En los entornos de nube, cada servicio, integración y opción de configuración puede introducir su propio conjunto de riesgos. A medida que aumenta la adopción de la nube, también lo hace la superficie de ataque.
En esta publicación, destacaremos siete seguridad en la nube a las que se enfrentan los equipos hoy en día. Analizaremos cómo funciona cada una de ellas, su impacto y qué se puede hacer para mitigarlas o prevenirlas por completo.
seguridad en la nube 7 principales seguridad en la nube de un vistazo:
- Vulnerabilidad del IMDS
- Vulnerabilidades de Kubernetes
- Segmentación débil de la red
- Vulnerabilidades de FluentBit
- Vulnerabilidades de las imágenes de contenedores
- Firewalls mal configurados
- Funciones sin servidor mal configuradas
¿Qué son seguridad en la nube ?
seguridad en la nube son debilidades o configuraciones incorrectas en su entorno de nube que los atacantes pueden aprovechar para comprometer la infraestructura subyacente en la que se ejecutan sus aplicaciones o cualquier otra parte de su configuración de nube.
seguridad en la nube como respuesta al cambio de las implementaciones locales a los entornos nativos de la nube. En el pasado, cada empresa tenía su propio patrón de implementación, lo que significaba que no todos los vectores de ataque se aplicaban a todos. Eso ya no es así.
La nube crea unas condiciones equitativas. Los equipos utilizan servicios similares, configuraciones predeterminadas similares y patrones de implementación similares. Esto significa que muchas organizaciones acaban cometiendo los mismos errores. Por ejemplo, las empresas suelen filtrar información confidencial debido a una configuración incorrecta del almacenamiento de objetos, y los atacantes han aprendido a detectar esto en múltiples objetivos.
Para comprender qué servicios y configuraciones pueden convertirse en vectores de ataque, lo primero es evaluar su propia infraestructura y cómo está expuesto cada componente.
Razones comunes por las que se producen seguridad en la nube
Las siguientes son algunas de las razones por las que seguimos teniendo eventos recurrentes de seguridad en la nube :
- Velocidad de desarrollo: los equipos se ven presionados para entregar rápidamente, y la velocidad suele prevalecer sobre la seguridad. Utilizar la «última» versión de una imagen o paquete de contenedor es rápido, pero en un mundo en el que aumentan ataques a la cadena de suministro, la «última» versión puede ser fácilmente una versión infectada o comprometida.
- Falta de barreras de protección: avanzar rápidamente no debería generar brechas de seguridad, pero sin los controles adecuados, los equipos introducen riesgos en el entorno de forma involuntaria.
- Herramientas de seguridad no integradas: los desarrolladores pueden disponer de herramientas para el escaneo de imágenes o el análisis estático, pero estas herramientas rara vez forman parte de un flujo de trabajo automatizado y repetible. Esto hace que la seguridad sea inconsistente y fácil de omitir.
- Propiedad poco clara: la seguridad sigue considerándose una casilla que marcar o algo de lo que se encarga un equipo independiente. Con responsabilidades difusas y sin una comprensión clara de lo que es una «buena seguridad», especialmente en lo que respecta a la gestión de identidades y accesos (IAM), se producen vulnerabilidades.
Cómo los atacantes aprovechan seguridad en la nube
Como verá en breve, los atacantes suelen aprovechar un servicio legítimo para hacerse con el control de su infraestructura, ya sea a través de un bucket S3 público con acceso de escritura o un punto final público, y posteriormente pivotan escalando privilegios mediante el abuso de roles IAM o recursos mal configurados.
Para un atacante, lo ideal es aprovechar los recursos que menos sospechas despierten y utilizarlos para extraer tantos datos como sea posible. En las secciones siguientes entraremos en más detalles al respecto.
Las 7 principales seguridad en la nube
Una vez comprendidas seguridad en la nube de seguridad en la nube seguridad en la nube , estas son las siete principales:
1. Vulnerabilidad del IMDS
El Servicio de metadatos de instancia (IMDS) es un servicio que se ejecuta en todos los proveedores de nube y que proporciona un servicio informático que permite utilizar credenciales temporales en las aplicaciones que se ejecutan en la nube. Esto permite a los servicios acceder de forma segura a otros servicios en la nube sin necesidad de codificar las credenciales en la máquina.
Como era de esperar, en los últimos tiempos se ha producido un abuso de esta función. Un ejemplo de ello es CVE-2025-51591, que afectó a los sistemas que ejecutaban Pandoc, una utilidad de conversión de documentos.
The attacker submitted crafted HTML documents containing <iframe> elements whose src attributes targeted the AWS IMDS endpoint at 169.254.169.254. The objective was to render and exfiltrate the content of sensitive paths, specifically /latest/meta-data/iam/info and /latest/meta-data/iam.
