Una de cada 4 empresas experimentó al menos una exfiltración de datos en la nube en el último año

Qualys, Inc., proveedor de soluciones de seguridad, TI y cumplimiento en la nube, ha hecho público el informe “Cloud & SaaS Security in 2025: Getting Ahead of the Breach” en el que la compañía analiza las impresiones de más de 100 profesionales de la ciberseguridad sobre riesgos y vulnerabilidades en la nube y plataformas SaaS. Según los datos del informe, el 28% de las organizaciones experimentaron al menos una exfiltración de datos en alguno de estos entornos en el último año. De entre ellas, el 36% sufrieron múltiples filtraciones.

“La imagen que emerge es clara”, asegura Sergio Pedroche, Country Manager de Qualys Iberia. “El ritmo de la adopción de tecnologías cloud-native, desde servicios de IA hasta aplicaciones en contenedores, está superando la capacidad de las organizaciones para gestionar los riesgos de seguridad”.

La investigación se ha basado en una encuesta a 101 profesionales de seguridad y TI familiarizados con los entornos cloud y las aplicaciones SaaS, entre ellos cargos directivos como CIOs, CSOs, CISOs, responsables de privacidad y otros perfiles de TI como DevSecOps, gestión corporativa, personal de Operaciones o administración de redes, de más de 20 sectores diferentes, incluyendo tecnología, AAPP, servicios, banca y finanzas, sanidad, educación o fabricación, entre otros. Para la elaboración del informe, la Unidad de Investigación de Amenazas de Qualys (TRU) ha correlacionado las respuestas con su propia telemetría, y los hallazgos resaltan un patrón de desafíos recurrentes: configuraciones incorrectas, activos expuestos a internet, amenazas persistentes de ransomware y desviaciones en el cumplimiento.

La investigación también descubrió que una amplia mayoría de los encuestados (60%) utilizan dos o más herramientas de seguridad cloud/SaaS para gestionar sus sistemas, lo que dificulta la gestión y genera una mayor probabilidad de brechas. Algo que empeora a medida que la transformación digital y la IA ganan protagonismo, pero a su vez presenta una oportunidad para el canal integrador.

El informe de Qualys y Dark Reading revela que algunos de los problemas más comunes fueron debidos a la configuración incorrecta de recursos de Azure, AWS y Google Cloud. En otros casos se debe a la falta de cifrado en máquinas virtuales (VM) públicas. Los clientes, asimismo, reconocen la falta de personal cualificado, una visibilidad limitada y dificultades para gestionar la complejidad de los incidentes.

Tres hallazgos clave

1. Daños desde dentro. A pesar del aumento en la sofisticación de las tácticas de los atacantes, el riesgo número uno sigue siendo el error humano. Por ejemplo, a principios de 2024, un error de configuración en bucket en AWS S3 (habitualmente utilizados para almacenar datos empresariales confidenciales o críticos) provocó la exposición de más de 4.600 pasaportes. De hecho, como pone de manifiesto el informe de Qualys, nada menos que un 99% de las máquinas virtuales no cumplen con los requisitos de eliminación mediante autenticación MFA en buckets críticos de AWS S3. Ante esta situación, los expertos de Qualys recomiendan una gestión proactiva de las configuraciones con un escaneo continuo, apoyado por la aplicación de políticas (por ejemplo, CIS Benchmark), junto con la educación de los usuarios sobre los riesgos del phishing para reducir la superficie de ataque.
2. Falta de capacidad en la respuesta ante incidentes. Los entornos cloud-native han introducido nuevas variables (contenedores, cargas de IA, redes multi-cloud) que acaban por desbordar los planes estándar de respuesta ante incidentes (IR). Por ejemplo, en un reciente análisis sobre un ataque de extorsión en la nube, los analistas de Qualys descubrieron que se habían utilizado claves API para exfiltrar datos sensibles evadiendo las detecciones estándar. A fin de atajar esta amenaza, los expertos de Qualys recomiendan a los equipos de seguridad que piensen como los atacantes, mapeando posibles rutas de explotación e integrando manuales de respuesta en las bases de conocimiento sobre riesgos. En este sentido, el informe explora cómo se puede adoptar esta mentalidad a través de la automatización y la remediación guiada.
3. Aplicaciones Web y Contenedores: la “paradoja del cloud”. Los contenedores aumentan la comunicación entre procesos, amplían la exposición a la red y generan cambios rápidos en el ciclo de vida, lo que ha hecho que los controles tradicionales sean inútiles. Por ejemplo, los analistas de Qualys descubrieron recientemente puertos de Docker expuestos en entornos de producción, con errores que a menudo provienen de prácticas de desarrollo y pruebas. Si a esto le sumamos el uso generalizado de plataformas de terceros, el resultado es una superficie de ataque que crece y que cambia constantemente. El informe de Qualys profundiza en estrategias prácticas para proteger los contenedores y aplicar políticas antes de que las cargas de trabajo entren en producción.

“Los entornos cloud modernos son cada vez más complejos, dinámicos y ,si se administran mal, peligrosos; desde configuraciones incorrectas en infraestructuras como código hasta carencias en la respuesta o puntos ciegos en los contenedores, los riesgos son evidentes”, explica Sergio Pedroche. “Este informe ofrece una visión precisa sobre cómo los equipos de seguridad pueden comprender mejor —y actuar sobre— su exposición al riesgo en la nube y plataformas SaaS”.