La mayoría de las organizaciones aún carecen de controles básicos de seguridad de identidad en la nube, lo que las expone a filtraciones, fallos de auditoría e infracciones de cumplimiento. Un nuevo análisis comparativo de mitad de año de Unosecur reveló que casi todas las empresas analizadas presentaban al menos un problema de alto riesgo, con un promedio de 40 fallos de control por organización.
El informe analizó datos de escaneo de diagnóstico de 50 empresas en diferentes industrias y regiones entre enero y junio de 2025. A diferencia de los estudios basados en encuestas, los hallazgos se basan en verificaciones de control directo alineadas con estándares como ISO 27001/27002 , PCI DSS y SOC 2. El objetivo: brindar una visión reproducible de dónde fallan las prácticas de identidad en la nube y cómo solucionarlas.
El cambio en el porcentaje de participación podría reflejar en parte una menor cobertura de escaneo. Lo que los datos nos indican es simple: si su empresa opera en cualquiera de estas tres plataformas, tendrá un registro claro de las infracciones de cumplimiento más comunes. Para las empresas multicloud, estos datos refuerzan que no todos los entornos conllevan el mismo riesgo. Suponer que sí lo tienen podría dejar graves brechas sin abordar, afirmó Santhosh Jayaprakash , director ejecutivo de Unosecur.
Los datos muestran que muchas organizaciones siguen descuidando las protecciones fundamentales. El problema más común fue la falta de MFA en las cuentas de administrador. Otras deficiencias frecuentes incluyeron roles con privilegios excesivos, claves de cuentas de servicio de larga duración y una separación de funciones deficiente. Tan solo cuatro categorías de problemas —la falta de MFA, el acceso excesivo, las credenciales obsoletas y las claves de equipo no administradas— representaron el 70 % de los hallazgos de alta gravedad.
“La falta de MFA y el exceso de privilegios no son amenazas de vanguardia”, señala el informe. “Son puertas abiertas que los equipos de ransomware y los auditores detectan primero”.
Cada una de las diez principales fallas identificadas en el benchmark tiene una clara consecuencia para la seguridad. Por ejemplo, la falta de MFA en las cuentas de administrador podría permitir que una sola contraseña suplantada comprometa todo un entorno de nube. Las claves que no se rotan y las cuentas de servicio con amplios permisos pueden proporcionar acceso no autorizado a largo plazo.
También se destacaron las tendencias específicas de la nube. En AWS, muchos usuarios aún operan sin MFA. Los inquilinos de Google Cloud suelen depender de roles de TokenCreator para todo el proyecto, lo que permite la creación de tokens de forma generalizada. Se observó que los clientes de Azure dejaban abiertos los roles de «Propietario» o «Colaborador» en todas las suscripciones, lo que aumentaba el riesgo de uso indebido.
Una higiene de identidad deficiente no solo aumenta el riesgo de seguridad, sino que también crea dificultades durante las auditorías y eleva los costos del seguro cibernético . Por el contrario, las organizaciones que implementan cuatro controles clave, como la MFA privilegiada, la elevación de acceso justo a tiempo, las claves de corta duración y las credenciales de equipo almacenadas en bóveda, presentan menos hallazgos de auditoría y se benefician de un posicionamiento más sólido en las ventas empresariales.
La presión regulatoria también está aumentando. A principios de 2025, los nuevos requisitos de los marcos DORA y eIDAS 2.0 de la UE, la Ley de Protección de Datos Personales Digitales de la India y las políticas de confianza cero de EE. UU. impulsaron una gobernanza de la identidad más sólida. Algunas leyes ahora también abordan el uso indebido de la identidad mediante IA, incluyendo las falsificaciones profundas utilizadas para cometer fraudes.
Fuente y redacción: helpnetsecurity.com