The vulnerability in panic has since been patched. However, the attack was neutralized by the mandatory use of IMDSv2, which invalidates stateless GET requests, such as those initiated by an <iframe>. If the application were running in an environment still dependent on the IMDSv1 protocol, this attack vector would likely have resulted in credential compromise.
Aunque Pandoc es una explotación específica de un servicio legítimo, es importante estar atento a cómo interactúan tus aplicaciones con el host, ya que Pandoc es una utilidad de Linux que tuvo que instalarse en la instancia, lo que pone de relieve cómo incluso herramientas aparentemente benignas pueden convertirse en vectores de ataque cuando interactúan con servicios en la nube sensibles.
Gravedad: Media → Alta
2. Vulnerabilidades de Kubernetes
Revelada a través del programa de recompensa por errores de Kubernetes, CVE-2020-8559 es una vulnerabilidad que abusa del token de cuenta de servicio predeterminado para permitir la escalada de privilegios dentro de los clústeres de Kubernetes.
La explotación exitosa de esta vulnerabilidad podría conducir a una escalada de privilegios desde un nodo comprometido hasta el acceso a nivel de clúster. Si varios clústeres comparten la misma autoridad de certificación en la que confía el cliente y las credenciales de autenticación, un atacante podría redirigir al cliente a otro clúster, lo que provocaría el compromiso total del clúster.
Si alguna vez ha ejecutado Kubernetes en producción, comprenderá por qué esto es un problema. Las actualizaciones de clústeres rara vez son tan sencillas como hacer clic en «actualizar» y dar por terminado el trabajo; cuando se han establecido procesos, es difícil romperlos. CVE-2020-8559 exigía a los usuarios actualizar el kube-apiserver a las versiones parcheadas: v1.18.6, v1.17.9 o v1.16.13.
Cuando se produce una toma de control total del clúster, no es difícil ver cómo los nodos comprometidos pueden ser utilizados de forma indebida junto con IMDS para adentrarse aún más en su entorno de nube, acceder a credenciales y desplazarse lateralmente a otros servicios.
Gravedad: Alta → Crítica
3. Segmentación débil de la red
No todos los ataques son sofisticados; a veces, el incumplimiento de los principios básicos es lo que lleva a muchas organizaciones a aparecer en las noticias, y un ejemplo de ello es la segmentación de las redes.
Aunque la segmentación de redes no es específica de la nube, la complejidad de esta hace que una segmentación adecuada sea mucho más difícil y tenga un mayor impacto cuando se realiza de forma incorrecta. La expansión de la nube hace que los fallos de segmentación sean extremadamente comunes.
Para equipos pequeños con uno o dos servicios en unas pocas máquinas virtuales, puede resultar excesivo, pero para equipos más maduros que ejecutan múltiples servicios en zonas de disponibilidad o incluso en múltiples nubes, tener una estructura plana en la que todos los servicios se encuentran en la misma red con pocas o ninguna política de seguridad es una receta para el desastre.
La violación de Target en 2013 es un ejemplo clásico de lo que ocurre cuando las redes no están segmentadas adecuadamente. Los atacantes comprometieron inicialmente a un proveedor externo de sistemas de climatización con acceso a la red de Target y, a continuación, se desplazaron lateralmente a través de la arquitectura de red plana para llegar a los sistemas de tarjetas de pago, robando finalmente 40 millones de números de tarjetas de crédito y 70 millones de registros de clientes. Una segmentación adecuada de la red habría contenido la filtración de datos en los sistemas de climatización, impidiendo el acceso a la infraestructura de pago confidencial, al tiempo que se cumplían los requisitos de conformidad.
El aprovechamiento de las herramientas de gestión seguridad en la nube (CSPM) le permitirá comprender rápidamente la disposición de su entorno de nube y determinar qué partes de su red requieren una segunda revisión de su arquitectura de nube para evitar ataques similares de movimiento lateral. Todo esto se relaciona con el concepto de seguridad de confianza cero como el nuevo estándar parasu arquitectura de nube, lo que puede ayudarle en sus esfuerzos de cumplimiento normativo.
Gravedad: Media -> Alta
4. Vulnerabilidades de FluentBit
Aunque se trata de un nuevo conjunto de vulnerabilidades, Fluent Bit ha sido durante mucho tiempo un componente fundamental del ecosistema nativo de la nube, proporcionando un agente ligero para enviar registros y métricas de la nube a backends remotos. Esto es fundamental para los microservicios que requieren un registro centralizado o copias de seguridad de registros a gran escala.
