AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**La gestión multicloud: un reto crítico para la seguridad y la visibilidad en las empresas**

admin

### 1. Introducción

En la actualidad, la adopción de arquitecturas multicloud se ha convertido en una estrategia predominante entre las organizaciones que buscan agilidad, resiliencia y optimización de costes en sus operaciones tecnológicas. Sin embargo, esta diversificación de entornos cloud ha traído consigo importantes desafíos, especialmente en materia de ciberseguridad. Las dificultades para establecer y monitorizar controles de seguridad homogéneos en diferentes plataformas abren nuevas superficies de ataque que los ciberdelincuentes no tardan en explotar.

### 2. Contexto del Incidente o Vulnerabilidad

Según múltiples estudios recientes, más del 80% de las empresas medianas y grandes utilizan al menos dos proveedores de servicios en la nube, siendo AWS, Microsoft Azure y Google Cloud Platform los más habituales. La naturaleza heterogénea de estos entornos, junto con la falta de estandarización en sus modelos de seguridad y gestión de identidades, complica la aplicación de políticas coherentes y la visibilidad continua sobre activos críticos.

Durante 2023 y lo que va de 2024, se han detectado incidentes notables donde las brechas de seguridad se produjeron precisamente en los puntos de interconexión entre diferentes nubes o debido a la configuración deficiente de servicios gestionados en plataformas dispares. Los atacantes aprovechan la complejidad y la fragmentación para evadir la detección y moverse lateralmente entre entornos cloud, a menudo sin ser detectados durante semanas o meses.

### 3. Detalles Técnicos

Las vulnerabilidades más habituales en entornos multicloud incluyen la gestión inadecuada de credenciales e identidades (IAM), configuraciones erróneas de buckets de almacenamiento (por ejemplo, S3 en AWS o Blob en Azure), y la exposición de APIs no autenticadas. Algunos de los CVEs más explotados en estos escenarios durante el último año han sido:

– **CVE-2023-23397** en Microsoft Exchange Online, explotada para robo de credenciales en despliegues híbridos.
– **CVE-2023-24540** relacionada con la elevación de privilegios en servicios gestionados de Google Cloud.

Las técnicas de ataque más frecuentes, según el framework MITRE ATT&CK, incluyen:

– **Initial Access (T1190):** aprovechando servicios cloud expuestos.
– **Credential Access (T1078):** obtención y abuso de credenciales legítimas.
– **Lateral Movement (T1550):** aprovechando la confianza entre cuentas y servicios en distintas nubes.
– **Exfiltration over Web Service (T1567):** extracción de datos a través de canales cifrados en la nube.

Se han observado campañas activas en las que herramientas como **Cobalt Strike** y módulos específicos de **Metasploit** se utilizan para automatizar la explotación de APIs mal configuradas y la escalada de privilegios entre cuentas de diferentes proveedores cloud.

Indicadores de compromiso (IoC) incluyen logs de acceso inusuales desde ubicaciones geográficas atípicas, creación de cuentas de servicio no autorizadas y tráfico anómalo entre regiones cloud.

### 4. Impacto y Riesgos

Las consecuencias de una brecha en un entorno multicloud pueden ser devastadoras. Un informe de IBM Security estima que el coste medio de una filtración de datos en arquitecturas multicloud supera los 4,5 millones de dólares, aproximadamente un 25% más que en arquitecturas monocloud. Además, los tiempos de detección y respuesta se incrementan hasta en un 30% debido a la falta de visibilidad centralizada y correlación de eventos.

A nivel de cumplimiento, la exposición de datos personales en entornos multicloud puede acarrear sanciones bajo el **Reglamento General de Protección de Datos (GDPR)**, y la inminente entrada en vigor de la **Directiva NIS2** en la UE reforzará las obligaciones de gestión de riesgos y notificación de incidentes en infraestructuras críticas.

### 5. Medidas de Mitigación y Recomendaciones

Para minimizar los riesgos asociados a la gestión multicloud, se recomienda:

– **Implementar soluciones de Cloud Security Posture Management (CSPM)** para auditar y corregir configuraciones erróneas de manera continua.
– **Integrar plataformas SIEM** compatibles con múltiples proveedores para centralizar logs y alertas en tiempo real.
– **Adoptar frameworks de Zero Trust**, especialmente en la gestión de identidades y accesos (IAM), aplicando el principio de mínimo privilegio y autenticación multifactor.
– **Realizar pruebas de penetración y red teaming** específicas para entornos multicloud, utilizando herramientas como Metasploit o Cobalt Strike para simular ataques reales.
– **Automatizar la respuesta ante incidentes** mediante playbooks que contemplen la coordinación entre equipos y nubes.

### 6. Opinión de Expertos

Según Marta López, CISO de una multinacional del sector financiero, “La gestión multicloud no es solo un reto tecnológico, sino también organizativo: exige romper silos entre equipos de seguridad, operaciones y desarrollo, y adoptar una visión holística del riesgo”. Por su parte, Andrés García, analista senior en un SOC de referencia, destaca que “los atacantes están muy atentos a los errores de configuración y las lagunas en la monitorización; la automatización de controles y la visibilidad unificada ya no son opcionales”.

### 7. Implicaciones para Empresas y Usuarios

Las empresas deben revisar sus políticas de seguridad y gobierno IT a la luz de las nuevas amenazas multicloud, asignando recursos suficientes a la formación de equipos y la adopción de herramientas especializadas. Los usuarios corporativos, por su parte, han de ser conscientes de los riesgos asociados a la compartición de datos y el uso de servicios cloud no autorizados (shadow IT), un vector creciente de exposición.

### 8. Conclusiones

La adopción de estrategias multicloud aporta ventajas competitivas, pero requiere un enfoque proactivo y coordinado en ciberseguridad. La complejidad y el dinamismo de estos entornos obligan a las organizaciones a invertir en visibilidad, automatización y formación, así como a revisar de forma continua sus políticas y controles. Solo así podrán anticiparse a los atacantes y minimizar el impacto de potenciales incidentes.

(Fuente: www.darkreading.com)