La seguridad en la nube hace referencia a la práctica de proteger la integridad de las aplicaciones, los datos y la infraestructura virtual basados en la nube.  El término se aplica a todos los modelos de despliegue en la nube (nube pública, nube privada, nube híbrida, multinube) y a todos los tipos de servicios y soluciones a la carta basados en la nube (IaaS, PaaS, SaaS).  En términos generales, con los servicios basados en la nube el proveedor de esta es el responsable de proteger la infraestructura subyacente, mientras que el cliente es el responsable de proteger las aplicaciones y los datos en la nube.

La nube es vulnerable a una variedad de amenazas

A pesar de las indudables ventajas que nos aportan los servicios basados en la nube, es necesario que apliques ciertas precauciones al utilizarlos para evitar problemas relacionados principalmente con la seguridad de la información y de la privacidad.

Uno de los aspectos en los que más han hecho énfasis los proveedores de servicios en la nube (CSP) es sin duda el de la seguridad. Compañías como Google, Amazon o Microsoft dedican colosales presupuestos para asegurar sus plataformas en la nube (Azure, Google Cloud o AWS. Sin embargo, a pesar de la seguridad de estos sistemas, los datos, aplicaciones y servicios que se implantan en estás plataformas no siempre están seguros y siguen siendo un objetivo muy interesante para los atacantes.

Los recursos y las cargas de trabajo en la nube están expuestos a una amplia variedad de amenazas de ciberseguridad, como las filtraciones de datos, el ransomware, los ataques DDoS y los ataques de phishing.

Los ciberatacantes pueden explotar las vulnerabilidades de la seguridad en la nube, utilizando credenciales robadas o aplicaciones comprometidas para perpetrar ataques, interrumpir servicios o robar datos confidenciales. Disponer de sistemas y prácticas de seguridad en la nube sólidos es fundamental para mantener la disponibilidad de las aplicaciones vitales para la empresa, proteger la información confidencial y garantizar el cumplimiento de la normativa.

De acuerdo con la Cloud Security Alliance (CSA), existen 10 principales riesgos a tomar en cuenta dentro de los servicios en la nube.

1. Mala configuración: Los delincuentes aprovechan las malas configuraciones en entornos de nube para atacar con programas de ransomware, criptomining, e-skimming y exfiltración de datos.
2. Violación de datos: Puede ser provocados por un ataque dirigido o el resultado de un error humano, así como vulnerabilidades y malas prácticas.
3. Vulnerabilidades de los sistemas: Son fallos explotables que los ataques pueden usar para infiltrarse en un sistema para robar datos, tomar el control o interrumpir el servicio.
4. Gestión de identidad y accesos deficientes: En la nube la gestión de identidad y accesibilidad son un reto, por ello, los ciberatacantes buscan hacerse pasar por usuarios legítimos para leer, modificar, eliminar datos, robar la información y más.
5. Amenazas internas y abuso de privilegios: Un usuario malintencionado, puede acceder a información confidencial y tener niveles crecientes de acceso a sistemas más críticos y, finalmente, a datos.
6. Robo de cuentas: Si los atacantes consiguen acceso a los datos de un usuario, pueden interceptar actividades y manipular datos, devolver información falsificada y redirigir a los usuarios a sitios engañosos.
7. Perdida de datos: Los datos en la nube se pueden perder por razones distintas: un ataque, un borrado accidental por el proveedor de servicios o una catástrofe.
8. Fallos en el servicio: los fallos no ocurren a menudo, pero por lo general son debido a un fallo de conexión de nuestros dispositivos, o errores de funcionamiento del proveedor de nube.
9. Ataques de denegación de servicio: Son diseños para detener máquinas o servicios y evitar que los usuarios puedan acceder a sus datos o aplicaciones.
10. Amenazas persistentes avanzadas: Son una forma de ataque en la que los ciberdelicuentes se infiltran para comprometer un sistema que albergue información valiosa.

Referencia: https://cloudsecurityalliance.org/