Tags:

El cloud ofrece innumerables ventajas a las empresas y organizaciones, pero también se han de afrontar nuevos riesgos y vulnerabilidades en la nube. Conocerlas es esencial para poder diseñar estrategias de defensa adecuadas y políticas de seguridad sólidas.

Existen 12 principales vulnerabilidades en la nube según la CSA —Cloud Security Alliance— que todos debemos tener en cuenta, y conocer, para poder hacerles frente. Se les denomina los «12 traicioneros», y os los desvelamos a continuación.

Existen «12 traicioneros» o principales vulnerabilidades en la nube según la Cloud Security Alliance (@cloudsa). Conocerlas es esencial para poder hacerles frente Clic para tuitear

Violaciones de datos

Una brecha de datos o el robo de estos puede ser provocada por un ataque dirigido o el resultado de un error humano, así como vulnerabilidades de una aplicación o sencillamente malas prácticas de seguridad.

Gestión de la identidad y los accesos deficientes

Los ciberatacantes que consiguen hacerse pasar por usuarios legítimos, ya sean operadores o desarrolladores de las aplicaciones pueden leer, modificar y eliminar datos, robar la información o espiar, así como inyectar aplicaciones o código malicioso que parece provenir de un usuario legítimo.

APIs inseguras

Las API una clave para la seguridad de los servicios en la nube, y tienen que diseñarse para evitar cualquier intento de sobrepasar las políticas de seguridad. De no hacerse así, son un punto potencial de vulnerabilidad y, por tanto, riesgo.

Vulnerabilidades de los sistemas

Las vulnerabilidades del sistema son bugs explotables en programas que los atacantes pueden usar para infiltrarse en un sistema para robar datos, tomar el control o interrumpir el servicio. Este tipo de vulnerabilidad es típica de cualquier sistema informático, pero en la nube cobran una mayor importancia.

Robo de cuentas

El robo de cuentas tampoco es algo nuevo, pero los servicios en la nube añaden una nueva amenaza. Los atacantes que roban los datos de acceso de un usuario pueden interceptar actividades y manipular datos, devolver información falsificada y redirigir a los usuarios a sitios engañosos.

Ataques desde el interior

Un usuario malintencionado puede acceder a información confidencial y puede tener niveles crecientes de acceso a sistemas más críticos y, finalmente, a datos. Los usuarios malintencionados pueden ser empleados descontentos, o personas que acceden a desvelar secretos a cambio de dinero, por ejemplo.

Amenazas persistentes avanzadas (APT)

Las Amenazas Persistentes Avanzadas son una combinación de ingeniería social y apps maliciosas, pero pueden establecerse como un punto de apoyo en la infraestructura de las empresas que se trata de atacar a partir del cual se roban datos.

Pérdida de datos

El borrado accidental de datos o una catástrofe —un incendio o terremoto— puede ocasionar la pérdida permanente de datos. Para contrarrestar esta vulnerabilidad, es necesario disponer de una buena estrategia de backup.

Análisis de riesgos insuficiente

Es imprescindible evaluar las tecnologías a utilizar y calibrar bien los riesgos a los que nos exponemos, para poder así establecer una buena estrategia y políticas de seguridad adecuadas.

Abuso y uso malicioso de servicios cloud

Los ciberdelincuentes pueden usar los servicios en la nube para crear bots atacantes hacia terceros, por ejemplo, ataques DDoS, envío de spam o campañas de phishing.

Ataques de denegación de servicio (DoS)

Los ataques DoS pueden ralentizar los sistemas de los usuarios legítimos o incluso dejarlos sin acceso.

Vulnerabilidades en la nube por tecnologías compartida

Los proveedores de infraestructuras ofrecen servicios escalables compartiendo infraestructura física, plataformas o aplicaciones. Si esa infraestructura no es totalmente segura, se da esta vulnerabilidad.

Deja tu comentario sobre "Un repaso a las principales vulnerabilidades en la nube"

Nos encantará conocer tu opinión, pero primero tenemos que indicarte que los comentarios están moderados, y no aparecerán inmediatamente en la página al ser enviados. Evita, por favor, las descalificaciones personales, los comentarios maleducados, los ataques directos o ridiculizaciones personales, o los calificativos insultantes de cualquier tipo, sean dirigidos a los autores, a cualquier otro comentarista o la empresa propietaria de esta página. Estás en tu perfecto derecho de comentar anónimamente, pero por favor, no utilices el anonimato para decirles a las personas cosas que no les dirías en caso de tenerlas delante. Intenta mantener un ambiente agradable en el que las personas puedan comentar sin temor a sentirse insultados o descalificados. No comentes de manera repetitiva sobre un mismo tema, y mucho menos con varias identidades o suplantando a otros comentaristas. También, procura que tus opiniones estén relacionadas con lo que se comenta en esta entrada. Los comentarios off-topic, promocionales, o que incumplan todas estas normas básicas serán eliminados.


Presto mi consentimiento para que, de acuerdo a la normativa europea de protección de datos, T-Systems ITC Iberia S.A.U trate mis datos personales con la finalidad de identificar al autor del comentario previo. Estos datos se pueden ceder a las empresas del grupo Deutsche Telekom AG. Está prevista la realización de transferencias a Francia. Puede ejercer sus derechos de acceso, rectificación, supresión, limitación, oposición y portabilidad de datos solicitándolo por escrito a: T-Systems ITC Iberia SAU, Calle Sancho de Ávila, 110. 08018 Barcelona, o a través de correo electrónico a FMB.TS-IB-PROTEC-DATOS-PERSONALES@t-systems.com, adjuntando en todo caso un documento acreditativo de su identidad. A su vez, puede dirigir cualquier consulta al Delegado de Protección de Datos a la dirección indicada anteriormente.