¿Cuál es el principal riesgo de seguridad en la nube informática?

En el dinámico escenario de la ciberseguridad empresarial, América latina y el Caribe enfrentan retos particulares derivados de la adopción acelerada de entornos híbridos y multinube.

Alejandro Dutto, director de ingeniería de seguridad de la empresa de seguridad informática Tenable para la región, analiza en la siguiente entrevista de iProfesional los desafíos más críticos, las herramientas tecnológicas emergentes y el impacto de la inteligencia artificial en la gestión de riesgos en servidores de acceso remoto (computación en la nube, en la jerga informática), a partir del informe "El estado de la seguridad en la nube y en la IA 2025".

El informe fue encargado por Tenable y desarrollado en colaboración con la Alianza para la Seguridad en la Nube (Cloud Security Alliance, CSA), para el cual se encuestó a más de 1.000 profesionales de de tecnologías de la información (TI) y de seguridad informática de todo el mundo con el objetivo de comprender cómo las organizaciones adaptan sus estrategias para gestionar el riesgo en una nube cada vez más compleja y en infraestructuras

-El informe indica que la mayoría de las organizaciones (82%) opera en entornos híbridos y un 63% utiliza varios proveedores de nube (multinube). ¿Cuáles son los desafíos de seguridad más críticos que surgen de esta complejidad en la región de América latina y el Caribe, y qué herramientas unificadas considera esenciales para abordarlos?

-La adopción acelerada de entornos híbridos y multinube ha traído consigo una complejidad sin precedentes. En América latina y el Caribe, muchas empresas todavía operan con equipos y herramientas aisladas, lo que genera visibilidad fragmentada y dificulta entender dónde están realmente las exposiciones. Los desafíos más críticos son tres: la falta de contexto de riesgo entre nubes y entornos locales, la gestión inconsistente de identidades y permisos y la dificultad para aplicar políticas uniformes de seguridad en plataformas distintas.

Superar esto requiere un cambio de enfoque. En lugar de sumar más herramientas, las organizaciones necesitan plataformas unificadas de gestión de exposición que integren datos de vulnerabilidades, configuraciones, identidades y cargas de trabajo en una sola vista. Complementar esto con soluciones de CSPM (Cloud Security Posture Management), CNAPP y XDR permite priorizar riesgos reales y automatizar la respuesta, independientemente del proveedor de nube o de si el recurso está on-premises o en la nube.

-Las identidades inseguras y los permisos riesgosos son citados como el principal riesgo de seguridad en la nube (59%) y la causa de las brechas de seguridad relacionadas con la nube. ¿Qué pasos prácticos recomienda a las organizaciones para pasar de métricas de cumplimiento básicas (como la adopción de MFA/SSO) a un gobierno de identidad más maduro que aborde el abuso de privilegios y las identidades no humanas?

-Adoptar MFA o SSO es solo el primer paso. El verdadero desafío es entender quién tiene acceso a qué y si realmente lo necesita. Un gobierno de identidad maduro combina tres capacidades: visibilidad, control y contexto.

El primer paso es mapear todas las identidades, incluidas las no humanas —cuentas de servicio, "workloads", procesos automatizados— y evaluar sus permisos efectivos, no sólo los declarados. Luego, aplicar políticas de mínimo privilegio dinámico mediante mecanismos como "just-in-time" o "just-enough Access", y automatizar la rotación y revocación de credenciales inactivas.

Finalmente, es clave establecer métricas de madurez: porcentaje de identidades con privilegios excesivos, tiempo promedio para revocar accesos innecesarios o frecuencia de revisión de permisos. Esto eleva la conversación de cumplimiento a una gestión basada en riesgo y reduce de forma tangible la superficie de ataque.

-El 55% de las organizaciones ya utiliza la IA para necesidades de negocios activas, pero el 34% de las que tienen cargas de trabajo de IA ya ha sufrido una vulneración relacionada con la IA. ¿Cree que esta alta tasa de vulneraciones se debe a que la seguridad se está centrando en los riesgos equivocados ("nativos de la IA") en lugar de en los principios de seguridad en la nube ya conocidos, como las configuraciones incorrectas y las credenciales?

