Si algo deja claro el informe de Tenable es que la nube no es intrínsecamente insegura, pero tampoco es el bálsamo todopoderoso que muchos vendedores han pintado. La verdEn un mundo donde las empresas confían cada vez más en la nube para almacenar datos sensibles y gestionar cargas de trabajo críticas, el reciente Tenable Cloud Security Risk Report 2025 llega como un baldazo de agua fría. El informe revela cifras alarmantes que deberían hacer reflexionar a toda la industria sobre cuán lejos estamos realmente de un entorno cloud seguro.
Datos confidenciales expuestos: el 9% de la nube está en riesgo
Según Tenable, el 9% del almacenamiento público analizado contiene datos sensibles, y lo más preocupante es que el 97% de esa información se clasifica como restringida o confidencial. Es decir, credenciales, información personal identificable (PII) y otros activos críticos que podrían ser un festín para los ciberatacantes.
¿Estamos frente a un exceso de confianza en la “magia” de la nube? El informe sugiere que muchas organizaciones asumen que las medidas de seguridad por defecto de los proveedores como AWS, Azure o GCP son suficientes, cuando en realidad son apenas un punto de partida.
Los secretos mal guardados: un pase libre para los atacantes
El dato que más escalofríos provoca: el 54% de las organizaciones que usan AWS ECS tienen al menos un secreto (como claves API o tokens) embebido en sus configuraciones. En GCP Cloud Run la cifra es similar, con un 52%, y Azure no se salva, con un 31%. Estos descuidos abren la puerta a que cualquier intruso con acceso inicial pueda moverse lateralmente y comprometer todo el entorno.
¿Acaso olvidamos que la responsabilidad de proteger estos datos sigue siendo nuestra y no del proveedor cloud? La falacia del “shared responsibility model” como algo automático está costando caro.
IA en la nube: el nuevo campo minado
La fiebre por la inteligencia artificial ha llevado a muchas empresas a desplegar cargas de trabajo de IA en la nube, pero según Tenable, el 70% de estos entornos tienen al menos una vulnerabilidad crítica sin parchear. Peor aún, el 77% de las organizaciones que usan Vertex AI Workbench en Google Cloud configuraron sus notebooks con cuentas de servicio sobreprivilegiadas.
Esto no solo aumenta el riesgo de acceso no autorizado, sino que también podría derivar en manipulación de modelos o filtraciones masivas de datos de entrenamiento.
Una industria que prioriza la rapidez sobre la seguridad
Lo que el informe expone va más allá de fallos técnicos: muestra una cultura corporativa donde el “go to market” rápido y la innovación a cualquier costo han relegado la ciberseguridad a un segundo plano. ¿Es sostenible seguir desplegando servicios cloud sin una gobernanza estricta de datos y secretos?
Incluso con avances como la adopción de Identity Providers (IdP) en el 83% de las organizaciones que usan AWS, Tenable advierte que esto no basta. Los accesos sobreprivilegiados, las contraseñas mal gestionadas y la falta de MFA siguen siendo eslabones débiles.
¿Estamos preparados para el próximo ataque?
Si algo deja claro el informe de Tenable es que la nube no es intrínsecamente insegura, pero tampoco es el bálsamo todopoderoso que muchos vendedores han pintado. La verdadera pregunta es: ¿seguirán las empresas actuando como si estos riesgos no fueran con ellas hasta que la próxima brecha las obligue a despertar?
La nube no es el problema. La complacencia, sí.adera pregunta es: ¿seguirán las empresas actuando como si estos riesgos no fueran con ellas hasta que la próxima brecha las obligue a despertar?
La nube no es el problema. La complacencia, sí.
