Contraseñas, claves y secretos empresariales: qué tan seguras están realmente las nubes corporativas

En la era de las redes sociales el exhibicionismo se puso de moda. Aún así, el común de las personas trata de mantener sus secretos lejos de la exposición. No ocurre lo mismo con la información que las empresas suben a la nube: un análisis de la compañía especializada en exposure management Tenable Research detectó que el 9% del almacenamiento cloud de acceso público contiene datos sensibles y, de eso, el 97% califica como datos restringidos o confidenciales. Eso no es todo: más de la mitad de las organizaciones guardan "secretos" como contraseñas y claves de API de forma insegura, dejando expuesta así una vía de ataque directa.

"Este tipo de exposición crea un punto de entrada ideal para los agentes maliciosos y plantea un riesgo de seguridad grave e inmediato. La convergencia del acceso público y los datos confidenciales evidencia los peligros ocultos que conlleva la facilidad, la comodidad y los desafíos de visibilidad de la computación en la nube moderna", dice el informe.

La gran pregunta es... ¿Cómo llegamos a quedar tan expuestos? Las respuestas son variadas y los cursos de acción para corregirlo, viables. "Muchas organizaciones asumen que al contratar grandes proveedores de nube toda la seguridad está resuelta, pero la realidad es que si bien estos invierten en infraestructura robusta, los vectores de ataque más frecuentes provienen de configuraciones erróneas, accesos no gestionados o credenciales expuestas", dice Néstor Markowicz, COO de CertiSur, especializada en asegurar transacciones y datos en redes públicas. "En mi experiencia, todavía existe una subestimación importante de estos riesgos", concluye.

"El mayor riesgo invisible no es una falla técnica, sino la desconexión entre la tecnología, los procesos de negocio y las personas: cómo múltiples exposiciones, aparentemente menores, se interconectan para crear verdaderas autopistas para los atacantes, a menudo porque los procesos de seguridad no evolucionaron a la misma velocidad que la nube", expresa Hermes Romero, director para Centro, Sudamérica y Caribe de Tenable.

¿Rapidez o precisión?

No se trata tan solo de un descuido: a veces se suman el desconocimiento o, cada vez más, las urgencias. "Muchas veces, las áreas de negocio adoptan soluciones cloud sin involucrar a los equipos de seguridad desde el inicio, lo que genera riesgos de diseño", dice Facundo Balmaceda, especialista de ventas de ciberseguridad de la consultora Sonda. "Además, en entornos ágiles, la presión por desplegar rápido lleva a omitir buenas prácticas de seguridad, como revisiones de código o escaneo de vulnerabilidades", afirma.

Romero coincide con este último punto. "Existe una tensión constante entre la urgencia de innovar y la necesidad de una estrategia de seguridad a largo plazo: un desarrollador, presionado por la velocidad, puede dejar una clave expuesta no porque falte una herramienta para asegurarla, sino porque el proceso de negocio prioriza la entrega rápida sobre los controles de seguridad integrados", relata.

"Un aspecto crítico es la falta de gobierno sobre la información privada que se sube a la nube, lo que incrementa el riesgo de fuga, cumplimiento normativo insuficiente y exposición de datos sensibles", confirma Matías Szmulewiez, responsable de la práctica de seguridad de la consultora Baufest. "La nube no es insegura: es tan segura como la estrategia que cada organización aplica para complementarla", agrega.

"Muchas organizaciones a veces subestiman la seguridad en la nube porque confunden disponibilidad con protección y por eso la última milla de una correcta implementación de soluciones cloud-native es tan crítica", aporta Lautaro Carmona, CEO de Unitech, compañía de software y servicios informáticos que brinda soluciones de transformación digital cognitiva para poderes judiciales.

"El beneficio claro de la nube es contar inherentemente con estándares de primer nivel sin hacer grandes inversiones de tipo CAPEX, sino de manera accesible bajo un modelo OPEX; el riesgo es pensar que eso alcanza y descuidar la responsabilidad propia sobre la aplicación de parches, la gestión de credenciales o la ejecución periódica de auditorías internas, entre otras buenas prácticas", sostiene.

