Tenable Research detecta errores de configuración generalizados en la nube que exponen datos y secretos críticos

Las configuraciones inseguras de la nube crean un riesgo generalizado, lo que pone de relieve la urgente necesidad de una gestión unificada de la exposición a la nube

Bogotá, 8 de julio de 2025.  Tenable®, la empresa de gestión de la exposición, ha publicado hoy su 2025 Cloud Security Risk Report. La investigación reveló que el 9% del almacenamiento en la nube de acceso público contiene datos sensibles, el 97% de los cuales están clasificados como restringidos o confidenciales. Estas exposiciones aumentan el riesgo de explotación, especialmente cuando se combinan con errores de configuración o secretos incorporados.

Los entornos en la nube se enfrentan a un riesgo drásticamente mayor debido a la exposición de datos sensibles, configuraciones erróneas, vulnerabilidades subyacentes y secretos mal almacenados, como contraseñas, claves de API y credenciales. El Informe de Riesgos de Seguridad en la Nube 2025 proporciona una inmersión profunda en los problemas de seguridad en la nube más destacados que afectan a los datos, la identidad, la carga de trabajo y los recursos de IA, y ofrece estrategias prácticas de mitigación para ayudar a las organizaciones a reducir proactivamente el riesgo y cerrar las brechas críticas.

Las principales conclusiones del informe son las siguientes:

• Los secretos encontrados en diversos recursos de la nube están poniendo en peligro a las organizaciones: Más de la mitad de las organizaciones (54%) almacenan al menos un secreto directamente en las definiciones de tareas de Elastic Container Service (ECS) de Amazon Web Services (AWS), lo que crea una vía de ataque directa. Se encontraron problemas similares entre las organizaciones que utilizan Google Cloud Platform (GCP) Cloud Run (52%) y los flujos de trabajo de Microsoft Azure Logic Apps (31%). Resulta alarmante que el 3,5% de todas las instancias de AWS Elastic Compute Cloud (EC2) contengan secretos en los datos de los usuarios, lo que supone un riesgo importante dado lo extendido que está el uso de EC2.
• La seguridad de las cargas de trabajo en la nube está mejorando, pero persisten las combinaciones tóxicas: Aunque el número de organizaciones con una «trilogía tóxica en la nube» -una carga de trabajo expuesta públicamente, críticamente vulnerable y altamente privilegiada- ha disminuido del 38% al 29%, esta peligrosa combinación sigue representando un riesgo importante y común.
• El uso de proveedores de identidad (IdP) por sí solo no elimina el riesgo: Aunque el 83% de las organizaciones de AWS están aplicando las mejores prácticas en el uso de servicios IdP para gestionar sus identidades en la nube, los valores predeterminados excesivamente permisivos, los derechos excesivos y los permisos permanentes siguen exponiéndolas a amenazas basadas en la identidad.

«A pesar de los incidentes de seguridad que hemos presenciado en los últimos años, las organizaciones siguen dejando activos críticos en la nube, desde datos sensibles hasta secretos, expuestos a través de errores de configuración evitables», afirmó Ari Eitan, Director de Investigación de Seguridad en la Nube de Tenable.

«El camino para los atacantes suele ser sencillo: explotar el acceso público, robar secretos incorporados o abusar de identidades con privilegios excesivos. Para colmar estas lagunas, los equipos de seguridad necesitan una visibilidad total de sus entornos y la capacidad de priorizar y automatizar la corrección antes de que las amenazas se intensifiquen. La nube exige una gestión de riesgos continua y proactiva, y no parches reactivos». El informe refleja los hallazgos del equipo de Tenable Cloud Research basados en la telemetría de cargas de trabajo en diversos entornos empresariales y de nube pública, analizados desde octubre de 2024 hasta marzo de 2025.