Las principales brechas cloud híbrida en materia de identidades, cloud y redes

Las brechas cloud híbrida son los puntos ciegos que surgen entre los controles de seguridad específicos de cada ámbito cuando las empresas operan simultáneamente en infraestructuras locales,cloud, plataformas SaaS y sistemas de identidad. Los atacantes no respetan los límites de estos ámbitos, sino que se desplazan lateralmente a través de ellos, utilizando credenciales válidas y protocolos de confianza para permanecer ocultos dentro de entornos que han invertido en herramientas para puntos finales, cloud, la identidad y la red. Comprender cómo se desarrollan realmente los ataques híbridos a través de esas capas es el punto de partida para cerrar esa brecha.

Este recurso explica dónde surgen las brechas cloud híbrida en los controles de identidad, cloud, red y puntos finales; cómo las personas que llevan a cabo ataques modernos aprovechan esas brechas en la práctica; y qué necesitan los equipos de SOC, los analistas de seguridad y los CISO para detectar comportamientos de los atacantes —como el movimiento lateral, el uso indebido de credenciales y la escalada de privilegios— que pasan desapercibidos para las herramientas específicas de cada ámbito.

Las brechas cloud híbrida surgen cuando las herramientas se detienen en los límites del dominio

Las brechas cloud híbrida no se deben a un fallo de las herramientas individuales. Se trata de una realidad arquitectónica que surge cuando los controles de seguridad, optimizados para un único dominio, terminal, cloud de identidades y accesos o perímetro de red, se implementan en entornos en los que los atacantes se mueven con fluidez entre todos ellos. Cada herramienta cumple correctamente su función dentro de su ámbito. La brecha es la que existe entre los distintos ámbitos, y es ahí donde operan los atacantes modernos.

Las redes empresariales modernas abarcan centros de datos locales,cloud , plataformas SaaS, sistemas de identidad, infraestructura de IoT y OT, y cadenas de herramientas integradas con IA. Los atacantes que consiguen un acceso inicial no se quedan en un solo lugar. Se desplazan de norte a sur y de este a oeste a través de estos dominios, camuflándose entre el tráfico legítimo, aprovechando identidades de confianza y pasando de un sistema a otro sin activar alertas en ninguna herramienta.

El resultado es una matriz de cobertura con puntos ciegos estructurales: herramientas cloud que no pueden detectar el comportamiento de los atacantes en tiempo de ejecución, controles de identidad que se limitan al ámbito de la autenticación, agentes en los terminales que nunca llegan a cloud ni a las plataformas SaaS, y herramientas de red que analizan firmas pero no la intención del comportamiento. Estas lagunas no son casos aislados, sino las vías principales que utilizan los atacantes modernos.

Leyenda: ● Visibilidad total | ● Visibilidad parcial | ○ Sin visibilidad

Las cuatro vulnerabilidades que los atacantes aprovechan en tus herramientas

Las brechas cloud híbrida se dividen en cuatro categorías, cada una de las cuales corresponde a un ámbito en el que las herramientas de seguridad pierden visibilidad en un límite.

• Las brechas de identidad surgen tras la autenticación, cuando los controles de IAM y PAM dejan de aplicarse y la detección de comportamientos aún no ha comenzado. Una vez que un atacante supera la verificación de inicio de sesión con credenciales válidas, los controles de identidad dejan de actuar.
• Una vez concedido el acceso, surgen Cloud , donde las herramientas de gestión de la seguridad dejan de funcionar y el comportamiento de los atacantes durante la ejecución queda sin supervisar. Las soluciones CSPM, CASB y CNAPP se diseñaron para prevenir y configurar, no para detectar lo que hacen las identidades autenticadas dentro cloud .
• Surgen brechas en la red en el tráfico este-oeste, donde los controles perimetrales no llegan y los movimientos laterales se producen sin ser detectados. Los cortafuegos, los sistemas NAC y los IDPS vigilan los límites, pero no los espacios entre los sistemas internos por donde se mueven los atacantes.
• Las brechas en los puntos finales surgen allí donde no es posible implementar agentes: cloud , dispositivos no gestionados, plataformas SaaS y API de identidad, que los atacantes aprovechan deliberadamente debido a la ausencia de datos de telemetría en esos entornos.

