Durante la carrera hacia la nube se vendió una promesa atractiva: menos preocupaciones operativas y, de paso, seguridad que “ya vendría incluida”. La realidad ha resultado más compleja. Infraestructuras que cambian a cada minuto, APIs superpuestas, despliegues efímeros en contenedores y entornos multinube han creado huecos de visibilidad que los equipos de seguridad no pueden ignorar.
La seguridad en la nube no se arregla por arte de magia; exige visibilidad. Cuando las herramientas de protección en los endpoints fallan en detectar técnicas avanzadas o los atacantes desactivan sensores locales, el tráfico de red se convierte en un testigo independiente y, frecuentemente, en la única manera de reconstruir qué ocurrió. Organizaciones y expertos llevan años recordando que los principios de defensa en red siguen estando vigentes incluso en arquitecturas modernas: ver el tráfico permite detectar anomalías que los logs fragmentados no muestran.
Un obstáculo recurrente es la heterogeneidad de los registros nativos de cada proveedor: campos distintos, estructuras incompatibles y volúmenes masivos de llamadas a APIs dificultan la estandarización y el análisis. Por eso muchos equipos encuentran valor en la telemetría de red como “denominador común”: los metadatos y flujos de red son, en esencia, comparables entre proveedores y, además, son algo que los analistas de seguridad ya saben interpretar con rapidez. Añadir contexto de inventario en la nube —cuentas, proyectos, VPC/VNet, etiquetas de clúster o pod— transforma esos flujos en señales con significado y facilita la investigación.
Para capturar esa evidencia de forma confiable existen mecanismos bien documentados por los grandes proveedores. Las VPC Flow Logs de AWS y su función de tráfico espejo (traffic mirroring), el equivalente en Google Cloud para registros de flujo de VPC y las capacidades de Network Watcher de Azure son piezas concretas que permiten obtener tanto visión amplia como profundidad de paquete cuando es necesario. Puedes revisar las guías oficiales de AWS (VPC Flow Logs, Traffic Mirroring), de Google Cloud (VPC Flow Logs) y de Microsoft Azure (Network Watcher NSG Flow Logs).
La detección basada en red (NDR) emerge como una solución práctica para unificar y normalizar esa telemetría entre nubes y entornos on‑premise. Un enfoque NDR bien integrado agrega enriquecimiento contextual y expone patrones de comunicación que indican exfiltración, command & control, criptominería o movimientos laterales dentro de clústeres. Además, la recolección por espejo de tráfico y taps virtuales es mucho menos susceptible a la manipulación por un atacante que haya logrado privilegios en un host.
¿Qué comportamientos deben preocupar a un equipo de defensa? Comunicaciones salientes inusuales hacia puertos o protocolos atípicos, picos repentinos de transferencia desde un servicio que debería ser estable, actividad interactiva dentro de contenedores de producción (como sesiones SSH o RDP que no deberían existir en ambientes inmutables), accesos a APIs o regiones desconocidas y señales de descubrimiento entre servicios son todos indicios relevantes. En muchos casos estos rastros son los que permiten conectar una intrusión con su vector inicial, por ejemplo una imagen de contenedor comprometida o un paquete malicioso introducido en la cadena de suministro —un riesgo que autoridades como la CISA han señalado como crítico para las organizaciones modernas—.
La buena noticia es que el camino para operacionalizar visibilidad en la nube está trazado: comienza por habilitar registros de flujo y mirroring para entender latencia y fidelidad de cada fuente; centraliza la telemetría en una plataforma única donde pueda estandarizarse y etiquetarse con el contexto de inventario; establece líneas base de comportamiento por rol, servicio y destino para poder distinguir ruido de anomalías verdaderas; y afina esas reglas iterativamente para reducir falsos positivos sin perder señales valiosas.
El monitoreo de egreso y la detección temprana son claves. Instrumentar los puntos de salida de tus VPC/VNet permite captar intentos de exfiltración o comunicaciones con infraestructuras de comando y control. Paralelamente, la inspección de metadatos TLS, como SNI o sujetos de certificados, ayuda a identificar APIs o endpoints gestionados que deberían ser familiares para un servicio; el primer acceso a un dominio o región desconocida debe disparar una investigación.
También es prudente buscar patrones concretos que delaten actividades maliciosas: conexiones a pools de criptominería, picos regulares y “lento pero persistente” (low-and-slow) en transferencias de datos, o la presencia de protocolos interactivos donde no tienen cabida. Cuando un endpoint corporativo es comprometido, la correlación entre los registros de ese dispositivo y la telemetría de egress en la nube puede ser la pieza que confirme la extensión del incidente.
No hay que olvidar validar la capacidad de detección: la simulación de técnicas adversarias y ejercicios de red team permiten comprobar que las señales esperadas efectivamente aparecen en la plataforma y que los playbooks de respuesta funcionan. Este proceso de “ponerse en los zapatos del atacante” mantiene a los equipos honestos y evita confiar ciegamente en controles que, en entornos dinámicos, pueden quedar desactualizados.
La discusión sobre estas prácticas fue el punto de partida para un episodio del podcast DefeNDR en el que conversaron especialistas de Corelight; la charla ofrece ejemplos prácticos y perspectiva sobre cómo aplicar NDR en entornos multinube (puedes escuchar el episodio aquí: episodio de DefeNDR, y la serie completa en la página del podcast). Si quieres profundizar en soluciones comerciales que combinan telemetría de red con detección y enriquecimiento contextual, las plataformas de Open NDR ofrecen un buen punto de partida; por ejemplo, Corelight explica su enfoque en su página de Elite Defense.
En definitiva, la seguridad en la nube es alcanzable si volvemos a mirar el flujo de la red. Aplicar principios clásicos de monitoreo y detección a las arquitecturas modernas, enriquecer los datos con contexto de inventario y validar continuamente las capacidades de detección transforma la visibilidad en una ventaja estratégica: no se trata de desmitificar la nube, sino de instrumentarla para que deje de ser un territorio oscuro y se convierta en un entorno controlable.
Para quienes quieran respaldar estas prácticas con marcos y recomendaciones, la literatura técnica es abundante: el NIST explica consideraciones y riesgos de adoptar servicios en la nube (NIST SP 800-144) y la matriz ATT&CK de MITRE sigue siendo una referencia para entender técnicas que los adversarios usan tanto en entornos tradicionales como en la nube.
Alerta de seguridad Drupal vulnerabilidad crítica de inyección SQL en PostgreSQL obliga a actualizar de inmediato
Drupal ha publicado actualizaciones de seguridad para una vulnerabilidad calificada como "altamente crítica" que afecta a Drupal Core y permite a un atacante lograr inyección SQ...
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...