
Treecha - stock.adobe.com
¿Qué amenazas enfrentará la nube empresarial en 2025?
Los expertos recomiendan a las empresas adoptar una estrategia de defensa en profundidad y desde distintos enfoques para proteger la nube.
Tal como ha venido sucediendo durante los últimos años, la seguridad de los entornos de nube empresarial seguirá siendo una preocupación relevante entre los directivos y departamentos de tecnología de las compañías. Los expertos sostienen que, para 2025, se espera la continuidad de algunas problemáticas que ya se venían observando durante el 2024 y un perfeccionamiento de las técnicas de ataques. Además, el phishing y la ingeniería social continuarán ocupando los primeros lugares dentro de las amenazas.
“Podríamos mencionar como principales amenazas a los ataques impulsados por IA, que ya en la actualidad es aprovechada por el cibercrimen para mejorar y personalizar los ataques. Y no cabe duda que las vulnerabilidades y ataques a la cadena de suministro estarán presentes, y quizás sean clave para afectar a proveedores de servicios de nube y, en consecuencia, a las víctimas. Tampoco podemos descartar la aparición de vulnerabilidades de día cero, y con ello nuevas amenazas considerando que el ámbito de la nube es muy cambiante”, explica Fabiana Ramírez, investigadora de Seguridad Informática de ESET Latinoamérica.

Respecto de la nube empresarial, para este año se espera que predominen ambientes híbridos, que pueden ser local/nube, local/multinube o multinube. Por consiguiente, se proyecta que las amenazas a la información corporativa en la nube aumenten en sofisticación y frecuencia. “Además, se anticipa un incremento en las tácticas de phishing y exploits dirigidos a comprometer las interfaces de programación de aplicaciones (API) que conectan servicios en la nube”, destaca Rodolfo Castro, Senior Manager, Sales Engineering Latin América de Sophos.
Nuevas herramientas y procedimientos de protección
Para proteger la información empresarial en la nube, las empresas están adoptando diversas herramientas y procedimientos avanzados. Algo que ya se viene implementando, pero que no dejará de ser esencial, es la encriptación y cifrado de datos en tránsito y aquellos almacenados estáticamente, en este caso en la nube, para garantizar que los datos sean ilegibles en caso de accesos indebidos.

“Un enfoque proactivo de detección de amenazas y ciberinteligencia es casi una necesidad actual, en tanto sólo de esta manera se podrá –quizás– adelantarse a potenciales ataques y contar con medios de detección, detención, mitigación y respuesta a incidentes. La correcta gestión de accesos utilizando MFA no debe dejarse de lado, dado que es la primera capa de protección de la información. Las soluciones de seguridad como antivirus, antimalware, antiphishing seguirán siendo básicas para cualquier enfoque de protección”, dice Ramírez, de ESET Latinoamérica.
“Si hablamos de aplicaciones SaaS utilizadas en la empresa, tenemos aplicaciones corporativas, como las que no están bajo el control de TI (Shadow IT), que pueden estar aumentando la superficie [de ataque] y a través de las cuales puede existir fuga de datos. Acá tenemos soluciones como SASE (Secure Access Service Edge), que brinda visibilidad y control para agregar seguridad a los colaboradores, independientemente de su ubicación, consolidando controles tales como DLP, SWG, CASB y ZTNA”, explica Ernesto Tachoires, director corporativo de Desarrollo de Negocios de Ciberseguridad en SONDA.
Consejos de protección en la nube para las compañías
Los expertos recomiendan adoptar una estrategia de defensa en profundidad y desde distintos enfoques para la protección en la nube.
En lo tecnológico, implementar políticas de acceso estrictas y emplear autenticación multifactor para proteger las credenciales y el acceso a datos sensibles. Además, contar con respaldos para resguardar la información y disponer de software y sistemas operativos actualizados a la última versión, con el fin de protegerse frente a vulnerabilidades conocidas, lo que debe ir de la mano con un enfoque proactivo de monitoreo.
“Por otro lado, podríamos destacar la aparición de IA aplicada a la ciberseguridad, que quizás sea una tecnología recomendable para implementar, dadas sus características de detección rápida y eficaz”, señala la investigadora de ESET Latinoamérica.
Con relación al recurso humano, los expertos destacan la necesidad de efectuar una educación continua y entrenamiento de los empleados. “Concientizar sobre las últimas amenazas y tácticas de engaño puede fortalecer la primera línea de defensa de cualquier organización”, concluye Rodolfo Castro, de Sophos.
Ernesto Tachoires, de SONDA, entrega algunos consejos para proteger la nube empresarial.
- Contar una estrategia de adopción de la nube que permita identificar sus entornos y donde se encuentran sus activos sensibles de información y servicios críticos.
- Implementar controles lo más temprano posible, ya que una vez que se despliegan los entornos de nube, que son altamente dinámicos, es mucho más difícil incorporar controles que hacerlo al inicio. Esto, además de ser más eficiente y efectivo, es más rentable que incorporar la seguridad al final.
- Entender que la responsabilidad de la seguridad no es exclusiva del proveedor de servicios de nube (CSP, por sus siglas en inglés), y adoptar un modelo de responsabilidad compartida, que permitirá implementar una estrategia que se haga cargo de identificar y mitigar las distintas brechas de seguridad.
- Implementar arquitecturas y controles de protección que brinden visibilidad y protección en tiempo real de amenazas.
- Priorizar la capacitación del personal, tanto en conceptos de seguridad de la nube, como sobre zero trust y seguridad de identidades.
- Establecer un gobierno adecuado sobre la infraestructura multinube, y complementarla con monitoreo continuo para detectar y responder a amenazas en tiempo real.
- Evaluar regularmente la postura de seguridad mediante pruebas de penetración y simulaciones de incidentes, asegurando que todos los controles (nativos y de terceros) estén configurados y actualizados correctamente.
“Esto permitirá a las organizaciones aprovechar todas las ventajas y beneficios que la nube nos puede otorgar en términos de negocio, pero sin comprometer los niveles de seguridad que debemos mantener”, resaltó.