¿Por qué los ataques basados en la identidad eluden los controles de seguridad tradicionales?

Los ataques basados en la identidad tienen éxito porque las herramientas de seguridad de identidades están diseñadas para controlar el acceso, no para detectar cómo se comportan las identidades autenticadas una vez concedido dicho acceso. Una vez que un atacante obtiene credenciales válidas —ya sea mediante phishing, suplantación de SIM o robo de tokens de sesión—, supera la autenticación multifactorial (MFA), cumple con la política de gestión de identidades y accesos (IAM) y accede al entorno como un usuario de confianza. Las herramientas que se supone que deben detenerlo detectan un inicio de sesión normal. Lo que ocurre a continuación les resulta invisible.

Las credenciales robadas crean puntos ciegos tras la autenticación

En el momento en que un atacante inicia sesión, en lugar de forzar la entrada, los controles de identidad centrados en la prevención dejan de funcionar de manera efectiva. El sistema de gestión de identidades y accesos (IAM) concede el acceso porque las credenciales se ajustan a la política. La autenticación multifactorial (MFA) se cumple porque el atacante dispone del token. El sistema de gestión de accesos (PAM) se elude porque la cuenta utilizada no está clasificada como privilegiada, o bien porque el atacante eleva sus privilegios a través de una cuenta que aún no se encuentra dentro del ámbito de aplicación.

Las actividades posteriores a la autenticación —como explorar el entorno, delegar el acceso a los buzones de correo, modificar los ámbitos de permisos o añadir relaciones de confianza federadas— parecen un comportamiento normal del usuario desde la perspectiva de cada herramienta individual. Su detección requiere un análisis del comportamiento a lo largo del tiempo y en distintos dominios, y no un control de acceso a nivel de eventos.

IAM, PAM y UEBA no equivalen a la detección de amenazas de identidad

IAM, PAM y UEBA abordan cada uno una dimensión específica del riesgo de identidad. IAM controla quién puede autenticarse y con qué permisos. PAM restringe el acceso a cuentas privilegiadas designadas. UEBA elabora perfiles estadísticos del comportamiento normal y señala las desviaciones estadísticas. Ninguno de estos enfoques ofrece una detección en tiempo real del comportamiento de los atacantes tras la autenticación en entornos híbridos. La siguiente tabla muestra dónde pierde visibilidad cada herramienta y cómo los atacantes se aprovechan de esas limitaciones.

Por qué es difícil detectar los abusos de Microsoft 365 y Entra ID

Microsoft 365 y Microsoft Entra ID (antes Azure AD) constituyen algunos de los puntos más vulnerables en los ataques híbridos actuales. Los atacantes se centran en la delegación de buzones de correo, los permisos de las aplicaciones OAuth, las relaciones de confianza federadas y las deficiencias en las políticas de acceso condicional, todas ellas actividades que utilizan API legítimas de Microsoft y generan eventos que parecen inofensivos si se analizan sin tener en cuenta el contexto de comportamiento.

La detección de actividades anómalas en el cloud de Microsoft requiere un contexto de comportamiento que las herramientas nativas de Microsoft y las integraciones CASB basadas en API no pueden proporcionar en tiempo de ejecución. La UEBA requiere una ingesta completa de registros y una latencia en la puntuación que los atacantes pueden superar. La clave está en la detección del comportamiento de lo que las identidades autenticadas hacen realmente, y no solo de lo que se les permite hacer.

Por qué las herramientas cloud siguen dejando puntos ciegos en el tiempo de ejecución

Las herramientas Cloud están diseñadas principalmente para prevenir, configurar y aplicar políticas, no para detectar el comportamiento de los atacantes en tiempo de ejecución. CASB controla el acceso a los servicios SaaS. CSPM analiza cloud . CWPP supervisa los procesos de las cargas de trabajo en las que se han implementado agentes. CNAPP consolida la visibilidad del estado de seguridad y de las cargas de trabajo. SASE regula las vías de acceso. Cada una de ellas destaca en su ámbito de actuación. Ninguna ofrece una detección continua en tiempo real del comportamiento de los atacantes dentro de los entornos cloud SaaS una vez concedido el acceso.

