Nuevo informe de Tenable: De qué manera la complejidad y la seguridad deficiente de la IA ponen en riesgo los entornos en la nube

Empecemos por las malas noticias: mientras las organizaciones adoptan con entusiasmo la nube y la IA, muchas de ellas no cuentan con las protecciones adecuadas de ciberseguridad, lo que crea una brecha peligrosa. 

¿Cuáles son las buenas noticias? Estas organizaciones pueden controlar las amenazas de la IA y la nube si adoptan una seguridad preventiva y obtienen una visibilidad unificada a lo largo de todo su entorno.

Esa es la principal conclusión del nuevo informe de investigación "The State of Cloud and AI Security 2025" (Panorama de la seguridad en la nube y en IA 2025), encargado por Tenable y desarrollado en colaboración con Cloud Security Alliance.

Analicemos los principales hallazgos del informe y lo que puede hacer al respecto.

La superficie de ataque moderna es extensa y se encuentra fragmentada

Esta es la nueva realidad para los equipos de seguridad: su tarea es proteger un entorno enorme y complejo, que está distribuido entre las instalaciones y múltiples proveedores de nube, con nuevas herramientas de IA que aparecen por todos lados.

En el informe, con base en una encuesta global a 1025 profesionales de TI y seguridad, se revelan los siguientes hallazgos:

• El 82 % trabaja en entornos híbridos
• El 63 % usa dos o más proveedores de nube
• El 55 % ya utiliza la IA, mientras que el 34 % restante la prueba

En síntesis, las organizaciones están entusiasmadas con la nube y la IA, pero, en muchos casos, sus estrategias de seguridad en la nube no son suficientes para proteger esta superficie de ataque tan amplia y dispersa. 

Analicemos algunos de los obstáculos clave.

Gestión de identidades y acceso deficiente

Muchas organizaciones utilizan métodos básicos de protección para la gestión de identidades y acceso (IAM). Esto se convierte en un problema, pues son las identidades las que definen el perímetro de seguridad en estos entornos sin límites y heterogéneos. 

Nada menos que el 59 % de los encuestados considera que las identidades poco seguras y los permisos de alto riesgo son su mayor amenaza de seguridad. Además, citaron tres problemas relacionados con la identidad como parte de las cuatro causas principales de sus vulneraciones en la nube:

• Permisos excesivos, tales como cuentas o roles con demasiados privilegios (31 %)
• Controles de acceso incoherentes a lo largo de todos los entornos de nube (27 %)
• Prácticas deficientes de gestión de identidades, tales como la falta de autenticación multifactor (27 %)

Cuando se les preguntó por los mayores retos de seguridad en la nube, el 28 % de los encuestados respondió que sus equipos de nube y de IAM no están de acuerdo; y el 21 % reconoció que tienen dificultades para aplicar el acceso de privilegio mínimo. 

Otro problema: los métodos para monitorear el riesgo de identidad que usan las organizaciones son muy básicos y tienen pocas métricas para detectar problemas, tales como el mal uso de privilegios o accesos anormales.

"Los datos presentan un panorama en el que la identidad es, por un lado, una amenaza ampliamente reconocida y, por el otro, una disciplina aún en desarrollo en cuanto a su gestión segura", se indica en el informe. 

Para reforzar la seguridad de IAM, en el informe se recomienda lo siguiente:

• Reorganización de programas y sistemas de IAM
• Mejora de la coordinación entre los equipos de nube y de IAM
• Transición hacia indicadores más dinámicos del riesgo y la resiliencia de identidades

¡Mira, mamá, sin manos! Avanzamos a toda velocidad con la IA, pero sin los controles de seguridad necesarios

Como el 89 % de las organizaciones utiliza la IA (55 %) o la pone a prueba (34 %), los equipos de ciberseguridad se esfuerzan por proteger estos sistemas: de hecho, el 34 % ya sufrió una vulneración relacionada con la IA.

"Las organizaciones avanzan rápidamente para implementar la IA, pero aún les falta comprender dónde residen los riesgos y cómo mitigarlos", se indica en el informe.

Para empezar, los equipos de seguridad se centran en los problemas erróneos. Están enfocados en las amenazas que recién aparecen, como la manipulación de los modelos de IA, cuando en realidad deberían prestarles atención a los culpables de siempre en ciberseguridad: software sin actualizar, amenazas internas, configuraciones incorrectas y credenciales con autenticación deficiente.

"Esta falta de alineación sugiere que muchos programas de seguridad ven a la IA como algo completamente novedoso, en lugar de aplicar principios ya comprobados de seguridad en la nube y de identidades a estos nuevos sistemas", se indica en el informe.

^{(Fuente: informe "The State of Cloud and AI Security 2025" [Panorama de la seguridad en la nube y en IA 2025], encargado por Tenable y desarrollado en colaboración con Cloud Security Alliance)}

Otros puntos deficientes: seguridad reactiva, brecha de habilidades

En el informe, se detallan otros obstáculos de seguridad en la nube y en IA, incluyendo lo siguiente:

• La brecha de habilidades: alrededor de un tercio de los encuestados indicó que la falta de experiencia es su mayor reto, lo cual conduce a estrategias confusas, presupuestos limitados y a que los ejecutivos no entiendan bien los riesgos de la nube.
• Una postura de seguridad reactiva: el indicador clave de rendimiento (KPI) más medido por los encuestados es la frecuencia y gravedad de los incidentes de seguridad (43 %). Este es un abordaje es reactivo que prioriza la respuesta a las crisis en lugar de prevenir los riesgos de forma proactiva. Esta es una estrategia errónea, ya que la mayoría de las vulneraciones en la nube y en IA se pueden evitar.

¿Cómo lo solucionamos?

El informe representa un llamado de atención para los equipos encargados de la seguridad en la nube y en IA. Los presiona a cambiar de estrategia: dejar de usar herramientas fragmentadas, mejorar la gestión de identidades y abandonar la mentalidad reactiva.

De hecho, algunos encuestados ya van en la dirección correcta, por ejemplo, mediante el uso de la gestión de exposición (58 %) para monitorear la seguridad y priorizar riesgos de forma unificada; y la gestión de la postura de seguridad en la nube (57 %).

^{(Fuente: informe "The State of Cloud and AI Security 2025" [Panorama de la seguridad en la nube y en IA 2025], encargado por Tenable y desarrollado en colaboración con Cloud Security Alliance)}

En el informe se recomienda lo siguiente: 

• Visión unificada: contar con controles y visibilidad integrados es la base para gestionar la complejidad a lo largo de las cargas locales de trabajo, en la nube y en IA.
• Optimización de la seguridad de identidades: reforzar el gobierno de identidad para todos los usuarios y sistemas que necesitan acceso.
• Enfoque en la prevención, no solo en la reacción: adoptar un enfoque de seguridad proactiva es clave para anticiparse a las amenazas en constante evolución.

"La madurez de la seguridad depende de la alineación estratégica y de la planificación basada en el riesgo. Las organizaciones que vayan más allá de las soluciones puntuales y las operaciones reactivas estarán mejor equipadas para proteger los entornos en evolución de la nube y la IA", se indica en el informe.

Para obtener la información completa sobre la seguridad en la nube y en IA, descargue el informe "The State of Cloud and AI Security 2025" (Panorama de la seguridad en la nube y en IA 2025) hoy mismo.