In a series of vulnerabilities disclosed in early 2025, CVE-2025-12972, CVE-2025-12970, CVE-2025-12978, CVE-2025-12977, and CVE-2025-12969, attackers can exploit path traversal flaws, buffer overflows, tag spoofing, and authentication bypasses to execute arbitrary code, tamper with logs, and inject malicious telemetry. These vulnerabilities affect versions 4.1.x < 4.1.1 and 4.0.x < 4.0.12.
En el peor de los casos, estas fallas pueden comprometer por completo el entorno de la nube, especialmente cuando Fluent Bit se ejecuta con privilegios elevados o tiene acceso a credenciales confidenciales.
La omisión de la autenticación (CVE-2025-12969) es especialmente preocupante en configuraciones que utilizan Security.Users sin una clave compartida (Shared_Key), lo que puede desactivar la autenticación por completo. Esto permite a los atacantes remotos ocultar actividades maliciosas o filtrar registros mientras los operadores creen que sus sistemas son seguros.
CVE-2025-12972 también es crítico porque permite el acceso remoto completo debido a que se utilizan valores de etiquetas no desinfectados para generar nombres de archivos de salida, lo que permite a los atacantes escribir archivos en el disco.
Al igual que la vulnerabilidad SSH, Fluent Bit suele implementarse en un conjunto de instancias en entornos de nube. Por este motivo, es fundamental utilizar una herramienta que ofrezca una visibilidad completa de las instancias y ayude a priorizar cuáles deben parchearse primero.
Gravedad: Alta -> Crítica
5. Vulnerabilidades de las imágenes de contenedores
Las imágenes de contenedores podrían ser tema de un artículo completo, como hicimos, échale un vistazo aquí. A lo largo de los años, las imágenes de contenedores han experimentado una adopción masiva gracias a Docker y al ecosistema nativo de la nube en general. Esta popularidad también las convierte en un objetivo atractivo para los atacantes, como se vio con Fluent Bit, que fue descargado 4,7 millones de veces en una sola semana de noviembre.
Una vulnerabilidad crítica o un compromiso, como CVE-2025-12972, podría suponer un desastre para muchas organizaciones.
Gestionar múltiples imágenes de contenedores a gran escala es todo un reto. Los equipos suelen utilizar diferentes versiones de la misma imagen, y no todas las advertencias de seguridad son aplicables. Por lo tanto, la supervisión de imágenes de contenedores es un proceso continuo, no una tarea puntual.
En Aikido entendemos que mantener las imágenes de contenedores no es tan sencillo como «simplemente actualizar». Cualquiera que lo haya intentado en producción sabe lo difícil que resulta. El simple hecho de pasar a la última imagen puede destrozar tu compilación, romper las dependencias de tiempo de ejecución e introducir errores sutiles que solo aparecen en producción. Por eso nos hemos asociado con el equipo de Root.io para ofrecerte Autofix, que te permite actualizar tu imagen base con un solo clic.
Gravedad: Media -> Alta
6. Cortafuegos mal configurados
En 2019, Capital One sufrió una importante seguridad en la nube , que afectó a más de 100 millones de clientes. El ataque fue un costoso ejemplo de cómo una única configuración errónea puede provocar una brecha de datos a gran escala.
El autor de la amenaza aprovechó una vulnerabilidad de falsificación de solicitudes del lado del servidor (SSRF) en firewall de aplicaciones web firewall de aplicaciones WAF) de Capital One para acceder al servicio de metadatos de instancias de AWS. La SSRF permite a un atacante redirigir su solicitud web a cualquier IP que elija, y es una vulnerabilidad bien conocida.
La filtración provocó la exposición de información personal de aproximadamente 100 millones de personas en Estados Unidos y 6 millones en Canadá, incluyendo nombres, direcciones, puntuaciones crediticias y números de la Seguridad Social.
Lo que hace que esto sea especialmente preocupante es que el WAF, una herramienta de seguridad diseñada para proteger aplicaciones, se convirtió en el propio vector de ataque. Si el WAF se hubiera configurado correctamente o se hubiera aplicado IMDSv2, el ataque habría sido mucho más difícil de ejecutar. La conclusión es que incluso los recursos destinados a la infraestructura pueden convertirse en un vector de ataque si se configuran de forma incorrecta.
Gravedad: baja -> media
7. Funciones sin servidor mal configuradas
Las funciones sin servidor se ganaron el corazón de muchos desarrolladores por su facilidad de implementación, su amplia compatibilidad con distintos lenguajes y la ausencia de servidores que gestionar. Esto crea la ilusión de que las funciones sin servidor son seguras por defecto.
En realidad, las funciones sin servidor crean una oportunidad única para que los atacantes aprovechen las funciones de gestión de identidades y accesos excesivamente permisivas y operen sin ser detectados en la mayoría de los casos.
