Detección de amenazas en AWS: definición, riesgos y enfoques

Información clave

La detección de amenazas de AWS transforma cloud y los metadatos cloud en señales del comportamiento de los atacantes, lo que permite identificar y priorizar las actividades sospechosas en todos los entornos de AWS —algo fundamental, ya que más del 70 % de cloud se deben actualmente a identidades comprometidas—.
Su objetivo es eliminar las lagunas de visibilidad y reducir los retrasos en las investigaciones que se derivan de registros fragmentados, altas tasas de falsos positivos y atribuciones de identidad poco claras.
En lugar de basarse en incidentes aislados, se centra en detectar comportamientos de los atacantes que abarcan varias etapas, como la concatenación de roles, la evasión de registros y el movimiento lateral entre cloud .
Las herramientas nativas de AWS, como Amazon GuardDuty, AWS Security Hub y Amazon Detective, ofrecen capacidades básicas de detección, pero la correlación de comportamientos entre cloud relacionada con la identidad, la red y cloud es esencial para detectar ataques sofisticados.

La detección de amenazas en AWS consiste en identificar y priorizar actividades maliciosas o sospechosas en AWS mediante el análisis cloud en busca de indicios de comportamiento de atacantes. En lugar de evaluar eventos aislados, este enfoque examina las acciones de un actor a través de identidades, roles y servicios. Dado que el 80 % de las organizaciones ha sufrido al menos una brecha cloud durante el último año y que cloud pública tienen un coste medio de 5,17 millones de dólares por brecha, la importancia de una detección eficaz de amenazas en AWS sigue aumentando.

Los entornos de AWS generan grandes volúmenes de registros y metadatos que resultan difíciles de interpretar por sí solos. Al vincular esta telemetría con señales de comportamiento, se puede revelar el movimiento de los atacantes a lo largo del ciclo de vida cloud , lo cual es importante porque la actividad no correlacionada puede retrasar la investigación y la respuesta.

¿Qué significa en la práctica la detección de amenazas de AWS?

En la práctica, la detección de amenazas de AWS vincula las acciones relacionadas con patrones de comportamiento que pueden investigarse y priorizarse. En lugar de tratar cloud como una colección de alertas inconexas, interpreta la actividad como evidencia de una posible secuencia de ataques. Esta distinción es importante porque muchas acciones de AWS son técnicamente legítimas, pero siguen representando un abuso de acceso, funciones o servicios.

Tipos de actividad que revelan la intención a lo largo del tiempo y en distintos servicios:

Utilizar identidades comprometidas para obtener acceso inicial a los recursos de AWS.
Asumir identidades y aprovechar credenciales temporales para ocultar al autor real.
Alternar o «saltar» entre roles para eludir la atribución a través de varias cuentas o servicios.
Eludir las defensas intentando desactivar, suprimir o burlar el registro.
Extraer datos o llevar a cabo acciones destructivas tras ampliar los privilegios.

Herramientas y servicios de detección de amenazas de AWS

AWS ofrece varios servicios de seguridad nativos que constituyen la base de una estrategia de detección cloud . Comprender qué hace cada herramienta —y dónde siguen existiendo lagunas— ayuda a los equipos a crear una cobertura de detección eficaz.

Amazon GuardDuty

Amazon GuardDuty es el principal servicio de detección de amenazas de AWS. Analiza de forma continua los eventos de gestión de CloudTrail, los registros de flujo de VPC, los registros de consultas DNS y la telemetría de tiempo de ejecución mediante aprendizaje automático, detección de anomalías e inteligencia sobre amenazas integrada. En diciembre de 2025, AWS lanzó la Detección ampliada de amenazas para EC2 y ECS, que utiliza IA/aprendizaje automático para correlacionar señales de múltiples fuentes de datos y mapear secuencias de ataques en varias etapas a MITRE ATT&CK .

AWS Security Hub

Security Hub recopila los resultados de GuardDuty, Amazon Inspector, AWS Config y herramientas de terceros en un panel unificado. Ofrece comprobaciones de cumplimiento con respecto a estándares como CIS AWS Foundations y permite la corrección automatizada mediante integraciones con AWS Lambda y Amazon EventBridge.

Amazon Detective

Detective complementa a GuardDuty aportando un análisis de investigación más detallado. Cuando GuardDuty identifica un hallazgo de alta gravedad, Detective ayuda a rastrear el origen, el alcance y las relaciones de la actividad sospechosa en todos los recursos.

