El camino de menor resistencia: por qué la defensa en profundidad es la mejor respuesta a las amenazas en la nube

El camino de menor resistencia: por qué la defensa en profundidad es la mejor respuesta a las amenazas en la nube.

By Phil Muncaster • 9 de abril de 2026 • 6 minutos de lectura

Los ciberdelincuentes son, ante todo, ingeniosos. Cuando descubren que una vía de acceso está bloqueada, no se rinden. En cambio, simplemente buscan otra. Basta con echar un vistazo a la última versión de Google. Informe sobre los horizontes de amenazas en la nube Para el primer semestre de 2026, Google Cloud incorporó un sólido conjunto de mejores prácticas en su plataforma para minimizar las oportunidades de robo de identidad y abuso. Entonces, ¿qué hicieron los ciberdelincuentes en la segunda mitad de 2025? Simplemente cambiaron sus métodos de acceso iniciales, pasando del robo de credenciales a la explotación de vulnerabilidades.

Es una de las varias conclusiones interesantes del informe que podrían ayudar a los CISO en su labor de mejorar continuamente su postura de seguridad.

De errores a brechas de seguridad

Dos gráficos ilustran a la perfección la naturaleza dinámica del panorama actual de amenazas: uno detalla los vectores de acceso iniciales explotados en Google Cloud, y el otro es una versión independiente de la plataforma. En Google Cloud, las credenciales débiles o inexistentes fueron responsables de tan solo el 27 % de las brechas de seguridad en la segunda mitad de 2025, frente al 47.1 % de los seis meses anteriores. Por el contrario, la explotación de vulnerabilidades de software de terceros representó el 45 % de las brechas, frente a solo el 3 % en el primer semestre de 2025.

Si bien estos últimos ataques son “más sofisticados y costosos” para los ciberdelincuentes, también están mejorando en su ejecución. Según Google, el lapso entre la divulgación de una vulnerabilidad y su explotación masiva se ha reducido de semanas a tan solo días u horas. React2Shell fue uno de los objetivos más populares para la explotación el año pasado, lo que resultó en una importante brecha de seguridad en LexisNexis, entre otras empresas.

Sin embargo, al analizar el panorama en todas las plataformas, la identidad se reafirma como el principal vector de ataque para incidentes que involucran entornos importantes de nube y SaaS, representando el 83 % de los accesos iniciales. La explotación de vulnerabilidades representó solo el 2 % el año pasado. En cuanto a los detalles dentro de la identidad, el vishing (17 %) fue más frecuente que el phishing por correo electrónico (12 %). Pero aún más comunes fueron el uso de credenciales robadas (21 %) y las relaciones de confianza comprometidas con terceros (21 %), como la tristemente célebre campaña Salesforce Drift OAuth.

Sé más Google

El informe no solo proporciona una útil instantánea de las tendencias actuales de amenazas, sino que también muestra lo que está funcionando en materia de defensa. En un mundo ideal, los CISO podrían emular Defensa en profundidad de Google Cloud y un enfoque de seguridad por defecto para bloquear tantas vías de acceso iniciales como sea posible. Desde la perspectiva de la identidad, esto significa:

Aplicar el principio del mínimo privilegio y auditar/eliminar periódicamente los permisos excesivos.
Sustituir las reglas permisivas del cortafuegos por proxies centrados en la identidad, con el fin de proteger las interfaces administrativas de la ejecución remota de código (RCE) y el robo de contraseñas.
Implementar la autenticación multifactor (MFA) sensible al contexto y resistente al phishing (por ejemplo, claves de hardware o contraseñas).
Restringir los datos a los que pueden acceder las aplicaciones de terceros (por ejemplo, mediante la integración de OAuth).
Establecer protocolos de verificación estrictos para el personal de soporte técnico de TI (por ejemplo, exigir verificación visual en una videollamada o aprobación de un gerente secundario) para mitigar los intentos de vishing.

El principio de "seguridad por defecto" es una de las formas más eficaces de reducir el riesgo en los entornos de nube modernos, argumenta Peter Clapton, CTO de Vysiion.

«Las plataformas deberían incluir protecciones básicas sólidas para la gestión de identidades, autenticación y privilegios, de modo que las organizaciones no dependan de que los administradores configuren correctamente numerosos controles antes de lograr la protección», explica a IO (antes ISMS.online). «En entornos de nube, donde la infraestructura se puede implementar rápidamente y a gran escala, estas medidas de seguridad predeterminadas reducen significativamente la probabilidad de que una mala configuración se convierta en un punto de entrada para los atacantes».