Por ejemplo, un atacante podría aprovechar una función Lambda con una política IAM s3:* demasiado permisiva para extraer datos confidenciales de todos los buckets S3 de su cuenta, mientras la función aparenta estar realizando sus tareas legítimas.
Gravedad: baja -> media (dependiendo de las políticas de IAM de la función sin servidor)
Cómo obtener visibilidad de seguridad en la nube
Entre seguridad en la nube modernas seguridad en la nube , Aikido security se perfila como la opción más completa y fácil de usar para los desarrolladores. Ofrece a los equipos una visibilidad completa de su nube, desde configuraciones erróneas hasta máquinas virtuales vulnerables, imágenes de contenedores, cargas de trabajo de Kubernetes e IaC, todo en una única vista unificada sin ruidos ni duplicaciones.
Aikido combina la incorporación sin agentes, escaneo de máquinas virtuales, CSPM, Kubernetes y escaneo de imágenes de contenedores, controles IaC e incluso corrección automática con IA para imágenes de contenedores. Los equipos pueden comenzar con la gestión de la postura de la nube y expandirse al código, los contenedores o la seguridad de API a medida que crecen, sin necesidad de adoptar múltiples herramientas.
Tanto si desea proteger un entorno reducido como gestionar miles de recursos, Aikido le ayuda a centrarse en los riesgos más importantes, reducir rápidamente su superficie de ataque y evitar por completo la proliferación de herramientas, todo ello desde una única plataforma diseñada tanto para equipos de seguridad como de ingeniería.
Conclusión
seguridad en la nube no seguridad en la nube solo en corregir vulnerabilidades, sino en obtener una visibilidad completa de su infraestructura, código y dependencias, y actuar sobre los riesgos más importantes.
Con Aikido, los equipos pueden unificar la supervisión de la nube, el análisis de código y la seguridad de la cadena de suministro en una única plataforma, priorizar las amenazas en función del riesgo real y tomar medidas proactivas antes de que los atacantes actúen.
Si está listo para dar el siguiente paso en la protección de su entorno en la nube, comience de forma gratuita y compruebe lo sencillo, fácil de usar para los desarrolladores y eficaz seguridad en la nube ser seguridad en la nube .
Preguntas frecuentes
¿Cómo contribuyen las configuraciones incorrectas a seguridad en la nube y cómo se pueden prevenir?
Las configuraciones incorrectas de la nube, como los depósitos de almacenamiento abiertos, los permisos excesivos o los ajustes de red defectuosos, pueden exponer datos o sistemas confidenciales a los atacantes. La prevención implica auditar periódicamente los entornos de la nube, aplicar el principio del mínimo privilegio, utilizar herramientas automatizadas de gestión de la configuración y supervisar continuamente las desviaciones. Plataformas como Aikido Security detectar configuraciones incorrectas en entornos multinube.
¿Cómo afectan las amenazas internas a seguridad en la nube y cómo se pueden mitigar?
Las amenazas internas, ya sean maliciosas o accidentales, pueden comprometer seguridad en la nube filtrar datos, crear puertas traseras o hacer un uso indebido de los privilegios de acceso. Las estrategias de mitigación incluyen la implementación de controles de acceso estrictos, la supervisión de la actividad de los usuarios, la aplicación de la autenticación multifactorial y la formación de los empleados sobre las mejores prácticas de seguridad. Las plataformas avanzadas, como Aikido Security supervisar el comportamiento inusual de los usuarios para alertar a los equipos de posibles riesgos internos.
¿Qué herramientas y tecnologías detectan y abordan eficazmente seguridad en la nube principales seguridad en la nube ?
seguridad en la nube Las plataformas de gestión seguridad en la nube (CSPM), las plataformas de protección de cargas de trabajo en la nube (CWPP), las plataformas de protección de aplicaciones nativas en la nube (CNAPP), los escáneres de vulnerabilidades y las herramientas de cumplimiento automatizadas ayudan a detectar y corregir vulnerabilidades. Las soluciones basadas en inteligencia artificial pueden rastrear rutas de ataque complejas y priorizar las amenazas. Aikido Security integra estas capacidades, proporcionando detección y corrección en tiempo real asistidas por IA en todo el código, las dependencias y los recursos en la nube.
¿Qué papel desempeñan las API inseguras en seguridad en la nube y cómo se pueden proteger?
Las API inseguras pueden exponer datos confidenciales, permitir el acceso no autorizado o servir como puntos de entrada para ataques. Las mejores prácticas incluyen autenticación y autorización estrictas, validación de entradas, limitación de velocidad, cifrado y monitorización continua. La incorporación seguridad de API una plataforma de seguridad más amplia, como Aikido Security, garantiza que las API se analicen continuamente en busca de vulnerabilidades y actividades maliciosas.
También te puede interesar:
Protege tu software ahora.
.avif)