Comparación entre CASB, CSPM, CNAPP, CWPP y SASE

La siguiente tabla muestra cómo los atacantes eluden cada herramienta cloud y dónde persisten las lagunas de detección. No se trata de fallos de las herramientas, sino de limitaciones de diseño. Estas lagunas se deben a que la gestión de la postura de seguridad y la gobernanza del acceso se diseñaron para modelos de amenaza distintos al de la detección de atacantes basada en el comportamiento tras la autenticación.

Por qué persisten los puntos ciegos en cloud una vez concedido el acceso

La principal limitación de las herramientas cloud es que su lógica de detección se activa antes o en el punto de acceso. El CSPM detecta una configuración incorrecta antes de que sea objeto de un ataque. El CASB bloquea una aplicación no autorizada antes de que el usuario pueda acceder a ella. El SASE evalúa una solicitud de conexión antes de que se conceda el acceso. Una vez que el atacante se encuentra dentro del sistema, ya sea autenticado mediante SSO, utilizando un token de API válido o actuando a través de una identidad federada de confianza, estas herramientas quedan prácticamente inactivas.

El comportamiento de los atacantes tras haber obtenido acceso en cloud incluye: enumerar recursos y permisos, escalar privilegios mediante la manipulación de roles, modificar la configuración de los servicios SaaS para establecer persistencia, moverse entre cloud y extraer datos a través de canales legítimos. Estas actividades no son bloqueadas por la gestión de la postura de seguridad. Requieren una detección basada en el comportamiento, comparando con un patrón de referencia de cloud normal cloud .

Cómo el abuso de privilegios y la confianza federada eluden las herramientas de evaluación de la seguridad

Los riesgos relacionados con la identidad federada y las identidades gestionadas constituyen uno de los puntos más vulnerables y menos supervisados en los entornos híbridos. Los atacantes que añaden o modifican relaciones de confianza federadas crean vías de acceso ocultas que sobreviven al restablecimiento de credenciales, parecen legítimas para los sistemas cloud y no son detectadas por los análisis de configuración estándar de CSPM que se ejecutan periódicamente.

El abuso de privilegios en el SaaS sigue un patrón similar. La delegación de buzones de correo en Exchange Online, las autorizaciones de consentimiento de aplicaciones OAuth en Entra ID y la manipulación del ámbito de permisos en los roles cloud utilizan todas ellas API legítimas. Las herramientas de evaluación de la postura de seguridad que comprueban el cumplimiento de las políticas en un momento determinado no detectan estos cambios a medida que se producen. El análisis del comportamiento en tiempo real de cómo interactúan las identidades con los planos cloud es el modelo de detección que subsana esta deficiencia.

Por qué falla la detección de movimientos laterales en entornos híbridos

La detección de movimientos laterales falla en entornos híbridos porque las herramientas diseñadas para supervisar la actividad de la red —cortafuegos, NAC, IDPS y SIEM— se crearon para detectar firmas conocidas, aplicar políticas de acceso o agregar registros de otras herramientas. Ninguna de ellas ofrece una detección continua del comportamiento de los atacantes a medida que se desplazan simultáneamente en direcciones este-oeste y norte-sur a través de las capas de identidad, cloud y la red.

Scattered Spider es uno de los adversarios mejor documentados que ataca entornos híbridos, utilizando ingeniería social, suplantación de identidad y cloud para lograr persistencia y sustraer datos. La línea temporal que se muestra a continuación describe cómo avanza un ataque Scattered Spider a lo largo de seis etapas, y dónde fallan las soluciones de seguridad tradicionales en cada paso.

‍

Lagunas en la visibilidad del tráfico este-oeste

El tráfico este-oeste —la comunicación lateral entre cargas de trabajo, identidades y servicios dentro del entorno— es por donde avanzan los ataques modernos tras el acceso inicial. Los cortafuegos y los controles perimetrales supervisan el tráfico norte-sur en los límites. Los agentes EDR supervisan la actividad de cada terminal. Ninguno de ellos ofrece un análisis continuo basado en el comportamiento de cómo se mueven las entidades entre los sistemas dentro del entorno híbrido.