-Exactamente. Muchos equipos de seguridad están enfocándose en los riesgos "nuevos" de la IA —como el "prompt injection" o el "data poisoning"—, cuando en la práctica las vulneraciones provienen de los problemas clásicos: credenciales expuestas, permisos inadecuados y configuraciones erróneas.

En nuestra experiencia, la IA no introduce una superficie completamente distinta, sino que amplifica las vulnerabilidades existentes. Las cargas de IA suelen convivir con datos altamente sensibles y pipelines complejos, lo que hace fundamental aplicar los mismos controles probados en la nube: segmentación, gobierno de identidad, control de versiones, gestión de vulnerabilidades y revisión continua de configuraciones. Solo cuando esa base está sólida tiene sentido abordar los riesgos propios de los modelos y "datasets".

-El cumplimiento normativo, como el NIST AI RMF o la Ley de IA de la UE, es la principal medida de seguridad de la IA (51%), pero la adopción de protecciones técnicas como la seguridad MLOps (15%) o las pruebas específicas de seguridad de la IA (26%) es baja. ¿Cómo pueden las organizaciones ir más allá del cumplimiento como techo, y convertirlo en un punto de partida para una seguridad de la IA verdaderamente robusta?

-El cumplimiento debe verse como un punto de partida, no como un destino. Los marcos regulatorios —como el NIST AI RMF o la Ley de IA de la Unión Europea— ayudan a definir la gobernanza y la rendición de cuentas, pero no garantizan seguridad técnica.

Para lograr una protección real, las organizaciones deben incorporar controles propios de la ingeniería: seguridad en MLOps, pruebas de robustez y "adversarial testing" de modelos, aislamiento de entornos de entrenamiento y monitoreo de "drift" de datos.

También es recomendable crear un ciclo de vida seguro del modelo, con registro y firma de versiones, trazabilidad y validación de "datasets". En otras palabras, pasar de la "documentación del cumplimiento" a la operacionalización de la seguridad en cada etapa del desarrollo y despliegue de IA.

-La falta de experiencia (34%) es el principal desafío para proteger la infraestructura en la nube. Además, el 31% de los encuestados afirma que sus directivos no comprenden suficientemente los riesgos de la seguridad en la nube. ¿De qué manera esta brecha de conocimiento en el liderazgo obstaculiza la asignación de recursos y la ejecución de la estrategia de seguridad?

-La brecha entre lo técnico y lo estratégico sigue siendo una de las mayores barreras en la región. Cuando los líderes no comprenden el riesgo real de una mala configuración o de un exceso de privilegios, tienden a subestimar la exposición financiera y operativa. Eso se traduce en presupuestos limitados y decisiones basadas en cumplimiento mínimo, no en impacto de negocio.

El cambio pasa por traducir la seguridad al lenguaje del riesgo corporativo: cuánto puede costar un tiempo de inactividad, una filtración de datos o una sanción regulatoria. Los CISO deben contar con herramientas que midan y comuniquen la exposición de forma cuantificable, vinculando cada hallazgo con su potencial impacto. Cuando el directorio ve que la seguridad protege ingresos, reputación y continuidad, la inversión deja de ser vista como gasto.

-Los KPI más comunes siguen siendo reactivos, centrándose en la frecuencia y gravedad de los incidentes (43%) en lugar de en la reducción de riesgos o la resiliencia. ¿Qué métricas proactivas debería adoptar el CISO moderno para comunicar el valor de la inversión en seguridad a los ejecutivos y fomentar una cultura de prevención de riesgos?

-Los indicadores tradicionales miden el daño, no la prevención. Un CISO moderno necesita KPIs que reflejen exposición, eficiencia y resiliencia. Por ejemplo:

• Porcentaje de activos críticos con rutas de ataque cerradas.
• Tiempo promedio para corregir vulnerabilidades explotables.
• Reducción del número de identidades con privilegios excesivos.
• Cobertura de monitoreo sobre entornos críticos o cargas de IA.