Tabla: Comparativa de los servicios de detección de amenazas nativos de AWS

Capacidad	Amazon GuardDuty	AWS Security Hub	Amazon Detective
Enfoque principal	Detección de amenazas mediante aprendizaje automático y análisis de comportamiento	Centralización de la recopilación de resultados y del cumplimiento normativo	Análisis de investigación y determinación de las causas fundamentales
Fuentes de datos	CloudTrail, registros de flujo de VPC, DNS, S3, EKS, ECS	Datos agregados de GuardDuty, Inspector, Config y Macie	Correlaciones de registros entre los resultados de GuardDuty y los registros de AWS
Fortaleza clave	Detección en tiempo real con un bajo índice de falsos positivos	Vista unificada que reduce la fatiga por alertas	Análisis forense en profundidad más allá de la detección inicial
Limitación	El alcance se limita a eventos individuales de AWS sin correlación entre entornos	Agregación sin análisis del comportamiento	Reactivo: requiere un hallazgo inicial para iniciar la investigación

Estas herramientas nativas ofrecen una cobertura esencial, pero se centran en la actividad dentro de AWS. Los ataques que se originan fuera de AWS —a través de proveedores de identidad comprometidos, redes locales o aplicaciones SaaS— requieren una correlación adicional entre entornos híbridos para detectar toda la cadena de ataque.

Por qué la supervisión de AWS centrada en los registros no detecta el comportamiento de los atacantes

La supervisión basada en registros en AWS a menudo no logra revelar el comportamiento de los atacantes, ya que los eventos se analizan como registros independientes. La atribución suele limitarse al rol o a las credenciales temporales más recientes, lo que hace que las investigaciones se centren en un nivel de abstracción erróneo. Como consecuencia, es posible que los defensores no identifiquen al autor original a tiempo para contener la actividad antes de que se produzcan daños.

Modos de fallo cuando la actividad de AWS se evalúa como eventos aislados:

Notificaciones por evento que no logran vincular las acciones entre servicios o a lo largo del tiempo
Una atribución incompleta que se limita a un rol supuesto, en lugar de remontarse hasta el actor original
Una visión fragmentada de las cuentas, las regiones y los dominios que impide ofrecer una visión global coherente
La carga que supone la correlación manual, que retrasa la respuesta y aumenta la carga cognitiva
Un gran volumen de alertas que impide determinar qué identidad o cuenta supone el mayor riesgo

Los comportamientos de los atacantes que la detección de amenazas ayuda a revelar

Para comprender cómo se mueven los atacantes por AWS, es necesario ir más allá de las acciones de cada servicio por separado. La detección basada en el comportamiento pone de relieve patrones de progresión —como el encadenamiento de roles, la evasión de registros y el acceso lateral a servicios— que pueden parecer legítimos si se analizan de forma aislada.

Patrones de progresión:

Infiltración mediante ingeniería social y abuso de relaciones de identidad de confianza.
Uso de roles asumidos para abstraer la identidad y evadir la atribución directa.
Encadenamiento de roles en varios pasos que oculta la identidad comprometida original.

Señales e indicadores utilizados en la detección de amenazas de AWS

No todas las señales en AWS tienen el mismo valor investigativo. Los esfuerzos de detección dan prioridad a los indicadores que reflejan un comportamiento anormal o de múltiples pasos vinculado a un actor específico. Los indicadores tempranos pueden ser sutiles y dispersos, mientras que las señales tardías a menudo solo aparecen después de que se ha producido un daño significativo.

Señales clave:

Desviaciones de la línea de base, como llamadas API inusuales o patrones de uso de credenciales.
Comportamientos de reconocimiento iniciales que sugieren la exploración de permisos o recursos
Cadenas de asunción de roles y secuencias de credenciales que indican actividad de encadenamiento de roles.
Intentos de desactivar, reducir o eludir el registro y la cobertura de supervisión.
Comportamiento correlacionado entre la identidad, la red y cloud que apunta a un único actor.
Indicadores de fase avanzada, como la comunicación de comando y control o la exfiltración de datos

Incidentes reales de detección de amenazas en AWS

Los incidentes recientes ponen de manifiesto por qué la detección basada en el comportamiento es más importante que la mera supervisión de los registros.

