Zero Trust y la nube: no asumir la seguridad, verificar siempre

La migración de operaciones empresariales a la nube avanza de forma constante, impulsada por la promesa de agilidad y eficiencia. Sin embargo, este proceso de transformación digital esconde riesgos de ciberseguridad que muchas organizaciones continúan subestimando, tal como lo advierten especialistas del sector.

Néstor Markowicz, COO de CertiSur, identifica un "riesgo invisible" principal: “creer que la nube es, por definición, segura”. Según explica, esta percepción lleva a asumir que la contratación de un proveedor resuelve toda la seguridad. La realidad muestra que los vectores de ataque más frecuentes no provienen de la infraestructura del proveedor, sino de fallas en la gestión interna.

Markowicz señala que “los vectores de ataque más frecuentes provienen de configuraciones erróneas, accesos no gestionados o credenciales expuestas”. En este contexto, “una nube es segura sólo si la empresa asume su parte del compromiso”. El ejecutivo agrega que “el error más común es la falsa sensación de protección total que genera la tercerización del servicio”.

La seguridad en la nube se rige por un esquema de responsabilidad compartida, donde el proveedor gestiona la infraestructura, pero la gestión de los datos, los accesos y las configuraciones recae en la empresa usuaria.

Este modelo, si bien permite a las compañías concentrarse en su negocio, también "genera zonas grises". Markowicz advierte: “nadie sabe con certeza quién es responsable de un control, y ahí es donde suelen aparecer los problemas”. Por esta razón, la gobernanza clara de roles y responsabilidades se vuelve indispensable, especialmente en entornos multicloud.

Ante la desaparición del perímetro de seguridad tradicional en la nube, el enfoque de Zero Trust (Confianza Cero) se consolida como una estrategia efectiva. Este modelo se basa en el principio de no confiar en nadie y verificar siempre.

“Ya no alcanza con proteger el perímetro, porque en la nube el perímetro se difumina”, sostiene Markowicz. El modelo Zero Trust “obliga a controlar de forma granular los accesos, monitorear continuamente los comportamientos y reducir al mínimo los privilegios”. Si bien el enfoque es tecnológicamente robusto, su implementación requiere un cambio cultural profundo dentro de las organizaciones.

En este complejo escenario de seguridad, los certificados digitales cumplen una función esencial. Markowicz destaca que son la pieza que "garantiza la autenticidad de identidades, la integridad de las comunicaciones y el cifrado de los datos en tránsito y en reposo". En esencia, son el componente que hace posible una nube confiable.

Sin embargo, su gestión es uno de los puntos débiles más comunes. Mantener un inventario actualizado de llaves, certificados y credenciales es clave para evitar vulnerabilidades y prevenir interrupciones de servicio o brechas.

El COO de CertiSur enfatiza que “la seguridad es un proceso, no un producto. No hay una solución mágica, sino una estrategia integral y sostenida en el tiempo”.

Para fortalecer la seguridad en la nube, Markowicz recomienda:

• Gestión de identidades y accesos con políticas claras y autenticación multifactor.
• Visibilidad completa sobre datos, identidades y activos criptográficos.
• Cifrado de datos en tránsito y en reposo.
• Monitoreo continuo y auditorías periódicas.
• Implementación de Zero Trust.

CertiSur, fundada en 1999, es una empresa argentina especializada en soluciones de seguridad, enfocada en PKI y sistemas de autenticación robusta, con clientes en toda América Latina.