La nube se ha convertido en un destino de moda en los últimos años. Es lo que ha ayudado a impulsar el paradigma de la transformación digital que ha cambiado la forma de hacer negocios. Ha cambiado el papel de las TI, forzando a los equipos informáticos a evolucionar y desarrollar nuevos conjuntos de habilidades y estrategias. La nube ha permitido a las empresas lograr una mayor escalabilidad, agilidad y resistencia a niveles que las arquitecturas de red tradicionales nunca podrían ofrecer. La nube ofrece muchas cosas buenas, pero también hay muchas suposiciones sobre la nube en lo que respecta a la ciberseguridad.

Muchos responsables informáticos dan por hecho que la nube es más segura que sus antiguos entornos locales, mientras que otros desconfían de este nuevo enfoque. Si bien es cierto que las PYMES pueden acceder a controles de seguridad empresariales que no eran asequibles de implantar en su centro de datos tradicional, la nube no se ocupa de la ciberseguridad por sí sola. Al final, a los hackers les da igual que sus datos residan en la nube o en un centro de datos tradicional. El camino seguirá cambiando, pero, en cualquier caso, usted seguirá siendo el objetivo.

Según un artículo publicado en SC Magazine en el verano de 2022, el 45% de las empresas denunciaron haber sufrido una brecha de datos en la nube o una auditoría fallida en los últimos 12 meses. En otro informe de ese mismo año, cuatro de cada cinco encuestados afirmaron que su organización había sufrido un incidente grave de seguridad en la nube en los doce meses anteriores y la mayoría de los profesionales de seguridad e ingeniería de la nube esperan que el riesgo de sufrir una brecha de datos en la nube aumente durante el próximo año.

Estas estadísticas son probablemente una sorpresa para muchos. El hecho es que la nube no es ni más ni menos segura que los entornos locales. Simplemente, los riesgos para la ciberseguridad son diferentes. Muchas empresas no entienden estas diferencias y estas lagunas de comprensión pueden convertir a una organización en un objetivo más atractivo para los atacantes. Veamos algunas de las principales fuentes de confusión que tienen muchos clientes en relación con su presencia en la nube.

Un concepto erróneo del modelo de responsabilidad compartida de seguridad

Cuando usted migra sus recursos digitales, también está estableciendo una asociación con su proveedor de servicios en la nube, que le proporciona un ecosistema para alojar sus aplicaciones, equipos, datos y servicios empresariales. Las nubes públicas operan bajo un “modelo de responsabilidad de seguridad compartida” que define las responsabilidades de cada parte en materia de ciberseguridad.

El proveedor de servicios en la nube es responsable de la seguridad de su infraestructura. Sin embargo, usted es responsable de proteger todo lo que introduce en su entorno. Lamentablemente, esto hace que la mayor parte de la responsabilidad recaiga sobre usted a la hora de proteger sus aplicaciones basadas en la nube y los procesos subyacentes que las soportan. Según Gartner, el 99% de los fallos de seguridad en la nube serán culpa del cliente hasta 2025. No espere que su proveedor de servicios en la nube asuma la responsabilidad de un incidente relacionado con su entorno de aplicaciones en la nube.

Las arquitecturas de la nube requieren estrategias de seguridad diferentes

Muchos profesionales informáticos que se inician en la nube asumen que la arquitectura de seguridad de la nube es similar a la de su centro de datos local, en el que tanto el tráfico de entrada como el de salida deben pasar por una única pasarela de seguridad. Es en la pasarela donde el tráfico se bloquea, se autoriza, se analiza y se filtra. Cuando usted pone en marcha un nuevo contenedor para ejecutar una aplicación en la nube, la política de seguridad de su proveedor bloquea el tráfico de entrada, como cabría esperar. Sin embargo, no ocurre lo mismo con el tráfico de salida, que está abierto por defecto. La razón de esto es simple, un proveedor de servicios en la nube no conoce el comportamiento del tráfico ni los requisitos de las aplicaciones que suben sus clientes. También hay múltiples puntos de salida para el tráfico de aplicaciones. Todo esto hace que a los ciberdelincuentes les resulte fácil crear puertas traseras en el entorno de una aplicación en la nube, que pueden utilizarse para introducir troyanos o exfiltrar datos.