Ransomware Codefinger (enero de 2025)

El grupo de ransomware Codefinger aprovechó unas credenciales de AWS comprometidas para cifrar datos de S3 mediante el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C). Dado que los atacantes utilizaron funciones de cifrado legítimas de AWS en lugar de malware, las herramientas tradicionales de detección basadas en firmas no detectaron la actividad. Solo la supervisión del comportamiento —la detección de operaciones de cifrado masivo inusuales vinculadas a una cadena de credenciales sospechosa— permitió descubrir el ataque antes de que los datos quedaran irrecuperables.

Ataques a FortiGate potenciados por IA (enero-febrero de 2026)

Amazon Threat Intelligence documentó una campaña en la que un actor malintencionado de habla rusa, motivado por intereses económicos, utilizó servicios comerciales de IA generativa para comprometer más de 600 dispositivos FortiGate en más de 55 países entre el 11 de enero y el 18 de febrero de 2026. Los atacantes aprovecharon la IA para ampliar sus operaciones, lo que demuestra que las amenazas potenciadas por la IA están acelerando el volumen de ataques tanto por parte de adversarios expertos como de aquellos sin experiencia.

Abuso de privilegios en LexisNexis ECS (febrero de 2026)

En febrero de 2026, un actor malicioso aprovechó una aplicación front-end de React sin parches que se ejecutaba en AWS para obtener acceso inicial y, a continuación, hizo un uso indebido de una función de tarea de ECS con permisos excesivos que le otorgaba un amplio acceso de lectura a AWS Secrets Manager. Esto permitió la sustracción de credenciales de Redshift, mapas de VPC y millones de registros de bases de datos. El incidente se correspondió con MITRE ATT&CK , entre ellas T1190 (explotación de aplicaciones de cara al público), T1078 (cuentas válidas) y T1530 (datos de objetos cloud ), lo que pone de relieve por qué la supervisión del comportamiento de identidades y roles es esencial para la detección de amenazas en AWS.

Estos incidentes siguen un patrón común: los atacantes utilizaron mecanismos legítimos de AWS (funciones de cifrado, roles válidos, credenciales temporales) para llevar a cabo actividades maliciosas que, a simple vista, parecían normales, pero que se pusieron de manifiesto mediante un análisis de comportamiento.

Limitaciones y conceptos erróneos sobre la detección de amenazas de AWS

La detección de amenazas en AWS aún tiene sus limitaciones. Si bien puede identificar comportamientos sospechosos, la detección de amenazas no previene ni remedia automáticamente los riesgos cloud . Esto significa que los equipos aún deben depender de los flujos de trabajo de respuesta y el criterio de los analistas. Confundir la detección con la prevención puede crear puntos ciegos que retrasen la contención.

Tabla: Ideas erróneas frente a aclaraciones

Concepto erróneo	Corrección	Por qué es importante
Más herramientas de seguridad mejoran automáticamente la seguridad de AWS.	Añadir herramientas puede aumentar el ruido y la carga de correlación sin mejorar la claridad.	El volumen de alertas puede ocultar la identidad o cuenta más importante que se debe investigar.
Ver una actividad sospechosa es lo mismo que detenerla.	La detección identifica el comportamiento, mientras que la detención requiere acciones de respuesta y flujos de trabajo.	Los equipos pueden perder tiempo si asumen que la visibilidad equivale a la contención.
Las herramientas nativas de AWS cubren toda la cadena de ataque	Los servicios nativos se centran en la actividad dentro de AWS, pero no pueden correlacionar los ataques híbridos que se inician en las instalaciones o en otros cloud	Los atacantes suelen pasar de los proveedores de identidad o los puntos finales a AWS, lo que requiere una correlación del comportamiento entre entornos

El futuro de la detección de amenazas en AWS

Varias tendencias están transformando la forma en que las organizaciones abordan la detección de amenazas en entornos de AWS.

