De la migración a la nube a la madurez en la gestión de incidentes

7 de octubre de 2025

La migración a la nube ha incrementado la exposición a ciberataques, lo que exige a las empresas fortalecer sus estrategias de gestión y respuesta ante incidentes para proteger sus infraestructuras y servicios. Este proceso requiere una preparación integral, detección avanzada, contención efectiva, erradicación completa y recuperación segura, adaptadas a las características específicas de los entornos en la nube.

______

En los últimos años los estudios confirman que los ataques a infraestructuras en nube han aumentado considerablemente, si a esto sumamos que muchas de las organizaciones han migrado toda su infraestructura en la nube, tenemos los ingredientes para una tormenta perfecta.

La migración a la nube ha traído múltiples beneficios para las empresas en cuanto a la capacidad de cómputo, servicios que brindan a sus empleados y clientes, capacidad de actualización y capacidad de mejora en sus sistemas. No obstante, muchas de estas migraciones se han realizado sin las debidas medidas de Ciberseguridad o sin los análisis correspondientes de las necesidades de ciberseguridad de los desarrollos de las aplicaciones.

Las amenazas han ido aumentando debido a la exposición permanente de la infraestructura, falta de control y de monitorización sobre estos servicios, puesta en producción de servicios sin validaciones de seguridad, y al uso de técnicas avanzadas de ataque y de tecnologías como la IA para perfeccionar y mejorar el impacto que esto puede generar por parte de los atacantes.

Por este motivo, es fundamental que las organizaciones entiendan la importancia de asegurar la migración a la nube o el despliegue de servicios en la nube, donde las implementaciones de seguridad deben tener en cuenta las características y los servicios propios de la nube, no es lo mismo implementar una Ciberseguridad para un modelo SaaS, que para un modelo PaaS o un modelo IaaS.

Los planes de respuesta de incidente deben ser revisados para hacer las adaptaciones que se requieran para cubrir la nueva arquitectura de los servicios y los riesgos que esta infraestructura conlleva.

Como conocemos la importancia de tener claros los pasos en una respuesta de incidentes, y la generación de los playbooks de cada una de las acciones que pueden suscitar una respuesta de incidentes y un plan maestro de respuesta incidentes, que incluya además de los servicios que se encuentran en la infraestructura física de las redes también los servicios en la nube.

Empecemos con la preparación

El primer paso de toda respuesta de incidentes. En esta fase, el objetivo que se debe plantear es establecer las capacidades, recursos, políticas y herramientas necesarias para responder eficazmente a incidentes de seguridad, teniendo en cuenta una superficie de ataque variable y componentes compartidos con terceras partes que no necesariamente controlamos.

  • Como siempre en los entornos de ciberseguridad, es fundamental iniciar con un inventario claro y una identificación de criticidad de los activos. Para los entornos en la nube, este paso implica un análisis profundo de los componentes (VMs, contenedores, buckets, APIs, identidades), una clasificación multidimensional que tenga en cuenta la sensibilidad de los datos y la dependencia operativa de los componentes, esto soportado con un etiquetado normalizado que brinde información clara de región, tenant y proveedor, entre otros.

    Para esto, herramientas de visibilidad con alta granularidad y herramientas especializadas en ciberseguridad en nube, como un CSPM (Cloud Security Posture Management), son un soporte tecnológico necesario que garantice una gestión del inventario dinámico y que, en integración con el SIEM (Security Information and Event Management), brinde alertas oportunas asociadas al inventario y activos calificados como críticos.
  • En complemento con este inventario, es tener un mapa de la superficie de ataque que documente todos los vectores de entrada de datos en la nube, contemplando interfaces públicas, APIs, credenciales, integraciones de terceros. Con lo cual, los equipos de defensa (Blue Team) pueden determinar los errores de configuración, analizar los permisos y la gestión de identidades y tener una identificación de los servicios habitualmente expuestos a los clientes.

