Se dice que la complejidad es el enemigo de muchas cosas, pero cuando se trata de las organizaciones y sus sistemas y procesos informáticos, la complejidad es el peor enemigo de la ciberseguridad. Para muchos profesionales de IT y Seguridad, esto ocurre a diario mientras intentan gestionar lo que IBM alguna vez llamó un “Frankencloud”, un conjunto de entornos cloud privados y públicos, a menudo aún más enredados con varios recursos locales y posiblemente heredados.
La facilidad con la que algunos activos cloud pueden desplegarse, especialmente las máquinas virtuales, contrasta fuertemente con la realidad de mantenerlos protegidos y monitoreados una vez que empiezan a multiplicarse. La proliferación de máquinas y software a menudo produce entornos heterogéneos y con reglas inconsistentes, lo que en última instancia los hace difíciles de defender.
Llueve sobre mojado
Los equipos de IT y Security —que suelen ser apenas un pequeño grupo ya sobrecargado por la escasez de talento en la industria— terminan saltando entre dashboards y consolas mientras intentan reconstruir una historia coherente a partir de datos dispersos. Cada vez que un administrador cambia de herramienta o interfaz, aumenta el riesgo de pasar por alto una alerta o cometer otro error, para beneficio de un atacante.
Los actores maliciosos, después de todo, no ven a las organizaciones como un conjunto de silos independientes. Ven un único objetivo grande y cada vez más interconectado, donde una sola cuenta o máquina —una vez comprometida por credenciales filtradas u otro descuido— puede utilizarse para movimiento lateral o como punto de entrada para nuevas intrusiones entre distintos entornos.
El riesgo suele prosperar en los enmiendos en la infraestructura: los puntos donde termina la responsabilidad de un área y comienza la de otra, o donde esos límites se malinterpretan… hasta que el primer incidente serio obliga a hacer ajustes. En compañías de rápido crecimiento, ese límite se descubre con demasiada frecuencia de la peor manera. Muchas brechas de datos en la nube se remontan a faltas de buenas practicas de seguridad y a descuidos en la gestión de despliegues complejos, más que a sofisticados exploits zero‑day.
Según el Cloud Threat Horizons Report de Google para el segundo semestre de 2025, el compromiso de credenciales y las configuraciones incorrectas siguieron siendo los principales puntos de entrada para los atacantes en entornos de nube durante la primera mitad de 2025. La segunda mitad del año pasado mostró un giro interesante, según la edición H1 2026 del mismo informe publicada hace apenas unos días, ya que ambos vectores de acceso inicial fueron superados por exploits basados en software.
Mientras tanto, el costo de los incidentes sigue siendo elevado. El infome de IBM Cost of a Data Breach 2025sitúa el costo promedio de una brecha de datos que involucra múltiples entornos en US $5.05 millones, mientras que el costo promedio de una brecha que afecta “solo” a la nube pública no se queda lejos, con US $4.68 millones. Los costos legales y de cumplimiento, junto con la pérdida de reputación y de confianza de los clientes, terminan empeorando aún más el panorama.
Si la complejidad es el enemigo, la simplicidad debería ser el antídoto, verdad? No es tan sencillo; pocas empresas pueden permitirse renunciar a la flexibilidad y la rentabilidad que hicieron que la nube —en sus distintas variantes— fuera atractiva desde el principio. Ni deberían hacerlo. La ambición más realista es hacer que la complejidad sea legible y manejable, y esto comienza con la visibilidad. De manera preocupante, una encuesta de la Cloud Security Alliance encontró que solo el 23% de las organizaciones tiene visibilidad completa de sus entornos de nube.
Ahora me ves
A veces hay que decir lo obvio: no puedes asegurar lo que no puedes ver. Pero la visibilidad “en bruto” por sí sola no es suficiente. Sin contexto y correlación que ayuden a construir una visión completa, lo que obtienes es poco más que caos mejor iluminado. Se necesita una forma de imponer una política unificada a través de los entornos y luego hacer cumplir las reglas en diversos sistemas, incluidas las máquinas virtuales en múltiples nubes y las capas de identidad. Esta clase de unificación no hace que el entorno sea más pequeño, pero sí lo vuelve manejable y reduce la superficie de ataque.
Cuando cada intento de autenticación, inicio de proceso, conexión de red y modificación de archivos deja un rastro en algún lugar, el volumen de datos de telemetría puede ser abrumador. Por eso la automatización, aplicada cuidadosamente, importa tanto. Ayuda a cerrar las brechas donde los atacantes suelen moverse, contrarrestando la entropía que naturalmente aparece a medida que las redes crecen. Además, las tareas rutinarias y la correlación de telemetría proveniente de fuentes dispares quedan en manos de un sistema que no se cansa ni se distrae. Así, los operadores humanos pueden enfocarse en las partes de la respuesta a incidentes que sí requieren criterio humano.
La nube en sí misma no es el problema, por supuesto. En sistemas diseñados para escalar y cambiar, cierto grado de complejidad es inevitable, especialmente a medida que el negocio crece. Asegurar las cargas de trabajo en la nube depende de garantizar que, conforme tu infraestructura digital crece, también lo hagan tu visibilidad y tu control. De esa manera evitas aprender las lecciones verdaderamente duras a partir de incidentes.