En la práctica, esto significa que un atacante que se autentica en el perímetro, se desplaza a una cloud , se dirige a una plataforma SaaS y escala privilegios a través de los sistemas de identidades puede completar varias etapas de la cadena de ataque sin activar ni una sola alerta. Cada paso, por sí solo, parece legítimo. Solo la correlación de comportamientos entre distintos ámbitos revela el avance coordinado del atacante.

¿Por qué los cortafuegos, los sistemas NAC y los IDPS no detectan los movimientos de los atacantes?

Las herramientas de seguridad de red funcionan según modelos de detección fundamentalmente distintos a los del análisis de comportamiento. La siguiente tabla resume las limitaciones de cada herramienta y los puntos débiles que los atacantes aprovechan.

‍

La limitación común es que estas herramientas no pueden distinguir entre un usuario legítimo y un atacante que utilice credenciales, protocolos y rutas de acceso legítimos. El contexto de comportamiento —lo que suele hacer esa identidad, a dónde se conecta habitualmente y cómo se compara esa actividad con los patrones establecidos— queda fuera del alcance de los controles de red basados en firmas y políticas.

Cómo los atacantes se infiltran en protocolos fiables y en el tráfico cifrado

Los atacantes actuales actúan deliberadamente a través de protocolos que las herramientas de seguridad de red consideran fiables: HTTPS, DNS, RDP y SMB. La inspección del tráfico cifrado está limitada en los entornos empresariales por motivos de rendimiento y privacidad, lo que crea una vía de evasión fiable para los atacantes que canalizan las comunicaciones C2 y la exfiltración de datos a través de canales cifrados.

Las técnicas de «living-off-the-land» agravan este problema. Cuando un atacante utiliza PowerShell, WMI o herramientas administrativas estándar de Windows para analizar el entorno y desplazarse lateralmente, no hay ningún binario malicioso que el EPP pueda bloquear, ninguna firma que el IDPS pueda comparar ni ningún protocolo no autorizado que la política del cortafuegos pueda rechazar. La detección requiere comprender qué hacen estas herramientas, no solo que existen.

Por qué la protección de los puntos finales no cubre toda la ruta de ataque

Las plataformas de detección y respuesta en endpoints (EDR) y de protección de endpoints (EPP) son inversiones fundamentales en seguridad. El EDR proporciona datos de telemetría detallados sobre los procesos, los cambios en el registro y el comportamiento a nivel de host. El EPP impide la ejecución de amenazas conocidas mediante firmas, heurística y entornos de aislamiento. Ambas son eficaces dentro de su ámbito de aplicación. El problema es que los ataques modernos evitan cada vez más los puntos finales por completo o se desplazan a través de superficies, cloud , plataformas SaaS y sistemas de identidad, así como a dispositivos no gestionados, donde no se pueden implementar agentes o estos no están presentes.

Dónde se detiene el EDR

La razón por la que el EDR por sí solo no es suficiente se reduce a un problema de límites: la visibilidad del EDR se detiene en el terminal gestionado. Los ataques Cloud cloud que operan a través de cloud , aplicaciones SaaS o API de identidad nunca generan telemetría de EDR. Los dispositivos no gestionados —sistemas de IoT, infraestructura de OT, dispositivos BYOD, terminales remotos— no pueden ejecutar agentes de EDR. Los atacantes que comprenden esto lo aprovechan deliberadamente: operan en los espacios entre los hosts cubiertos por el EDR, utilizando credenciales válidas para mezclarse con el tráfico normal.

Donde termina el EPP

El EPP se limita a las firmas de amenazas conocidas. malware sin archivos malware se ejecuta íntegramente en memoria no activa la detección basada en el disco. Zero-day no coinciden con las firmas existentes. Las herramientas administrativas legítimas, como PowerShell, WMI y RDP, no se marcan como sospechosas, independientemente de lo que el atacante haga con ellas. El EPP proporciona una capa de protección importante en la fase de ejecución, pero no es un mecanismo de detección del comportamiento del atacante tras la autenticación.

