América latina enfrenta una encrucijada crítica en la gestión de su seguridad digital. Mientras las empresas adoptan masivamente entornos híbridos y de nube múltiple, persisten fallas fundamentales que son ahora magnificadas por el despliegue acelerado de la Inteligencia Artificial (IA).
Un reciente informe, basado en la opinión de más de 1.000 profesionales de tecnologías de la información (TI) y seguridad, revela que la complejidad inherente a la nube híbrida se ha convertido en el principal vector de riesgo, con las identidades comprometidas como la puerta de entrada más frecuente para los atacantes.
La complejidad de la nube, el principal talón de Aquiles
El 82% de las organizaciones opera hoy con infraestructuras híbridas, y un 63% gestiona múltiples proveedores de nube. Esta fragmentación genera una «complejidad sin precedentes» que, según me explicó Alejandro Dutto, director de ingeniería de seguridad de la empresa Tenable para América latina, se traduce en tres desafíos críticos para la región:
- Visibilidad fragmentada y falta de contexto: Los equipos de seguridad manejan herramientas aisladas, impidiendo una visión unificada del riesgo que cruza las fronteras entre los entornos on-premises y las distintas nubes.
- Gestión inconsistente de identidades: La administración de permisos y accesos se vuelve desigual entre plataformas, creando agujeros de seguridad.
- Dificultad en la aplicación de políticas: La implementación de estándares de seguridad uniformes es una tarea titánica en infraestructuras heterogéneas.
El riesgo más significativo no reside en las vulnerabilidades de hardware o software per se, sino en el abuso de identidades y permisos inseguros. De hecho, este factor es citado por el 59% de los encuestados como la causa directa de las brechas de seguridad relacionadas con la nube.
De la conformidad a la madurez de identidades
Ante esto, la mera adopción de medidas básicas como la autenticación multifactor (MFA) o el inicio de sesión único (SSO) ya no es suficiente.
El camino hacia la madurez requiere que las organizaciones implementen un gobierno de identidad robusto que evalúe y controle los permisos de forma dinámica.
Esto implica no solo mapear a los usuarios, sino también a las identidades no humanas (cuentas de servicio, cargas de trabajo de IA) y aplicar el principio de mínimo privilegio mediante mecanismos como el acceso «justo a tiempo» o «justo lo necesario». El objetivo es migrar de una conversación de simple cumplimiento a una gestión proactiva basada en la reducción del riesgo real.
El efecto amplificador de la inteligencia artificial
La IA, que ya es utilizada activamente por el 55% de las empresas para sus necesidades de negocio, introduce un nuevo riesgo paradójico: el 34% de las organizaciones con cargas de trabajo de IA ya sufrió una vulneración vinculada a esta tecnología.
El experto de Tenable aclaró un concepto clave: esta alta tasa de incidentes no se debe a los riesgos «nativos» de la IA, como la inyección de prompt, sino a la amplificación de problemas clásicos de la nube, como las credenciales expuestas, los permisos excesivos y las configuraciones erróneas.
«La IA no introduce una superficie completamente distinta, sino que amplifica las vulnerabilidades existentes,» explicó Dutto. Las cargas de IA suelen manejar datos altamente sensibles, haciendo imprescindible aplicar los mismos controles probados en la nube —segmentación, gobierno de identidad, control de versiones— antes de abordar los riesgos específicos de los modelos y los datos.
En este contexto, el cumplimiento normativo, como la ley de IA de la Unión Europea (UE) o el marco NIST AI RMF, es un buen inicio (51% lo usa como medida principal), pero debe ser visto como un piso y no como un techo.
La seguridad robusta exige incorporar controles propios de ingeniería, como la seguridad en el ciclo de vida de MLOps (DevSecOps aplicado a IA), y realizar pruebas de robustez y «adversarial testing» de los modelos.
La brecha de conocimiento en la alta dirección
Un factor que obstaculiza el avance en la región es la brecha de conocimiento en el liderazgo: el 31% de los ejecutivos no comprende suficientemente los riesgos de la seguridad en la nube.
Esta desconexión se traduce en presupuestos limitados y en una tendencia a enfocarse en la continuidad mínima en lugar de la mejora estructural.
Para superarlo, el CISO moderno debe traducir la seguridad al lenguaje del riesgo corporativo. En lugar de reportar la frecuencia de incidentes (KPI reactivos), se deben adoptar métricas proactivas que demuestren el valor de la inversión, tales como:
- Porcentaje de activos críticos con rutas de ataque cerradas.
- Reducción en el número de identidades con privilegios excesivos.
- Tiempo promedio para corregir vulnerabilidades explotables.
En conclusión, la madurez en ciberseguridad para la nube híbrida y la IA exige un reajuste estratégico urgente. Las organizaciones latinoamericanas deben abandonar la lógica de la respuesta ante incidentes y adoptar una estrategia proactiva, basada en la gestión unificada de la exposición, entendiendo la seguridad no como un freno, sino como un factor de confianza y crecimiento sostenible.
Nota de R.: este artículo acerca de la seguridad en la nube fue publicada originalmente en iProfesional.
Si te gustó o sirvió algo que publiqué, te ofrezco dos alternativas para agradecer y permitir la continuidad de mi trabajo en Bahía César:
Te invito a suscribirte gratis al boletín semanal de Bahía César para recibirlo en tu correo electrónico. Ingresa tu e-mail aquí.
