Configuraciones incorrectas en la nube: Las 10 brechas de seguridad más peligrosas en AWS y Azure

4 min de lectura

Las configuraciones incorrectas son, por segundo año consecutivo, la principal amenaza en la nube según la Cloud Security Alliance. Según IBM, causan el 15 por ciento de todas las violaciones de datos. Palo Alto Unit 42 documenta: el 76 por ciento de las organizaciones no exigen autenticación multifactor (MFA) para los usuarios de la consola. El 63 por ciento de los buckets de almacenamiento accesibles públicamente contienen datos sensibles. Esta guía práctica muestra las diez configuraciones incorrectas más peligrosas en AWS y Azure, y cómo los equipos de seguridad informática pueden detectarlas y corregirlas.

En resumen

• 🔒 Las configuraciones incorrectas en la nube causan el 15 por ciento de todas las violaciones de datos, con un coste medio de 4,88 millones de dólares (IBM 2024).
• ⚠️ El 76 por ciento de las organizaciones no exige MFA para los usuarios de la consola (Palo Alto Unit 42).
• 🛡️ Las intrusiones en la nube aumentaron un 26 por ciento en 2024. El abuso de cuentas válidas es el vector de acceso inicial número uno (CrowdStrike 2025).
• 📊 El 61 por ciento de las cuentas raíz no tienen MFA. El 81 por ciento tienen activos expuestos al público descuidados (Orca Security 2024).
• 🔧 Los estándares CIS y las herramientas CSPM permiten automatizar la verificación sistemática de configuraciones.

Por qué las configuraciones incorrectas son la número uno

La Cloud Security Alliance (CSA) clasifica las configuraciones incorrectas y el control inadecuado de cambios como la mayor amenaza para los entornos en la nube desde 2024. Por segundo año consecutivo. Las vulnerabilidades en IAM ocupan el segundo lugar. Gartner pronostica que para 2025, el 99 por ciento de los errores de seguridad en la nube serán causados por el cliente, no por el proveedor de servicios en la nube.

IBM confirma la magnitud en su informe Cost of a Data Breach Report 2024: las configuraciones incorrectas en la nube son responsables del 15 por ciento de todas las violaciones de datos, al mismo nivel que el phishing. El coste medio global por violación alcanzó en 2024 un récord histórico de 4,88 millones de dólares. Base: 604 organizaciones, 17 sectores, 16 países.

CrowdStrike documenta en su Global Threat Report 2025 que las intrusiones en la nube aumentaron un 26 por ciento. El vector de entrada más frecuente: el abuso de cuentas válidas, responsable del 35 por ciento de todos los incidentes en la nube en el primer semestre de 2024. Los atacantes no utilizan zero days. Aprovechan lo que los equipos de TI han dejado expuesto.

Fuentes: Informe IBM sobre el coste de una violación de datos 2024, Informe global de amenazas de CrowdStrike 2025

Las 10 configuraciones incorrectas más peligrosas

1. Permisos IAM demasiado amplios. Palo Alto Unit 42 descubrió, tras analizar 680.000 identidades en la nube, que el 99 por ciento de todas las identidades (usuarios, roles y servicios) tienen más permisos de los necesarios. El principio de mínimos privilegios casi nunca se aplica. Cada permiso innecesario representa un posible vector de ataque.

2. Falta de MFA para cuentas raíz y administrativas. Orca Security documenta que el 61 por ciento de las cuentas raíz o sus propietarios no tienen activada la autenticación multifactor. Unit 42 confirma que el 76 por ciento de las organizaciones no exigen MFA para los usuarios de la consola, y ni siquiera el 58 por ciento lo hace para cuentas raíz o administrativas. En combinación con ataques de phishing AiTM, esto equivale a dejar la puerta abierta.

3. Buckets de almacenamiento accesibles públicamente. Unit 42 documenta que el 63 por ciento de los buckets S3 accesibles públicamente contienen datos sensibles. El resultado: información de clientes, documentos internos y credenciales accesibles mediante una simple URL. En 2019, Capital One perdió los datos de 106 millones de clientes debido a una combinación de WAF mal configurada y permisos excesivos en S3.

4. Registro desactivado o incompleto. Sin CloudTrail (AWS), Azure Monitor o los registros de auditoría de Google Cloud Platform (GCP), se pierde la base fundamental para responder a incidentes. Si ocurre una violación y no existe ningún registro, no hay rastro forense. Los equipos de seguridad necesitan, según Unit 42, un promedio de 145 horas para resolver alertas de seguridad. Sin registros, ese tiempo se duplica.

5. Grupos de seguridad y NSGs abiertos. Orca Security informa que el 81 por ciento de las organizaciones tienen activos expuestos al público descuidados con puertos abiertos (80, 443, 8080, 22, 3389, 5900). Cada puerto abierto es un punto de entrada. RDP (3389) y SSH (22) en direcciones IP públicas son escaneados y atacados en cuestión de minutos.

«Para 2025, el 99 por ciento de los errores de seguridad en la nube serán causados por el cliente, no por el proveedor de servicios en la nube.»
Gartner (citado repetidamente en informes de IBM, CSA y Unit 42)

6. Bases de datos accesibles públicamente. Wiz documenta en su Cloud Data Security Report 2025 que el 72 por ciento de los entornos en la nube tienen bases de datos PaaS expuestas públicamente sin controles de acceso. Instancias de RDS, Cosmos DB o Cloud SQL que operan sin aislamiento de VPC o listas blancas de IP son accesibles para cualquiera.

