Tenable, empresa especializada en gestión de exposición, presentó su informe Cloud Security Risk Report 2025, el cual revela que configuraciones inseguras en la nube están generando un riesgo generalizado para organizaciones de todos los tamaños. El estudio detalla que el 9 % del almacenamiento público en la nube contiene datos sensibles, de los cuales el 97 % están clasificados como restringidos o confidenciales. Estas exposiciones incrementan significativamente el riesgo de explotación, sobre todo cuando se combinan con errores de configuración o secretos mal gestionados.
El informe analiza amenazas que afectan datos, identidades, cargas de trabajo y recursos de inteligencia artificial, y ofrece estrategias de mitigación para reducir vulnerabilidades.
Hallazgos clave del informe:
- Riesgo por secretos expuestos: El 54 % de las organizaciones almacena al menos un secreto directamente en tareas de Elastic Container Service (ECS) de AWS. Problemas similares se observaron en Cloud Run de Google Cloud (52 %) y Logic Apps de Microsoft Azure (31 %). Además, el 3,5 % de las instancias EC2 de AWS contienen secretos en los datos de usuario, lo que representa una vía directa de ataque.
- Trilogía tóxica en la nube: Aunque ha disminuido del 38 % al 29 %, persiste el riesgo generado por la combinación de cargas de trabajo expuestas públicamente, con vulnerabilidades críticas y privilegios excesivos.
- Gestión de identidades con brechas: Aunque el 83 % de las organizaciones en AWS usa proveedores de identidad (IdP) según buenas prácticas, los permisos predeterminados, excesivos o permanentes siguen exponiendo a los sistemas a amenazas.
“A pesar de los incidentes recientes, las organizaciones continúan dejando expuestos activos críticos debido a errores de configuración que podrían evitarse”, señaló Ari Eitan, director de Investigación de Seguridad en la Nube de Tenable. “La nube requiere gestión de riesgos continua, visibilidad total y corrección proactiva para evitar la intensificación de amenazas”.
El informe se basa en datos recolectados entre octubre de 2024 y marzo de 2025, a partir de la telemetría de cargas de trabajo en entornos empresariales y de nube pública.