Por qué los atacantes evitan por completo los dispositivos finales

La técnica de evasión más habitual en los ataques híbridos modernos no consiste en eludir el EDR, sino en dirigir el ataque a través de superficies en las que no existe EDR. Los atacantes que inician sesión en Microsoft Entra ID, modifican los permisos de los buzones de correo en Exchange Online, elevan sus privilegios mediante roles cloud y extraen datos a través de una aplicación conectada mediante OAuth han completado una cadena de ataque completa sin tocar ni un solo terminal. La siguiente tabla resume el modelo de detección y los puntos ciegos críticos de cada herramienta de punto final.

‍

Las cuatro categorías de ataques que las herramientas de protección de terminales suelen pasar por alto son: los ataques basados en la identidad que utilizan credenciales válidas en Microsoft 365 o Entra ID; el abuso de privilegios en aplicaciones SaaS que no afecta al terminal; el movimiento lateral a través de cloud y dispositivos no gestionados; y el reconocimiento y la exfiltración basados en la red a través de canales cifrados o que no son HTTP.

Cómo Vectra AI las brechas cloud híbrida

Para subsanar las deficiencias cloud híbrida no es necesario sustituir las herramientas existentes. Los controles de los puntos finales, cloud, las identidades y la red desempeñan funciones importantes dentro de su ámbito respectivo. La deficiencia radica en la visibilidad y la detección del comportamiento entre ámbitos, es decir, en la capacidad de observar cómo se comportan las identidades, las cargas de trabajo y los dispositivos a medida que se desplazan por el entorno híbrido, y de correlacionar ese comportamiento en patrones de ataque coherentes antes de que se produzcan daños.

Detección de comportamientos en entornos de identidad, cloud y red

La detección basada en el comportamiento funciona de manera diferente a los controles basados en firmas o en políticas. En lugar de comparar la actividad con una lista de patrones maliciosos conocidos, la IA conductual modela cómo es la actividad normal para cada identidad, carga de trabajo y dispositivo en su contexto, y detecta desviaciones que se corresponden con las técnicas de los atacantes a lo largo de la cadena MITRE ATT&CK . Este enfoque detecta el uso indebido de credenciales, la escalada de privilegios, el movimiento lateral y la comunicación C2, incluso cuando los atacantes utilizan credenciales legítimas y protocolos de confianza.

Para detectar comportamientos sospechosos de forma eficaz en entornos híbridos, es necesario realizar un análisis continuo del tráfico de red, los eventos de identidad en Active Directory y Entra ID, las interacciones SaaS y la actividad del plano cloud , todo ello integrado en tiempo real, en lugar de reconstruirlo a partir de los registros a posteriori.

Priorización de señales de ataque

El volumen de alertas es un problema estructural en las operaciones de seguridad híbridas. Cuando cada herramienta específica de un dominio genera sus propias alertas, los analistas del SOC se ven obligados a clasificar y priorizar flujos de señales inconexos. El resultado es fatiga por alertas, correlaciones que se pasan por alto y retrasos en la respuesta. La priorización de señales de ataque —la correlación automatizada de eventos relacionados entre distintos dominios para obtener una visión unificada del riesgo— resuelve este problema al poner de manifiesto qué entidades representan un comportamiento real y progresivo del atacante, en lugar de anomalías aisladas.

Para establecer prioridades de forma eficaz es necesario tener en cuenta el contexto entre distintos ámbitos: comprender que una alerta de identidad en Entra ID, un evento cloud en AWS y un movimiento lateral detectado en el tráfico este-oeste forman parte de la misma progresión del ataque, y poner de manifiesto esa conexión antes de que el ataque cause daños.