7. Falta de cifrado en reposo. Los datos almacenados en S3, Azure Blob Storage o GCS sin cifrado en reposo son inmediatamente legibles tras una violación. AWS ofrece SSE-S3 como cifrado predeterminado desde 2023, pero los buckets antiguos y las claves gestionadas por el usuario suelen pasarse por alto. Lo mismo ocurre con los volúmenes EBS y los instantáneos de RDS.

8. Imágenes de contenedores sin parches. Unit 42 informa que el 63 por ciento de las bases de código en producción contienen vulnerabilidades sin parchear con una puntuación CVSS de 7.0 o superior. Wiz añade que el 12 por ciento de los contenedores están expuestos públicamente y, al mismo tiempo, son vulnerables a ataques conocidos. Las imágenes base obsoletas son la causa más común.

9. Falta de segmentación de red. Redes planas sin controles de emparejamiento de VPC ni aislamiento de subredes permiten el movimiento lateral. Si un atacante compromete una carga de trabajo, puede acceder a todos los recursos de la misma red sin segmentación. La estrategia Zero Trust ralentiza este movimiento, pero no lo detiene cuando se usan cuentas válidas.

10. Credenciales predeterminadas y claves API en el código. Claves de acceso de AWS, secretos de Service Principal de Azure o contraseñas de bases de datos codificadas directamente en repositorios Git. Una vez subidas, quedan visibles para siempre en el historial de commits. Escáneres automatizados buscan en tiempo real en GitHub credenciales expuestas.

Cómo los equipos de seguridad informática pueden realizar verificaciones sistemáticas

Estándares CIS como línea base. El Centro para la Seguridad de Internet (Center for Internet Security) publica estándares de configuración gratuitos para AWS, Azure y GCP. Definen comprobaciones concretas: ¿Está activado CloudTrail? ¿Se exige MFA para la cuenta raíz? ¿Son públicos los buckets de S3? AWS Security Hub integra directamente el CIS AWS Foundations Benchmark. Azure ofrece el Microsoft Cloud Security Benchmark como equivalente.

Herramientas CSPM para supervisión continua. El Cloud Security Posture Management (CSPM) verifica automáticamente las configuraciones frente a políticas y marcos de cumplimiento normativo. No de forma puntual, sino continua. Cada cambio se evalúa. Se detectan desviaciones. Opciones nativas: AWS Config Rules, Azure Policy, GCP Security Command Center. Proveedores especializados: Wiz, Prisma Cloud, Orca Security, Microsoft Defender for Cloud.

Escaneo de Infraestructura como Código (IaC). Prevenir configuraciones incorrectas antes de que lleguen a producción. Herramientas como Checkov, tfsec o Bridgecrew escanean Terraform, CloudFormation y plantillas ARM en busca de problemas de seguridad. Shift Left: la seguridad se integra en la pipeline CI/CD, no como auditoría posterior.

Conclusión: La superficie de ataque está en la configuración

Los proveedores de nube ofrecen infraestructura segura. Pero la configuración depende del cliente. Mientras el 76 por ciento no exija MFA, el 63 por ciento deje datos sensibles en buckets públicos y el 99 por ciento de las identidades tenga permisos excesivos, la configuración seguirá siendo el vector de ataque más sencillo. Las herramientas para su verificación existen. Los estándares CIS son gratuitos. El CSPM está integrado en todas las principales plataformas de nube. Lo que falta no es tecnología, sino disciplina.

Preguntas frecuentes

¿Qué es una configuración incorrecta en la nube?

Una configuración en AWS, Azure o GCP que se desvía de la configuración predeterminada segura o que abre una brecha de seguridad. Ejemplos: buckets de S3 accesibles públicamente, ausencia de MFA, permisos IAM excesivos. Según la CSA, la principal amenaza en la nube desde 2024.

¿Cómo encuentro configuraciones incorrectas en mi entorno?

Utilice los estándares CIS como lista de verificación, herramientas CSPM (AWS Config, Azure Policy, Wiz, Prisma Cloud) para supervisión automatizada, y escáneres de infraestructura como código (Checkov, tfsec) para prevenir errores en la pipeline CI/CD.

¿Cuánto cuesta una violación por configuración incorrecta?

Según el informe Cost of a Data Breach 2024 de IBM, una media de 4,88 millones de dólares. Las configuraciones incorrectas en la nube causan el 15 por ciento de todas las violaciones. Capital One pagó en 2020 una multa de 80 millones de dólares tras una violación provocada por recursos de AWS mal configurados.

¿Cuál es la configuración incorrecta más peligrosa?

Los permisos IAM excesivos. Según Unit 42, el 99 por ciento de todas las identidades en la nube tienen más permisos de los necesarios. Combinado con credenciales robadas (abuso de cuentas válidas, 35 por ciento de todos los incidentes en la nube según CrowdStrike), es la vía más directa hacia datos sensibles.

¿Bastan las herramientas nativas de seguridad en la nube?

Para empezar, sí. AWS Security Hub, Azure Defender for Cloud y GCP Security Command Center cubren lo esencial. Para entornos multi-nube, remediación automática y reportes de cumplimiento, se recomiendan soluciones CSPM especializadas como Wiz, Prisma Cloud u Orca Security.

Fuente de imagen: Pexels / Panumas Nikhomkhai

Sobre el autor: Benedikt Langer

Más artículos de Benedikt Langer