Los ataques potenciados por la IA se están intensificando. Tal y como ha demostrado la campaña «FortiGate 2026», los autores de amenazas están utilizando la IA generativa para ampliar el alcance de sus ataques. La detección de amenazas de AWS debe mantenerse al día correlacionando las señales más rápido de lo que los atacantes tardan en generarlas.
La identidad es la nueva línea de defensa. Dado que más del 70 % de cloud se deben a identidades comprometidas y que el 61 % de las organizaciones mantiene usuarios con privilegios de root sin autenticación multifactorial (MFA), la detección centrada en la identidad seguirá teniendo prioridad frente a los enfoques centrados en la red.
La detección de ataques en varias fases se está convirtiendo en algo imprescindible. La función «Extended Threat Detection» de GuardDuty supone un cambio hacia la correlación de acciones entre servicios y a lo largo del tiempo, en lugar de evaluar los eventos de forma individual. Este enfoque se ampliará para abarcar más servicios de AWS ycloud .
Las vías de ataque híbridas requieren una visibilidad unificada. Dado que las organizaciones operan en entornos de AWS, Azure, locales y SaaS, las estrategias de detección de amenazas que tratan cada dominio de forma aislada pasarán por alto los ataques más peligrosos: aquellos que se propagan lateralmente a través de los límites.

Cómo la Vectra AI ayuda a detectar amenazas en AWS a través del comportamiento correlacionado de los atacantes

Para garantizar la detección de amenazas en AWS, es necesario comprender el comportamiento de los atacantes en el ámbito de la identidad, la red y cloud como un todo integrado. La Vectra AI aborda este problema correlacionando las acciones, en lugar de tratar los eventos de AWS como alertas aisladas, lo que reduce la incertidumbre cuando los roles, las credenciales temporales y la actividad multiservicio dificultan la atribución. Cloud and Response (CDR)Vectra AI para AWS amplía la detección más allá de las herramientas nativas mediante el análisis de comportamientos en superficies de ataque híbridas.

Funcionalidades de la plataforma:

Observar el comportamiento correlacionado de los atacantes en todas las identidades, funciones y cloud , en lugar de eventos aislados de AWS.
Decidir qué identidad o cuenta representa el mayor riesgo, haciendo hincapié en la urgencia y el contexto por encima del volumen.
Reducir el riesgo de atribución errónea de encadenamiento de roles conectando la actividad sospechosa con el actor original siempre que sea posible.
Detectar secuencias sospechosas de actividades de exploración que indiquen un reconocimiento en fase inicial antes de que comience el desplazamiento lateral

Observa el comportamiento de los atacantes de AWS en acción con un recorrido guiado por los ataques

Preguntas frecuentes

¿En qué se diferencia la detección de amenazas de AWS de la supervisión de los registros de CloudTrail?

La supervisión de CloudTrail registra eventos individuales, mientras que la detección de amenazas de AWS tiene como objetivo conectar eventos entre identidades, roles, servicios y tiempo para revelar el comportamiento de los atacantes. Los eventos de registro aislados pueden mostrar lo que sucedió, pero a menudo no muestran la intención o la progresión, especialmente cuando los atacantes utilizan credenciales temporales y roles asumidos. La diferencia práctica es investigativa: la detección de amenazas da prioridad a los patrones de comportamiento de varios pasos que se pueden atribuir y sobre los que se puede actuar, en lugar de dejar que los analistas recopilen manualmente la narrativa a partir de registros sin procesar.

¿La detección de amenazas de AWS evita las configuraciones incorrectas?

No. La detección de amenazas de AWS no previene ni soluciona por sí sola los problemas de arquitectura o configuración. La gestión de configuraciones incorrectas se centra en identificar ajustes inseguros y condiciones de exposición, mientras que la detección de amenazas se centra en identificar actividades maliciosas o sospechosas que se producen dentro de un entorno AWS. Es importante no confundir estas funciones, ya que los equipos pueden asumir que la detección sustituye a la seguridad de la configuración, dejando sin abordar los puntos de entrada principales y esperando que la detección de amenazas lo compense.

¿Por qué la identidad y los roles son fundamentales para la detección de amenazas en AWS?

La identidad y los roles son fundamentales porque los atacantes suelen operar utilizando mecanismos de acceso legítimos tras el compromiso inicial, incluyendo roles asumidos y credenciales temporales. Las acciones pueden parecer válidas a nivel de API incluso cuando representan un abuso, por lo que la atribución se vuelve esencial para comprender quién inició una secuencia y si esa secuencia se ajusta al comportamiento esperado. Esto es importante porque el encadenamiento de roles puede ocultar al actor original, y las investigaciones pueden fracasar si se detienen en el último rol temporal utilizado.