Una sombra ya pronto serás

Las razones que llevan a la exposición inadecuada de información en la nube se multiplican y no siempre tienen que ver con razones técnicas. De hecho, en la mayoría de los casos hay involucradas personas.

El informe Voice of the CISO de Proofpoint de 2024 detectó que tres de cada cuatro de estos ejecutivos sostienen que el error humano sigue siendo el riesgo de ciberseguridad por excelencia. El dato creció 14 puntos respecto de 2023.

"Esto confirma que, incluso en época de un uso cada vez más extendido de tecnologías de última generación, una acción menos sofisticada y más ‘analógica' (por ejemplo, falta de diligencia en el manejo de información que podría acabar en un robo de credenciales) podría afectar considerablemente la seguridad", apunta Dmitry Alekseev, responsable legal y asesor en Datos & digital de la consultora especializada en soluciones de datos, tecnología y analítica avanzada, parte del Grupo Havas, CSA Latam.

Balmaceda agrega otra problemática: la del shadow IT, "uso de servicios en la nube no autorizados por parte de empleados, lo que genera superficies de ataque no controladas por el área de TI" y la falta de segmentación de datos, "en entornos multitenant (es decir, varias organizaciones comparten una instalación de nube) puede permitir accesos indebidos entre clientes o servicios". También hace referencia a la persistencia de datos: "aunque se eliminen archivos o instancias, los datos permanecen en backups, snapshots o discos virtuales, sin una política clara de borrado seguro", define.

Romero cuenta que todavía el 29% de las organizaciones tiene al menos una "tríada tóxica": una carga de trabajo expuesta a internet, con una vulnerabilidad crítica y con permisos de acceso excesivos.

Fuimos todos

Planteado el problema, hay que analizar las posibles soluciones. La nube trajo a las empresas un concepto innovador en materia de ciberseguridad: el de responsabilidad compartida. Esto implica que el proveedor asegura la infraestructura y gran parte de la disponibilidad y la compañía gestiona sus datos, accesos y aplicaciones. Para Romero, todo se reduce a una cuestión de preposiciones: "el proveedor se encarga de la seguridad de la nube y la empresa, de la seguridad en la nube".

"El beneficio del modelo es claro: al delegar ciertas capas al proveedor, el equipo interno puede enfocarse en fortalecer lo que sí controla", indica Juan Ozino Caligaris, cofundador y country manager de Nubity, empresa especializada en optimizar servicios en la nube.

"El riesgo está en las ‘zonas grises', cuando nadie sabe con certeza quién es responsable de un control: si no se tienen claros esos límite, también se genera una falsa sensación de seguridad", dice Markowicz.

En realidad, los problemas pueden presentarse por múltiples aristas. Balmaceda aporta la desactualización de las políticas internas, los errores humanos y la auditoría limitada. "El modelo te dice qué es tu responsabilidad, pero cómo gestionarla", aclara Romero. "Nuestro informe muestra que los datos sensibles expuestos y los secretos mal almacenados son resultado de procesos de configuración y desarrollo deficientes por parte del cliente y no una falla del proveedor, como muchas veces se cree".

"Un inconveniente es la falta de homogeneización respecto de los criterios para la definición de responsabilidad entre proveedores, algo especialmente relevante para las empresas que trabajan en entornos multicloud", destaca Alekseev.

Carolina Golia, principal architect de Google Cloud Argentina, destaca algunos desafíos del modelo, incluyendo límites rígidos (separación demasiado estricta de las responsabilidades de cada parte), falta de conocimiento interno o falsa sensación de seguridad (cuando quien contrata asume que todo queda en manos del proveedor, "transfiriendo una responsabilidad que no se transfiere", según Golia) y destaca el enfoque superador de la empresa, el de "destino compartido" (shared fate).

"Para robustecerlo, ofrecemos soluciones de seguridad potenciadas por IA que simplifican las operaciones y reducen el trabajo manual", aclara. Además, brindan acceso a la inteligencia de amenazas de Mandiant y a sus servicios de respuesta a incidentes, "lo que les permite extender sus propios equipos de seguridad y garantizar una intervención rápida en caso de una brecha".

