[24/06/2025] Tenable publicó su informe 2025 Cloud Security Risk Report. La investigación reveló que el 9% del almacenamiento en la nube de acceso público contiene datos confidenciales, el 97% de los cuales se clasifican como restringidos o confidenciales. Estas exposiciones aumentan el riesgo de explotación, especialmente cuando se combinan con configuraciones incorrectas o secretos incrustados.
"Los entornos en la nube se enfrentan a un riesgo drásticamente mayor debido a los datos confidenciales expuestos, las configuraciones incorrectas, las vulnerabilidades subyacentes y los secretos mal almacenados, como contraseñas, claves API y credenciales. El informe proporciona una inmersión profunda en los problemas de seguridad en la nube más destacados que afectan a los datos, la identidad, la carga de trabajo y los recursos de IA, y ofrece estrategias prácticas de mitigación para ayudar a las organizaciones a reducir el riesgo de manera proactiva y cerrar las brechas críticas”, señaló Ari Eitan, director de Investigación de Seguridad en la Nube de Tenable, en el comunicado de prensa.
Las principales conclusiones del informe son las siguientes:
- Los secretos que se encuentran en diversos recursos en la nube ponen en riesgo a las organizaciones: Más de la mitad de las organizaciones (54%) almacenan al menos un secreto directamente en las definiciones de tareas de Amazon Web Services (AWS) Elastic Container Service (ECS), lo que crea una ruta de ataque directa. Se encontraron problemas similares entre las organizaciones que usan los flujos de trabajo de Google Cloud Platform (GCP), Cloud Run (52 %) y Microsoft Azure Logic Apps (31 %). De manera alarmante, el 3,5% de todas las instancias de AWS Elastic Compute Cloud (EC2) contienen secretos en los datos de los usuarios, un riesgo importante dada la amplitud con la que se utiliza EC2.
- La seguridad de las cargas de trabajo en la nube está mejorando, pero persisten combinaciones tóxicas: Si bien el número de organizaciones con una "trilogía de nube tóxica" (una carga de trabajo expuesta públicamente, críticamente vulnerable y altamente privilegiada) ha disminuido del 38% al 29%, esta combinación peligrosa aún representa un riesgo significativo y común.
- El uso de proveedores de identidad (IdP) por sí solo no elimina el riesgo: Si bien el 83% de las organizaciones de AWS están aplicando las mejores prácticas en el uso de servicios de IdP para administrar sus identidades en la nube, los valores predeterminados demasiado permisivos, los derechos excesivos y los permisos permanentes aún los exponen a amenazas basadas en la identidad.
"A pesar de los incidentes de seguridad que hemos presenciado en los últimos años, las organizaciones continúan dejando activos críticos en la nube, desde datos confidenciales hasta secretos, expuestos a través de configuraciones incorrectas evitables", anotó el ejecutivo.
Franca Cavassa, CTOPerú