grupo de atacantes que tomó como objetivo a una empresa: también existe a partir de las acciones de un equipo de ciberseguridad cansado, disconforme y con pocos recursos y en la decisión de un jefe de proyecto que aprueba un despliegue inseguro para no atrasar una fecha de salida a producción", asegura.

La trilogía tóxica
Los problemas de seguridad cloud no terminan aquí. Tenable denomina "trilogía tóxica en la nube" a una carga expuesta públicamente, con una vulnerabilidad crítica y un privilegio alto. ¿La buena noticia? El número de organizaciones que presentan este cóctel disminuyó del 38% al 29% en apenas un año.

"No es un accidente técnico: es una expresión directa de una deuda organizacional", dice Aldegani. "La causa estructural es que los entornos cloud posibilitan implementaciones en minutos y, cuando la presión por salir a producción es alta, los controles quedan en segundo plano", aporta.

De nuevo, las empresas buscan mecanismos para resolver y hasta prevenir estas situaciones. "Establecimos un gobierno de seguridad de la información que define la estrategia, estándares, marcos, políticas y programas alrededor del roadmap para garantizar la seguridad en la nube", apunta Alejandro Palacios, CIO y vicepresidente senior de BPO y Aduanas de DHL Global Forwarding para las Américas, organización global de logística. 

Esto incluye un CSPM (Cloud Security Posture Management) para anticipar configuraciones erróneas, herramientas de gestión de información sensible o confidencial, gestión automatizada de inventario de activos en la nube,
segmentación de redes para separar cargas de trabajo y datos críticos y auditorías y pruebas de penetración regulares.

"Nuestros programas de monitoreo identifican configuraciones débiles o exposiciones externas que podrían poner en peligro los entornos clave que soportamos: escaneo de vulnerabilidades, monitoreo de configuraciones, múltiples capas de firewalls y un SIEM (gestión de información y eventos de seguridad) para recopilar eventos y alertas sobre situaciones de alto riesgo", relata
Gentile.

El riesgo es alto. Lo más parecido a una solución, es apelar al viejo dicho que asegura que más vale prevenir que lamentar. "No se trata de arreglar todo a la vez, sino de centrarse en las exposiciones que más importan", concluye Romero.