La desconfianza como estrategia

Otro de los cambios que trajo la nube fue el fin del perímetro de seguridad en las empresas. Hoy los datos y las aplicaciones viajan mucho más allá de las fronteras físicas de una organización. En este contexto, la estrategia zero trust parte del principio de no confiar en nadie y verificar siempre, aún dentro de la propia red. "Su premisa es que los usuarios y dispositivos comienzan sin acceso, y cada permiso debe otorgarse bajo validaciones continuas de identidad, contexto y privilegios mínimos", describe Szmulewiez.

Premios CIO 2025.Empezó a programar a los 10 años y hoy es el CTO de una de las mayores plataformas de viajes del país

"Así, se reduce el riesgo de movimientos laterales en caso de una brecha y se convierte en un mecanismo ideal para arquitecturas modernas con múltiples nubes, dispositivos móviles, trabajo remoto y aplicaciones SaaS", explica Balmaceda. "Requiere autenticación multifactor (MFA), verificación continua de identidad y políticas de acceso basadas en contexto (ubicación, dispositivo, comportamiento), lo que fortalece el control de accesos, y reduce la superficie de ataque: al aplicar el principio de mínimo privilegio y segmentar el acceso, se limita lo que un atacante puede hacer incluso si logra ingresar", detalla.

"Implementar este enfoque obliga a las empresas a controlar de manera granular los accesos, monitorear continuamente los comportamientos y reducir al mínimo los privilegios, lo que mitiga de forma notable el impacto de un posible incidente", afirma Markowicz. "Sin embargo, para que funcione requiere de un cambio cultural dentro de las organizaciones, no es solo una cuestión de tecnología", agrega.

"Zero trust es un conjunto de principios, no un producto único: la complejidad de su implementación puede llevar a las organizaciones a estancarse y resultar en inconsistencias o en la sobrecomplicación de las políticas de seguridad, por lo que se recomienda un enfoque gradual, comenzando con casos de uso críticos para demostrar la viabilidad y ajustar las mentalidades organizacionales", declara Golia.

"Es clave contar con una metodología que mantenga actualizada la documentación de toda la arquitectura, donde se evidencie cómo cada elemento de la arquitectura técnica se relaciona con capacidades, objetivos y riesgos del negocio a fin de priorizar aquellos que puedan tener un impacto más crítico para la organización", afirma Juan Talavera, enterprise architect and cybersecurity expert de la empresa finlandesa de software y servicios IT Tietoevry Create Americas.

"El modelo de confianza cero es efectivo por sí solo: el uso de entornos multicloud y la proliferación de ataques con un fuerte componente de IA hacen que deba complementarse con otras herramientas, como XDR (extended detection and response) o soluciones de identidad descentralizadas basadas en blockchain", advierte Alekseev. "No es magia: requiere inversión, madurez y monitoreo constante para funcionar", agrega Carmona.

Otra vía que no puede dejar de considerarse es la gestión de identidades y acceso (IAM), que garantiza que las personas y los dispositivos tengan acceso a los recursos, datos y aplicaciones correctos en el momento oportuno. Esta disciplina se guía por el principio de mínimo privilegio, es decir, otorga solo los permisos estrictamente necesarios. "Se recomienda una revisión periódica de roles y accesos para detectar permisos obsoletos o excesivos y una política de acceso condicional, basada en ubicación, dispositivo y riesgos", dice Balmaceda.

El informe de Tenable encontró que, aunque el 83% de las organizaciones utiliza proveedores de identidad, persisten los permisos excesivos y los accesos riesgosos. "Esto demuestra que tener la herramienta no soluciona el problema si el proceso para gestionar los permisos está roto", opina Romero.

Otra mejor práctica consiste en inventariar datos, identidades y activos criptográficos (llaves y certificados). "No se puede proteger lo que no se conoce", explica Markowicz.

"Recalco la importancia de las políticas y procedimientos, que más allá de ser un requerimiento de cumplimiento, deben ser una herramienta para la gobernanza de la seguridad en IT, especialmente en cuanto a evaluación y mejora continua de la exposición de la organización a ataques cibernéticos", destaca Talavera.