Complementar, no sustituir, los controles existentes

Una arquitectura adecuada amplía las inversiones existentes en lugar de sustituirlas. Las soluciones EDR, IAM, CSPM y SIEM desempeñan funciones importantes cada una por sí misma. La incorporación de la detección de comportamientos en las capas de identidad, cloud y red —las áreas que estas herramientas no cubren— permite subsanar las deficiencias sin alterar lo que ya funciona. El modelo práctico consiste en una capa de detección que abarca todo el entorno, analiza el comportamiento en tiempo real y envía señales de alta fidelidad a los flujos de trabajo existentes de SIEM y SOAR.

La siguiente tabla muestra dónde se encuentran las principales deficiencias en una infraestructura de seguridad empresarial estándar y qué aporta la detección híbrida basada en el comportamiento.

Las brechas cloud híbrida en la práctica

Los siguientes casos muestran cómo las brechas cloud híbrida crearon puntos ciegos vulnerables en entornos reales, y qué medidas de detección habrían sido necesarias para subsanarlas antes.

Scattered Spider MGM Resorts y Caesars Entertainment, 2023 Scattered Spider el acceso inicial mediante phishing por SMS phishing suplantación de SIM, y luego se movió a través de Microsoft Entra ID, Exchange Online y cloud utilizando credenciales válidas. Los controles de prevención fallaron en todas las etapas porque el ataque utilizó vías de acceso legítimas. Se produjeron daños por valor de más de 100 millones de dólares. La detección requirió una supervisión del comportamiento de la actividad de identidad tras la autenticación, y no controles perimetrales.

Organización sanitaria internacional — Robo de credenciales de AWS, detectado a los pocos días de la implementación Una organización sanitaria global detectó el robo de credenciales, cloud , intentos de escalada de privilegios y actividad de persistencia en AWS a los pocos días de implementar la detección de comportamientos. Su SIEM no había detectado nada de ello. El SOC intervino antes de que los datos o las operaciones se vieran afectados (evidenciaVectra AI ).

Globe Telecom — movimiento lateral y ruido de alertas, 2023 Globe Telecom redujo el tiempo de respuesta ante incidentes de 16 horas a 3,5 horas tras implementar la detección de comportamiento entre dominios. El ruido de las alertas se redujo en un 99 % y las escalaciones disminuyeron en un 96 %, lo que permitió a los analistas centrarse en seis incidentes reales en lugar de en cientos de miles de alertas de escaso valor. La brecha que se cerró no fue una sustitución de herramientas, sino la cobertura de las superficies que las herramientas existentes no podían ver (evidenciaVectra AI ).

Conclusión

Las brechas cloud híbrida no se deben a un fallo de las herramientas individuales. Son una consecuencia estructural de la implementación de controles específicos para cada ámbito en entornos en los que los ataques modernos se mueven con fluidez a través de las superficies de identidad, cloud, red y terminales. La gestión de identidades y accesos (IAM) se limita al ámbito de la autenticación. La detección y respuesta en tiempo real (EDR) se limita al terminal gestionado. La gestión del riesgo de seguridad de los proveedores de servicios en la nube (CSPM) se limita al tiempo de ejecución. Las brechas entre estos controles son el punto en el que se produce el 40 % de las filtraciones graves.

Para subsanar estas deficiencias es necesario que tres capacidades actúen de forma conjunta: una visibilidad continua del comportamiento en todo el entorno híbrido, señales de ataque que correlacionen la actividad entre dominios para generar narrativas coherentes sobre las amenazas, y una contención lo suficientemente rápida como para interrumpir los ataques antes de que causen impacto. Las organizaciones que incorporan estas capacidades a su infraestructura existente —en lugar de sustituirla— demuestran sistemáticamente un tiempo medio de respuesta más rápido, un menor volumen de alertas y indicios más sólidos de mejora en su postura de seguridad.

El panorama de amenazas seguirá evolucionando. Los atacantes seguirán utilizando credenciales válidas, protocolos de confianza y vías de acceso legítimas para evitar ser detectados. Lo que no cambia es el requisito defensivo fundamental: verlo todo, comprender lo que importa y actuar antes de que se produzcan daños.

Descubra cómo la plataformaVectra AI detecta el comportamiento de los atacantes en entornos de identidades, cloud, redes y terminales, subsanando así las brechas cloud híbrida que dejan las herramientas específicas de cada ámbito.