Infraestructura mal configurada. Vulnerabilidades conocidas desplegadas de todas formas. Acceso no autorizado a datos sensibles. Fueron los tres principales comportamientos que terminaron generando un incidente de seguridad cloud-native en el 97 por ciento de las organizaciones en el último año. Como si no se hubiera aprendido nada en materia de ciberseguridad básica y, ahora, se traslada a la nube nativa.
Fue una de las conclusiones que arrojó el informe anual de Red Hat, titulado “El estado de la seguridad nativa en la nube 2026” donde quedó en evidencia que la seguridad en entornos de nube híbrida se encuentra en un punto crítico. La compañía calificó a la situación como ciclo de “caos controlado” donde la velocidad de la innovación supera con amplitud las prácticas de seguridad tradicionales. Algo hay que hacer.
Foto creada con ChatGPT
Como se mencionó, entre las causas que más se reiteran aparecen infraestructuras mal configuradas (78 por ciento), vulnerabilidades conocidas desplegadas deliberadamente y el acceso no autorizado a datos sensibles.
El impacto no se tradujo solo en un incidente de seguridad. Lo que también provocó es que se ralentizaran los tiempos de implementación de aplicaciones, es decir, hubo una pérdida de confianza en los beneficios que la migración supondría. Y se sabe que cuando se llega a una instancia de este tipo es difícil retroceder.
En cifras, esta situación provocó que el 74 por ciento de las organizaciones retrasara o desacelerara la implementación de aplicaciones por preocupaciones en torno a la seguridad; un 92 por ciento reportó que hubo que invertir un 52 por ciento más en tiempos de remediación; mientras que un 43 por ciento informó caídas en las productividad, y un 32 por ciento una pérdida de confianza.
El reporte también fue un reflejo de las contradicciones en que están sumergidas las organizaciones. Pese a que un 56 por ciento aseguró que su política de seguridad es “altamente proactiva”, solo el 39 por ciento cuenta con una estrategia de seguridad nativa de la nube madura y bien definida, mientras un 22 por ciento lo hace sin estrategia documentada.
Sin prioridad
El informe de Red Hat señaló que esta “ausencia de estructura” se traduce en una adopción inconsistente de controles esenciales. Ejemplifica con la firma de imágenes de contenedores, que es apenas utilizada por la mitad de las empresas. más allá del ejemplo, muestra que, al final del camino, la ciberseguridad especialmente en la nube no termina teniendo la prioridad que requiere.
¿Cómo resolver estas brechas? Aquí es donde la inteligencia artificial y la automatización aplicada a la cadena de suministro formó parte del reporte y de las conversaciones puertas adentro de las empresas que detallaron tres prioridades a la hora de definir y/o reorientar sus presupuestos.
Pixabay – Brian Penny
En primer lugar, más del 60 por ciento de las organizaciones privilegian la automatización de DevSecOps en pipelines de CI/DC, otro 56 por ciento apunta a darle seguridad a la cadena de suministro de software mediante SBOMs y verificación de dependencias; y otro 54 por ciento prefiere ir por la protección en tiempo de ejecución. De manera adicional, el 64 por ciento aseguró que tiene en la mira la Ley de Resiliencia Cibernética (CBA) de la Unión Europea como un factor relevante para tomar las decisiones de inversión. Pero, otra vez, a la hora de las implementaciones todo lo que se asegura se tiene en agenda para aplicar se desmorona cuando se ven los niveles de adopción de prácticas concretas.
Sobre la inteligencia artificial (IA) de manera concreta, el 58 por ciento aseguró que la incorporó como motor central de su planificación de seguridad pero un 96 por ciento dijo estar preocupado respecto de la IA generativa en entornos de nube. La exposición de los datos sensibles es uno de los factores que genera dudas como también el uso no autorizado de herramientas de IA paralelas junto a la integración de servicios de IA de terceros que son inseguras. Es cada vez más frecuente escuchar a expertos en transformación digital que ciertas herramientas de IA, mostradas como juego o entretenimiento para impulsar su adopción, suelen ser utilizadas dentro de las empresas sin mayores cuidados y las dudas que surgieron en el reporte parece ser otro ejemplo de esta situación.
Lo que sucede con la seguridad en la nube está en línea con lo que sucede con la ciberseguridad en general. En el último mes, hubo diversos reportes que encendieron alertas en torno a ese tema porque, como queda reflejado, todavía no se toma real conciencia de la prioridad que exige el tema. Y como bien se asegura en la industria de las telecomunicaciones, sin seguridad no hay conectividad resiliente.
Entre lo que se dice y lo que se hace
El Cyber Resilience Report de Dell Technologies -que puede leerse desde aquí– determinó que el 97 por ciento de las organizaciones en la región admitió que debe fortalecer continuamente sus capacidades de seguridad frente a amenazas en evolución, mientras el 66 por ciento reconoció que aún enfoca más sus esfuerzos en prevenir ataques que en prepararse para recuperarse de ellos.
Y la contradicción respecto a lo que dicen hacer y lo que efectivamente hacen también quedó expuesto. Solo un 36 por ciento de las empresas cuenta con una estrategia de ciber-resiliencia establecida y optimizada mientras más de la mitad subrayó que la alta dirección todavía subestima el tema.
“Uno de los datos más reveladores del estudio es que muchas organizaciones creen estar preparadas, pero sus propios equipos de IT advierten que esa confianza no siempre se corresponde con la realidad operativa. Cuando el liderazgo sobreestima la preparación frente a un gran evento cibernético, se demoran decisiones clave, se posterga inversión y se dejan vulnerabilidades sin resolver. La resiliencia empieza, justamente, por cerrar esa brecha entre percepción y capacidad real”, señaló Juan Malizia, consultor especialista en Ciber-Resiliencia de Dell Technologies para Latinoamérica.
Imagen creada con chatGPT
En un tono similar se expresó Diego Sanin, Solution Tech Architect Manager en Red Hat Argentina quien sostuvo que la seguridad ya no es un complemente sino “una ventaja competitiva clave y un componente fundamental de la arquitectura nativa en la nube. Las organizaciones que entiendan este desafío como un motor de la agilidad del negocio, y no como un centro de costos, son las que tendrán la capacidad de innovar a escala, ganando la confianza del mercado y garantizando su resiliencia en un entorno digital cada vez más complejo”.
Ser coherente entre lo que se dice y lo que efectivamente se hace parece ser el único camino para que la ciberseguridad sea una realidad en las empresas, tanto cuando hay que definir una política general como cuando se focaliza en cloud native.
En ese sentido, Red Hat propuso una hoja de ruta para achicar esa brecha entre lo que se dice y lo que se hace en términos de nube. En primer lugar, subrayó la necesidad de formalizar una estrategia de seguridad, para luego incorporar automatización y guardrails. En tercer lugar, consideró priorizar la integridad de la cadena de suministro para, de ese modo, avanzar en la unificación del monitoreo y la seguridad. Finalmente, la gobernanza de la IA se impone como urgencia sin esperar regulaciones externas y formar equipos capaces de definir políticas de uso.
La ciberseguridad no deja de ser tema de discusión en los ámbitos tecnológicos, pero no logra permear con su mensaje a nivel de la alta dirección, como tampoco entre quienes están convencidos de avanzar en esa dirección porque suelen encontrarse ante situaciones de urgencia que impiden pensar estrategias concretas. Cambiar la cultura ante estos hechos no parece tener más tiempo de demora.
Debe estar conectado para enviar un comentario.