¿Qué tipos de actividad son más difíciles de detectar en entornos AWS?

El comportamiento en varios pasos que utiliza mecanismos legítimos de AWS es más difícil de detectar cuando se evalúa evento por evento. El encadenamiento de roles, las secuencias de credenciales temporales y las acciones que parecen normales de forma aislada a menudo requieren una correlación entre servicios e identidades para cobrar sentido. Estos patrones son difíciles porque pueden distribuirse entre varios servicios de AWS y ventanas de tiempo, y porque la última credencial utilizada puede no reflejar al actor original. Esto es importante porque el comportamiento sutil en las primeras etapas puede pasarse por alto hasta que surgen los indicadores en las últimas etapas.

¿Puede la detección de amenazas de AWS rastrear ataques que se originan fuera de AWS?

Sí, pero solo cuando el enfoque conecta la actividad entre entornos en lugar de tratar AWS como un dominio aislado. Los ataques híbridos pueden originarse a través de ordenadores portátiles o proveedores de identidad comprometidos y posteriormente pivotar hacia AWS utilizando relaciones de identidad de confianza y roles asumidos. Sin la correlación entre la identidad y la telemetría relacionada, la actividad de AWS puede parecer desconectada de la ruta de compromiso inicial. Esto es importante porque los defensores necesitan comprender cómo se relacionan cloud con el acceso anterior para delimitar correctamente el alcance de la respuesta y la atribución.

¿Cuál es la diferencia entre Amazon GuardDuty y AWS Security Hub?

Amazon GuardDuty lleva a cabo una detección activa de amenazas mediante el análisis de eventos de CloudTrail, registros de flujo de VPC y registros de DNS, utilizando el aprendizaje automático para identificar comportamientos maliciosos. AWS Security Hub es un agregador centralizado de resultados que recopila y prioriza las alertas de GuardDuty, Amazon Inspector, AWS Config y herramientas de terceros. GuardDuty detecta las amenazas. Security Hub las organiza y gestiona. La mayoría de las organizaciones utilizan ambos conjuntamente: GuardDuty como motor de detección y Security Hub como panel operativo para priorizar la respuesta en todas las cuentas y regiones.

¿Qué herramientas de detección de amenazas de AWS deberían activar las organizaciones en primer lugar?

Empiece por habilitar Amazon GuardDuty en todas las cuentas de AWS y en todas las regiones, incluidas aquellas que no estén en uso activo, ya que los atacantes suelen dirigirse a regiones sin supervisar para llevar a cabo actividades como la minería de criptomonedas. Envíe los resultados de GuardDuty a AWS Security Hub para obtener una visibilidad centralizada. Añada Amazon Detective para investigar los resultados de alta gravedad. A continuación, configure reglas de EventBridge con funciones Lambda para automatizar las respuestas a las alertas críticas. Este enfoque por capas proporciona detección, agregación, investigación y respuesta automatizada.

¿Cómo utilizan los atacantes la inteligencia artificial para atacar entornos de AWS?

Los actores maliciosos recurren cada vez más a servicios comerciales de IA generativa para ampliar el alcance de sus ataques contra cloud . A principios de 2026, Amazon Threat Intelligence documentó una campaña en la que los atacantes utilizaron la IA para comprometer más de 600 dispositivos de red en más de 55 países, para luego pasar a cloud . La IA ayuda a los atacantes a automatizar el reconocimiento, generar código de explotación e identificar configuraciones erróneas más rápidamente de lo que permiten los métodos manuales. Esta tendencia hace que la detección basada en el comportamiento sea más importante, ya que los ataques potenciados por la IA generan mayores volúmenes de actividad que pueden saturar los sistemas de detección basados en reglas.

¿Qué es la detección ampliada de amenazas en Amazon GuardDuty?

La detección ampliada de amenazas es una función lanzada en diciembre de 2025 que utiliza inteligencia artificial y aprendizaje automático para identificar secuencias de ataques en varias fases en los servicios de AWS. En lugar de generar hallazgos independientes para cada evento sospechoso, correlaciona señales —como el uso indebido de credenciales, la escalada de privilegios y la exfiltración de datos— en una única secuencia de ataque asignada a MITRE ATT&CK . Esto reduce el tiempo de clasificación al mostrar el historial completo del ataque, en lugar de dejar que los analistas tengan que conectar manualmente los hallazgos individuales.