    Para esto, la tecnología tiene varios servicios que pueden apoyar una correcta gestión del mapa de superficie de ataque, como puede ser el CWPP (Cloud Workload Protection Platforms) y servicios de Pentest persistente, con los cuales sea posible no solo la detección de errores en la superficie, sino la anticipación en la detección de amenazas que puedan surgir relacionadas a las características de los servicios expuestos.
  • En el momento de responder a un incidente cibernético, es fundamental tener claro los roles y las responsabilidades de todos los implicados, en conjunto con las matrices RACI de cada tipo de incidente que se vaya a manejar, se debe tener el soporte de los equipos de IT, de seguridad, apoyo legal, comunicaciones, desarrollo y un responsable de gestionar el incidente.
  • En ciberseguridad es importante que todo esté soportado con procedimientos y políticas específicas, las cuales definen elementos como la retención y cifrado de eventos o de datos, la implementación y soportes de respaldos y pruebas de restauración.

    Esta documentación y definiciones son la base para establecer la ventana de investigación que tendrá el equipo de respuesta de incidentes.
  • Ninguna actividad se aprende si no se practica, dentro de la preparación se debe tener en cuenta los ejercicios de entrenamiento de las personas, la tecnología y los procesos que se han establecido.

    Para cubrir este requerimiento existen sistemas de simulación o ejercicios de escritorio que plantean situaciones reales para validar todos los puntos anteriores.

Requerimientos para detectar amenazas en la nube

La detección de las amenazas tiene unas particularidades cuando se trata de la nube, pues lo que conocemos como frontera no existe, o más bien, la identidad se convierte en esa frontera que se tiene que asegurar, por lo que la detección debe tener en cuenta las siguientes capacidades técnicas:

  • Una telemetría unificada y completa de los componentes de la arquitectura, que no solo cubra las necesidades de seguridad, sino incluso las de funcionamiento de cada componente.

    Para este cubrimiento los sistemas multi-cloud son fundamentales y que puedan tener agentes incluso en los contenedores para garantizar esa visualización sobre el 100% de los componentes.
  • Siendo la frontera la identidad, la detección debe estar alineada al comportamiento del usuario o dispositivos, que generen el alertamiento basado en desviaciones del uso o funcionamiento cotidiano.

    Para este cubrimiento desarrollos tecnológicos como el UEBA (User and Entity Behavior Analytics), permite hacer esta analítica usando capacidades de Machine Learning.
  • Las alertas requieren ser contextualizadas con información de la identidad que la genera y datos de análisis de riesgos, esto permite que la calificación del riesgo identifique claramente si se tiene algún playbook ya configurado en el SOAR para desplegar la automatización o si requiere de la activación del DFIR.

Para una detección avanzada se recomienda que el sistema de monitorización reciba la mayor cantidad y calidad de información, como eventos de acceso, actividad de red, cambios en configuraciones, llamadas a APIs, entre otros. Y de las fuentes especializadas, como agentes CWPP, CSPM, firewalls cloud, herramientas de IAM.

Estamos en el incidente: es hora de contener

Limitar el avance de un ataque es una de las capacidades primarias de la respuesta de incidente, pero depende directamente de varios factores de la preparación y del entrenamiento del equipo. No obstante, algunas capacidades tecnológicas ayudan a cumplir con las expectativas usuales que se tienen con esta fase, miremos algunas que se deberían poder garantizar en arquitecturas en nube.

  • La capacidad de modificar la arquitectura de red es una virtud muy valorada y eficiente de la nube, pero es primordial en una respuesta de incidente, donde poder reconfigurar redes, cambiar grupos de seguridad y modificar políticas de acceso en tiempo real es la diferencia entre ver caer servicios y contener el desplazamiento del ataque.
  • Como hemos venido hablando que la identidad en la nueva frontera en la nube. Por ello, garantizar el manejo de las identidades en la contención, garantiza el limitar identidades comprometidas en segundos y no en horas, cambiando llaves de API, revocando tokens o inhabilitando sesiones activas.
  • La gestión de las cargas de trabajo e informes de CWPP, nos permiten suspender instancias o servicios comprometidos rápidamente, garantizando la disponibilidad en el servicio, pero lo más importante, el control de la propagación del ataque.