Errores de configuración

Para cumplir con sus obligaciones dentro del modelo de responsabilidad compartida, los equipos informáticos de los clientes deben realizar numerosas configuraciones manuales en su entorno de ejecución en lo que respecta a los controles de seguridad, el enrutamiento IP, etc. Desgraciadamente, los errores de configuración son una realidad en las empresas, ya que el personal informático comete errores. A veces, estos errores de configuración se deben a una falta de conocimiento del sistema o de comprensión de las mejores prácticas de seguridad de la nube. Otras veces, pueden deberse a que se teclea rápidamente una configuración. Desgraciadamente, la amplia escalabilidad de la nube potencialas consecuencias de una sola configuración errónea. Por ejemplo, más del 55% de las empresas tienen al menos una base de datos expuesta públicamente a Internet debido a rutas o requisitos de autenticación mal configurados. Algunos de estos errores se vieron agravados por la precipitación con la que las empresas migraron sus recursos locales a la nube al principio de la pandemia.

Una simple falta de visibilidad

Es difícil proteger algo adecuadamente si no se puede ver. La visibilidad es un elemento esencial de la seguridad y es difícil que la seguridad interna pueda obtener una visibilidad adecuada de las capas subyacentes de las aplicaciones basadas en la nube. La visibilidad también se ve obstaculizada por la naturaleza dinámica de los entornos de computación en la nube, la utilización de microservicios y la complejidad de sus múltiples sistemas y servicios.

La necesidad de cubrir las brechas de seguridad en la nube

Proteger sus proyectos en la nube requiere un esfuerzo considerable, al igual que en un centro de datos tradicional. Esto significa que debe supervisar su entorno en busca de comportamientos sospechosos, cubrir las brechas de seguridad y remediar las amenazas con rapidez. Es necesario poder discernir si una solicitud realizada por una aplicación a una dirección IP externa es una funcionalidad legítima de la aplicación o un intento de un atacante de crear una puerta trasera. Dado que muchas empresas no están familiarizadas con las vulnerabilidades de seguridad en la nube, muchas están contratando a un centro de operaciones de seguridad (SOC) para que les proporcione la experiencia que necesitan para cubrir las brechas de conocimiento existentes. Los SOC proporcionan a sus clientes un equipo dedicado de profesionales de la seguridad altamente experimentados que saben cómo sacar partido a las herramientas de seguridad e interpretar las amenazas potenciales las 24 horas del día, los 7 días de la semana. Los SOC han demostrado ser muy valiosos en multitud de ocasiones, por lo que muchas compañías de seguros están exigiendo a sus asegurados que contraten los servicios de uno.

Conclusión

Parece como si la migración masiva a la nube hubiera tenido lugar de la noche a la mañana. Sin embargo, en este breve espacio de tiempo, las empresas se han vuelto innegablemente dependientes de la nube para cumplir sus objetivos empresariales y atender a sus clientes. La computación en la nube es una tecnología nueva y la mayoría de nosotros todavía estamos aprendiendo sobre su potencial, así como sobre sus vulnerabilidades. Muchas empresas tienen claras lagunas de conocimiento en lo que respecta a la seguridad en la nube, pero eso no tiene por qué traducirse en lagunas de seguridad susceptibles de ser aprovechadas. Sus aplicaciones en la nube deben ser supervisadas con la misma vigilancia que era necesaria cuando residían en un servidor interno. También es importante contar con expertos en seguridad de la nube que le ayuden a garantizar la seguridad de todo lo que haya migrado allí. Aunque la nube ofrece ventajas sustanciales con respecto a los entornos tradicionales in situ, al final la responsabilidad de la seguridad sigue siendo suya.