El 54% de las empresas que usan la nube exponen “secretos” por falta de ciberseguridad

Más de la mitad de las empresas que almacenan información en la nube exponen sus “secretos” debido a las vulnerabilidades cibernéticas que no contemplan, según el Informe de Riesgos de Seguridad en la Nube 2025, elaborado por la compañía estadounidense Tenable.

De acuerdo con el estudio que analizó “millones de activos en la nube”, el 9% de los recursos de almacenamiento de acceso público contenían datos sensibles.

Por su parte, el vicepresidente senior de Tenable para América Latina y el Caribe, Francisco Ramírez de Arellano, dijo que el hallazgo “más crítico” no es el indicador anterior, sino que el 97% de esos datos expuestos “se clasificaron como restringidos o confidenciales”.

Lo anterior indica que casi la totalidad de esta información no solo es sensible, sino que representa riesgos “inmediatos y de alto impacto” para las organizaciones que usan la nube.

Esta vulnerabilidad puede desencadenar la filtración de datos de clientes, el robo de secretos y posibles pérdidas económicas, incluidas multas por incumplimiento de normativas.

El gerente general de Oracle para Colombia y Ecuador, Germán Borromei, declaró que esa alta exposición de datos confidenciales “refleja que aún existen brechas en las políticas de control de acceso, monitoreo continuo y gobierno de datos en muchas organizaciones”.

Trilogía tóxica en la nube

Para Tenable, el 29% de las organizaciones tienen al menos una “trilogía tóxica” en la nube. Esto se refiere a una carga de trabajo que está expuesta públicamente, es muy vulnerable y tiene muchos privilegios, lo que crea una ruta de ataque de alto riesgo y un objetivo principal para los malos actores. Según Ramírez de Arellano, estos puntos componen “la tormenta perfecta” en la nube.

“Una carga expuesta públicamente es una puerta que da a la calle, una vulnerabilidad crítica es que la cerradura de esa puerta está rota, y el privilegio alto significa que esa puerta no conduce a un pasillo masivo, sino que da acceso directo a la sala de control”, explicó.

Por otro lado, Borromei afirmó que, en las arquitecturas modernas de nube empresarial, los datos de cada compañía “están completamente aislados”.

“Sin embargo, cuando las empresas no configuran correctamente sus recursos o utilizan plataformas con esquemas de seguridad menos robustos, existe el riesgo de incidentes colaterales”, indicó el ejecutivo de Oracle, compañía especializada en el desarrollo de soluciones en la nube.

Gestionar la vulnerabilidad

La solución que plantea Ramírez de Arellano apunta a “adoptar una gestión proactiva y unificada” de la exposición.

“Una gestión de la exposición eficaz se basa en obtener una visibilidad completa y de extremo a extremo, desde el código hasta la nube, para entender toda la superficie de ataque”, afirmó.

Con esto, el objetivo es materializar acciones preventivas, como la protección de identidades, la eliminación de permisos excesivos, y tratar los “secretos” como activos de alto valor, al asegurarlos en bóvedas o retirarlos de lugares inseguros.

Por su parte, el presidente de la tecnológica colombiana Heinsohn, Diego Marín, comentó que “ya se está hablando de criptografía postcuántica”, a la que catalogó como la siguiente “gran ola” después de la inteligencia artificial. Esto debido a que, sin ese tipo de criptografía, la protección cibernética va a ser prácticamente imposible.

Ante dicho escenario, Marín recalcó la importancia de que cada organización en la nube tome las medidas necesarias para la protección de sus datos, ya que los ciberataques pueden extenderse a otras compañías.

“Aquí siempre la recomendación son dos cosas: tener estructuras de monitoreo entre proveedores y entre esos nodos, para detectar esas alertas tempranas”, agregó el directivo de Heinsohn, especializada en soluciones tecnológicas para empresas.

Peligros en Latinoamérica

El informe de Tenable también reveló que el 75% de las organizaciones líderes en Tecnologías de la Información (TI) en México y Brasil, las economías más grandes de Latinoamérica, encuentran su “mayor fuente de exposición” en la seguridad de la infraestructura en la nube.

“Las empresas de la región enfrentan una enorme presión por innovar y adoptar tecnologías de nube para ser competitivas. Sin embargo, esta adopción acelerada a menudo se produce sin que las prácticas de seguridad evolucionen al mismo ritmo”, señaló Ramírez de Arellano.

Además, el vicepresidente de Tenable planteó que la solución para las economías de los países mencionados debe ser dual, donde las empresas deben adoptar un modelo de “gestión proactiva de la exposición”, y los gobiernos “acelerar” la creación de marcos regulatorios “robustos y coherentes”.

Tenable, con sede en la ciudad de Columbia (sur de EE.UU.), se dedica a la gestión de vulnerabilidades y exposición cibernética. La compañía fue fundada en el 2002 y cuenta con más de 44,000 clientes a nivel global.