En cada proveedor de nube se pueden contratar servicios que cumplen con estas necesidades antes mencionadas, a través de un conjunto de soluciones o pueden ser gestionados por un sistema multi-cloud, al cual se pueden adicionar las capacidades de recolección de evidencia, que es fundamental para los equipos de forense y análisis de malware durante el incidente.

Ya seguros, empecemos a erradicar

Sin duda una de las fases más críticas de la respuesta de incidentes, pues es la que nos debe dar la tranquilidad de eliminar todos los artefactos maliciosos detectados, tener el control de todas las brechas explotadas, y asegurar que no queden amenazas que permitan la reactivación del ataque.

El proceso por seguir para la erradicación contempla un trabajo mancomunado de varios equipos, como el equipo de analistas forenses, el equipo de threat hunting y los equipos de administración de los dispositivos de monitorización y red. Para lo cual, algunas de las herramientas tecnológicas y procedimentales que pueden usar son:

  • Hay que confirmar que el análisis y detección de la amenaza se realizó sobre la totalidad de los elementos que componen la arquitectura de los servicios de nube, validando que el artefacto que generó la activación del DFIR no se encuentre en ninguno de los dispositivos.
  • El equipo de threat hunting debe desplegar campañas de escaneo profundo con el XDR, CWPP y cualquier otro elemento que les permita la identificación de las características del ataque que se está realizando, para prevenir una reinfección. Esta monitorización se inicia en esta fase, pero debe durar varios meses posteriores al cierre del incidente.
  • Se debe realizar un análisis exhaustivo de los elementos que se van a proceder a restaurar (buscar en imágenes, snapshot, discos y backup) cualquier rastro del ataque, para evitar subir algún elemento que les devuelva el control de nuevo a los atacantes.

La erradicación solo es efectiva si el equipo puede tener la certeza de que todas y cada uno de los artefactos usados por el atacante ha sido identificado, que el atacante no implementa variantes del malware o persistencias desconocida y que se han eliminado todos los componentes que permitirían una reinfección.

Podemos iniciar con la recuperación

El único objetivo de esta fase es la de volver a la operación normal de los servicios afectados, asegurando que el entorno esté libre de amenazas y que se mantiene la integridad de los datos. Lo cual no siempre es tan sencillo de cumplir, bien sea por los mismos efectos del ataque o por malas prácticas de la empresa en cuanto a la generación y pruebas de respaldos.

Todas las nubes proveen herramientas automatizadas de restauración y capacidades de toma de imágenes o de snapshots automatizados, por lo tanto, en esta fase cada elemento que haya sido analizado y calificado como limpio y apto para cargar, debe ser usado por una de esas herramientas para ejecutar la restauración.

Hora de analizar

La migración o generación nativa de servicios en la nube exige una nueva definición de las estrategias de respuesta de incidentes. Donde se tengan como prioridad las dinámicas de compartición, automatización y escalabilidad de la nube, las cuales requieren de capacidades específicas en cada fase de DFIR.

Por lo que la gran conclusión es que las empresas que están migrando a la nube, deben priorizar la implementación mecanismos desde la fase de diseño para evitar vulnerabilidades estructurales y debilidades en la respuesta de incidentes. Para el caso de empresas nativas cloud, tener y demostrar un nivel alto de madurez en la gestión de incidentes se convierte en un diferenciador competitivo.

Tener un plan de respuesta robusto no solo reduce el impacto operativo y financiero de una brecha, sino que fortalece la confianza de clientes, socios y reguladores en la resiliencia digital de la empresa.

La importancia de la Detección y Respuesta de Amenazas en el ámbito de la identidad