Por Elías Cedillo Hernández
CEO & Fundador de Grupo BeIT, BuróMC y Elit Infrastructure Services
La migración hacia servicios en la nube como AWS, Microsoft Azure y Google Cloud ha transformado la operación empresarial, ofreciendo escalabilidad, flexibilidad y reducción de costos. Sin embargo, esta evolución también ha traído consigo un riesgo silencioso que muchas organizaciones subestiman: la persistencia del atacante en entornos cloud. Los ciberdelincuentes, además de robar datos, buscan establecerse de manera permanente dentro de la infraestructura para mantener el control y explotar recursos durante meses sin ser detectados.
Cuando un atacante compromete una cuenta en la nube, la exfiltración de datos suele ser el primer paso, pero los ataques más sofisticados van más allá. El verdadero objetivo es permanecer oculto incluso después de que la intrusión inicial haya sido aparentemente corregida. Esta persistencia se logra mediante tácticas avanzadas que aprovechan la complejidad y la falta de visibilidad en entornos multinube. Gartner advierte que la gestión de identidades y accesos (IAM) y la supervisión continua son esenciales para evitar que estas amenazas se consoliden, ya que la nube introduce un modelo de responsabilidad compartida donde el proveedor asegura la infraestructura física, pero la configuración y gestión de accesos recae en la empresa.
Los métodos más comunes para lograr persistencia incluyen la creación de usuarios fantasma con privilegios ocultos que no aparecen en auditorías superficiales, la instalación de backdoors en funciones serverless como AWS Lambda o Azure Functions para ejecutar código malicioso sin levantar sospechas, y la generación de llaves de API maliciosas que permiten acceso remoto incluso después de cambios de contraseñas. También es frecuente la manipulación de roles IAM, asignando permisos excesivos o creando políticas que facilitan el movimiento lateral dentro del entorno cloud. Estas técnicas son especialmente peligrosas porque se integran en la lógica interna de la infraestructura, donde las herramientas tradicionales no tienen visibilidad.
Este punto nos lleva a una realidad crítica: la seguridad tradicional basada en firewalls perimetrales es insuficiente. En la nube, el perímetro desaparece. Las aplicaciones, datos y usuarios están distribuidos globalmente, y las conexiones se realizan mediante APIs y servicios internos que no pasan por el firewall. Incluso los firewalls más avanzados no pueden inspeccionar la lógica interna de funciones serverless ni detectar credenciales maliciosas en IAM. Fortinet y otros líderes en ciberseguridad coinciden en que la solución pasa por adoptar un enfoque de confianza cero, que asume que ninguna conexión es segura por defecto y exige verificación continua de identidad y contexto.
A esta amenaza se suman tendencias alarmantes: según el Informe 2025 de Tenable, el 9 % del almacenamiento público en la nube contiene datos sensibles y el 97 % de ellos son confidenciales, lo que evidencia brechas graves en la gestión de accesos y configuraciones. Además, más del 50 % de las organizaciones almacenan secretos (claves, tokens) en definiciones de tareas de AWS ECS y servicios similares, creando vectores de ataque directos. Tenable también advierte sobre la “trilogía tóxica”: cargas de trabajo expuestas públicamente, vulnerables y con privilegios elevados, presentes en el 29 % de las organizaciones, lo que facilita la persistencia y escalamiento de privilegios.
Por otro lado, las alertas de seguridad en la nube se han multiplicado por cinco en el último año, con un incremento del 116 % en eventos relacionados con IAM, como inicios de sesión imposibles y uso indebido de tokens en funciones serverless. Esto confirma que los atacantes están priorizando credenciales y exfiltración como tácticas principales. De hecho, una de cada cuatro empresas sufrió al menos una exfiltración de datos en la nube en el último año, y el 36 % experimentó múltiples filtraciones, impulsadas por configuraciones erróneas y falta de cifrado.
Las cadenas de suministro digitales y los entornos cloud también se perfilan como zonas críticas en 2025. Un solo proveedor comprometido puede abrir la puerta a múltiples organizaciones, amplificando el impacto del ataque. El costo global del cibercrimen superará los 10 billones de dólares este año, impulsado por el uso de IA para ataques más rápidos y sofisticados.
Finalmente, el Informe Veeam 2025 revela que cerca del 70 % de las organizaciones siguen sufriendo ciberataques, a pesar de haber mejorado sus defensas. Lo más preocupante es que solo el 10 % logra recuperar más del 90 % de sus datos tras un incidente, mientras que el 57 % recupera menos del 50 %. Además, crecen los ataques centrados exclusivamente en exfiltración, que roban información sensible sin cifrarla ni bloquearla, dificultando su detección.
Acciones clave para mitigar este riesgo incluyen adoptar un modelo de confianza cero, realizar auditorías periódicas de IAM y roles para eliminar privilegios excesivos, implementar monitorización avanzada con herramientas como AWS GuardDuty, Microsoft Sentinel y soluciones CSPM (Cloud Security Posture Management) de Sophos para detectar anomalías y backdoors, y garantizar la automatización y visibilidad multinube mediante plataformas que correlacionen eventos y alertas en tiempo real. La nube no es insegura por naturaleza, pero su complejidad exige un cambio de mentalidad. La persistencia del atacante es una amenaza silenciosa que puede comprometer la continuidad del negocio, y para los líderes empresariales, invertir en seguridad adaptativa, visibilidad y gobernanza no es opcional: es la única forma de garantizar que la innovación en la nube no se convierta en un riesgo existencial.
Referencias
Spanish 
English
Post comments (0)