Sin embargo, la seguridad por defecto debe considerarse un punto de partida. «La identidad se ha convertido, de hecho, en el perímetro de seguridad moderno, por lo que las organizaciones aún necesitan políticas sólidas de gobernanza, monitorización y acceso con privilegios mínimos para todos los usuarios, cuentas de servicio e integraciones con terceros a fin de gestionar el riesgo de forma eficaz», afirma Clapton.

Los responsables de seguridad de la información (CISO) también podrían seguir las recomendaciones de Google para mitigar la explotación de vulnerabilidades, tal como se describe en el informe. Esto incluye actualizar la política de parches para garantizar que las vulnerabilidades (CVE) estén protegidas prácticamente en 24 horas y completamente corregidas en 72 horas. El análisis automatizado de vulnerabilidades contribuirá a estos esfuerzos al detectar software sin parchear.

“Los equipos de seguridad deben priorizar las vulnerabilidades en función de su explotabilidad, exposición y criticidad de los activos, en lugar de basarse únicamente en las puntuaciones CVSS”, aconseja Clapton. “Es fundamental integrar el análisis de vulnerabilidades en los procesos de desarrollo y mantener la visibilidad de los activos en la nube que cambian rápidamente”.

La diferencia ISO

Sin embargo, Shane Barney, CISO de Keeper Security, argumenta que, si bien la política de seguridad por defecto de Google Cloud es excelente para sus clientes, la mayoría de las empresas operan en entornos híbridos y multinube donde esos controles no se aplican de manera consistente.

“La prioridad para los CISO no debería ser replicar el modelo de un solo proveedor, sino garantizar resultados de seguridad consistentes en todos los entornos. Esto significa aplicar controles de seguridad basados en la identidad que acompañen al usuario, en lugar de depender de la plataforma en sí”, explica a IO.

“Una postura de ‘seguridad por defecto’ solo es efectiva cuando se refuerza con un modelo de confianza cero que parte de la premisa de que no se puede confiar implícitamente en ninguna identidad o sistema, impone el acceso con privilegios mínimos para eliminar los permisos permanentes y aplica la verificación continua y la monitorización de sesiones para detectar y contener el uso indebido en tiempo real, especialmente en cuentas privilegiadas.”

Afortunadamente, los CISO cuentan con un aliado en forma de estándares y marcos de buenas prácticas como la norma ISO 27001.

“Los marcos de trabajo como ISO/IEC 27001 proporcionan una base fundamental al formalizar los controles en la gestión de vulnerabilidades, la gobernanza de identidades y accesos, y la concienciación sobre seguridad”, continúa Barney. “Traducen la intención regulatoria en prácticas estructuradas y auditables para gestionar el riesgo de la información, integrando controles en la gestión de accesos, la remediación de vulnerabilidades y la respuesta a incidentes que pueden escalarse en entornos complejos basados en la nube”.

Javvad Malik, asesor principal de CISO de KnowBe4, también es partidario de enfoques formalizados de mejores prácticas como este, siempre y cuando la intención no sea el mero cumplimiento de las normas.

“Estándares como el ISO 27001 son útiles porque pueden orientar a las organizaciones para que implementen aspectos fundamentales como la gestión de activos, la aplicación de parches, el control de acceso, la respuesta a incidentes, el riesgo humano, etc.”, explica a IO.

«Aisladas, las normas en sí mismas pueden tener un valor limitado, sobre todo si las organizaciones las adoptan únicamente por cumplir con la normativa. Deben utilizarse para establecer una gobernanza sólida, integrarse en las operaciones diarias y sustentar la cultura de seguridad general, de modo que las opciones seguras sean las habituales y preferidas».

Amplíe su conocimiento

Podcast: Phishing for Trouble, Episodio #05: ¿Quién tiene las llaves de tu negocio?

Webinar: Protección de su entorno de nube

Blog: De la seguridad perimetral a la identidad como seguridad

El camino de menor resistencia: por qué la defensa en profundidad es la mejor respuesta a las amenazas en la nube.

De errores a brechas de seguridad

Sé más Google

La diferencia ISO

Amplíe su conocimiento

Phil Muncaster

Artículos relacionados

Cerrando la brecha de resiliencia: Dónde el gobierno dice que la sociedad anónima británica sigue fallando

Qué implica el Marco de Política Nacional de IA de la Casa Blanca para el cumplimiento normativo.

Cumplir con la Ley de Uso y Acceso a Datos con total confianza: Por qué el ciclo ISO 27001, 27701 y 42001 ofrece resultados.

Más artículos de Phil Muncaster

Cerrando la brecha de resiliencia: Dónde el gobierno dice que la sociedad anónima británica sigue fallando

Amenazas cibernéticas en tiempos de crecientes tensiones en Oriente Medio: qué pueden esperar los CISO del Reino Unido.

El NCSC exige que las infraestructuras críticas "actúen ahora": ¿Qué significa eso?