Estas métricas muestran evolución y madurez, y permiten demostrar cómo la inversión en seguridad se traduce en reducción de riesgo real y mayor continuidad operativa. Lo importante es que sean comprensibles por el negocio, no solo por el equipo técnico.

-¿Existen desafíos o prioridades de seguridad específicos para las empresas latinoamericanas (por ejemplo, el sector financiero o de telecomunicaciones, que son importantes en la demografía) que difieren de las tendencias globales presentadas en el informe?

-Sí, existen particularidades muy marcadas en América latina y la Argentina no es la excepción. El principal desafío no es solo tecnológico, sino estructural: muchas organizaciones de la región aún están en etapas iniciales de madurez digital, con infraestructuras híbridas que mezclan sistemas heredados con entornos "cloud" modernos. Esto genera brechas de visibilidad, integración y control que incrementan el riesgo operativo.

A ello se suma una escasez crónica de talento especializado en ciberseguridad y gestión de nube, que obliga a los equipos a operar con recursos limitados, muchas veces priorizando la continuidad del negocio por encima de la mejora estructural. En Argentina, donde el mercado tecnológico es altamente competitivo, retener perfiles con experiencia en "cloud security", DevSecOps o IA segura se ha vuelto un reto constante.

Además, los sectores más sensibles —como finanzas, telecomunicaciones y servicios digitales— enfrentan una presión adicional por cumplir con normativas cada vez más exigentes que demandan gestión de terceros, protección de datos y planes de resiliencia. El Banco Central de la República Argentina (BCRA), por ejemplo, requiere que las entidades financieras demuestren controles robustos sobre la tercerización tecnológica y la disponibilidad de servicios, lo que añade complejidad a la operación.

En este contexto, la prioridad de los equipos de seguridad de las organizaciones en América latina no pasa sólo por incorporar nuevas tecnologías o cumplir con estándares, sino por encontrar el equilibrio entre innovación y seguridad controlando su nivel de exposición al riesgo cibernético. Las organizaciones deben adoptar una estrategia que combine agilidad y control, donde la automatización, la gestión de exposición y la visibilidad unificada permitan innovar sin aumentar la superficie de ataque.

-El informe concluye que la madurez de la seguridad requiere un reajuste estratégico. ¿Cuál es el mensaje clave que transmitiría a los directivos de seguridad y TI de América Latina sobre la necesidad urgente de pasar de una respuesta reactiva a una estrategia proactiva basada en el riesgo?

-El mensaje clave es que la seguridad ya no puede ser reactiva ni enfocarse únicamente en el cumplimiento. Las empresas latinoamericanas están en plena transformación digital, incorporando nube, IA y automatización a un ritmo acelerado, pero muchas aún gestionan la seguridad desde una lógica de respuesta ante incidentes, en lugar de anticipación.

La verdadera madurez consiste en integrar la gestión del riesgo digital al corazón del negocio. En entornos híbridos y multinube, donde los datos y las identidades se mueven constantemente entre plataformas, la visibilidad unificada, la automatización y la priorización del riesgo son esenciales. Ya no se trata de tener más controles, sino de entender qué vulnerabilidades o configuraciones tienen mayor impacto en la continuidad y en los objetivos estratégicos.

El informe (...) subraya justamente esto: la necesidad de evolucionar desde controles fragmentados hacia una gestión integrada de exposición, que conecte vulnerabilidades, configuraciones, permisos e identidades bajo una sola vista contextual del riesgo.

En América latina, donde las organizaciones enfrentan entornos económicos y tecnológicos cambiantes, una estrategia proactiva no solo protege, sino que habilita la innovación. La seguridad debe dejar de ser un freno o una reacción para convertirse en un factor de confianza, resiliencia y crecimiento sostenible.