"Una práctica esencial es clasificar y gobernar la información sensible, garantizando que los datos privados reciban un tratamiento adecuado y trazable", dice Szmulewiez. "La capacitación continua de equipos y usuarios, junto con simulacros, fortalece la preparación: los incidentes ocurrirán, la diferencia está en qué tan preparados estemos para superarlos minimizando el impacto", concluye.

Qué más podemos hacer

La tecnología evoluciona, la nube se vuelve cada vez más importante, los riesgos continúan en aumento y la pregunta es inevitable... ¿Qué más podemos hacer para protegernos?

Premios 2025.De desarrollador a CIO: cómo este especialista llegó a conducir la estrategia IT de un gigante de la salud

Romero aconseja un enfoque de gestión de exposición. "No se trata solo de tener una visión unificada, sino de implementar un proceso que permita priorizar, identificar el contexto, entender qué riesgos tienen más probabilidades de ser explotados y cómo se interconectan", enumera. "También proporciona los datos y el contexto para identificar continuamente dónde hay permisos excesivos o rutas de acceso peligrosas y, con esa inteligencia, los equipos de seguridad pueden construir un proceso escalable y eficiente para aplicar el principio de mínimo privilegio y hacer de zero trust una realidad operativa", completa.

Ozino Caligaris propone automatizar la infraestructura desde el diseño usando infraestructura como código. "Esto permite replicar entornos seguros, sin depender de configuraciones manuales que pueden contener errores", dice. También, implementar monitoreo continuo con herramientas nativas de los proveedores cloud como GuardDuty o AWS Config, para detectar rápidamente comportamientos anómalos.

"Aislar entornos críticos mediante subredes privadas y segmentación de red, para minimizar los puntos de exposición e integrar la seguridad en los ciclos de desarrollo (DevSecOps) con pruebas automáticas de código, revisión de configuraciones y despliegue seguro son otras medidas, así como realizar controles periódicos de cumplimiento contra marcos de referencia como CIS Benchmarks, PCI-DSS, HIPAA u otros estándares aplicables al negocio".

"La nube es hoy sin dudas la alternativa más costo-efectiva en términos de seguridad informática, pero como toda solución digital requiere de una estrategia clara de gobernanza de la ciberseguridad", define Carmona.

"Las mejores prácticas comienzan por la concientización: entender que la nube no es un espacio automáticamente seguro", concluye Markowicz.

Por supuesto, la teoría suele tener correlato en la realidad y a veces un caso de éxito vale más que otras mil palabras. "Para brindar automatización y optimización de procesos de evaluación crediticia en entidades financieras, fintechs, bancos y retails de todo el país, administramos y procesamos millones de consultas que se conectan vía API con múltiples fuentes de datos con nuestro motor de decisiones que está alojado en la nube de AWS", relata Mariano Sokal, director de SIISA, empresa de tecnología y buró con foco en el mercado financiero de crédito.

"Es clave para nosotros trabajar sobre varios frentes para entregar a nuestros clientes los más altos estándares de seguridad y rendimiento, como el cifrado de datos y gestión segura de credenciales, la autenticación multifactor, el monitoreo continuo, el cumplimiento estricto de estándares internacionales y la preservación digital de la información crítica", agrega. "Son prácticas que no sólo reducen riesgos de ciberataques, sino que además refuerzan la confianza en un mercado cada vez más competitivo", agrega.

Aún así, el avance de la IA y otras tecnologías emergentes, como la computación cuántica, impiden bajar la guardia. "Toma cada vez más relevancia el concepto de cripto-agilidad, la capacidad de la organización de identificar y reemplazar algoritmos criptográficos con rapidez, manteniendo los riegos controlados", dice Talavera.

"Esto toma forma en la medida en que las computadoras cuánticas se acercan a un público más amplio: ya existen algoritmos diseñados que pueden descifrar información cifrada con algunos de los mecanismos más ampliamente utilizados actualmente", agrega. Y recalca que el Instituto Nacional de Ciencia y Tecnología (NIST) de los Estados Unidos sugiere dar de baja los algoritmos vulnerables para 2030 y prohibirlos a partir de 2035.

Un encuentro de amor inolvidable, una borrachera con las amistades de toda la vida, una sesión intensa de terapia... Hay muchos espacios en los que tiene sentido revelar nuestros secretos. La nube sigue sin ser uno de ellos.