Guillem Alsina Gonzàlez
Según publica Phil Muncaster en Infosecurity Magazine, desde ReliaQuest (compañía dedicada a la ciberseguridad que ofrece servicios de detección de amenazas, investigación y respuesta) advierten de un incremento de los ciberataques en entornos cloud, impulsados por carencias en la capa de identidad y por la propagación de vulnerabilidades antiguas en despliegues modernos.
ReliaQuest cifra en el 44% las alertas confirmadas con origen en debilidades de identidad en el tercer trimestre de 2025, un apartado que abarca permisos excesivos, roles mal configurados y abuso de credenciales.
Según el informe, los actores maliciosos se están centrando en las identidades porque las claves y credenciales de acceso a la nube suelen almacenarse de manera insegura y terminan en mercados clandestinos. Estas credenciales se venden por importes que parten de los dos dólares, lo que facilita accesos legítimos sin activar alarmas internas.
El problema se agrava porque ReliaQuest señala que el 99% de las identidades en la nube están sobreaprovisionadas (término que significa que disponen de mayores privilegios y posibilidades de lo que en realidad necesitan), lo que habilita escalamientos de privilegios una vez dentro. En organizaciones que gestionan miles de identidades entre AWS, Azure, Google Cloud y aplicaciones SaaS, el alcance potencial de estas intrusiones es amplio.
ReliaQuest también subraya los riesgos derivados de prácticas deficientes de DevOps. En su análisis, la capacidad de desplegar infraestructura bajo demanda —una de las ventajas del cloud— puede convertirse en una fuente de riesgo sistémico si no se corrige a tiempo: plantillas antiguas con un único fallo pueden replicar ese error en nuevos servidores, contenedores o funciones serverless en cuestión de minutos.
Cuando este ciclo se repite a diario, se crean activos a un ritmo que supera la capacidad de los equipos de seguridad para escanear y remediar manualmente. Desde ReliaQuest atribuyen el 71% de las alertas críticas de vulnerabilidades gestionadas en el periodo a solo cuatro CVE publicados en 2021, lo que evidencia la persistencia de problemas conocidos y la acumulación de aquellos pendientes de corrección.
Qué debe hacer el sector
El informe plantea líneas de actuación para reducir el riesgo. En primer lugar, propone eliminar las claves estáticas de AWS para usuarios humanos y sustituirlas por credenciales de corta duración generadas mediante AWS Security Token Service (STS).
En paralelo, recomienda reforzar el principio de mínimo privilegio mediante herramientas de gobierno de permisos en la nube (CIEM), como AWS IAM Access Analyzer, GCP IAM Recommender y Microsoft Entra Permissions Management, con el objetivo de recortar el exceso de permisos y contener eventuales escaladas.
Finalmente, insiste en integrar controles automáticos en las canalizaciones de desarrollo (CI/CD) —por ejemplo, con análisis estático— para bloquear vulnerabilidades y configuraciones erróneas antes de que lleguen a producción.
