{"id":139357,"date":"2025-04-14T09:19:48","date_gmt":"2025-04-14T16:19:48","guid":{"rendered":"https:\/\/unit42.paloaltonetworks.com\/?p=139357"},"modified":"2025-06-04T11:45:39","modified_gmt":"2025-06-04T18:45:39","slug":"2025-cloud-security-alert-trends","status":"publish","type":"post","link":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/","title":{"rendered":"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en  IAM y Exfiltraci\u00f3n"},"content":{"rendered":"<h2><a id=\"post-139357-_heading=h.8ono45rlkx07\"><\/a>Resumen Ejecutivo<\/h2>\n<p>Los ataques contra la infraestructura alojada en la nube van en aumento, y la prueba est\u00e1 en el an\u00e1lisis de las tendencias de las alertas de seguridad. Una investigaci\u00f3n reciente revela que las organizaciones vieron casi cinco veces m\u00e1s alertas diarias basadas en la nube a finales de 2024 en comparaci\u00f3n con el comienzo del a\u00f1o. Esto significa que los atacantes han intensificado significativamente su enfoque en atacar y comprometer la infraestructura de la nube.<\/p>\n<p>Estas alertas no son simple ruido. Hemos observado los mayores aumentos en las alertas de mayor severidad, lo que significa que los indicadores de los ataques se dirigen con \u00e9xito a los recursos cr\u00edticos de la nube, como se explica en la Tabla 1.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><b>Recursos en la Nube<\/b><\/td>\n<td style=\"text-align: center;\"><b>Porqu\u00e9 es Fundamental<\/b><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Gesti\u00f3n de identidades y accesos (IAM)<\/span><\/td>\n<td><span style=\"font-weight: 400;\">La filtraci\u00f3n de credenciales puede abrir la puerta a la infraestructura en la nube de una organizaci\u00f3n.<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Almacenamiento<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Puede contener datos sensibles de la organizaci\u00f3n o de los clientes.<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">M\u00e1quinas virtuales<\/span><\/td>\n<td><span style=\"font-weight: 400;\">A menudo conectado a servicios internos adicionales, ofreciendo oportunidades de movimiento lateral a los atacantes.<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Contenedores<\/span><\/td>\n<td><span style=\"font-weight: 400;\">La explotaci\u00f3n del host del contenedor puede permitir a los atacantes ejecutar contenedores maliciosos.<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Serverless<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Las funciones \u201cserverless\u201dest\u00e1n dise\u00f1adas para fines automatizados concretos. No deben producirse ejecuciones remotas de la l\u00ednea de comandos.<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Cuadro 1. Criticidad de determinados recursos de la nube.<\/span><\/p>\n<p>Cabe destacar que los atacantes se dirig\u00edan con frecuencia a los tokens IAM serverless lo que permite el uso remoto de la l\u00ednea de comandos. Son importantes porque pueden utilizarse para obtener acceso al entorno de nube m\u00e1s amplio de una organizaci\u00f3n. Como parte del aumento de alertas en la nube, hubo tres veces m\u00e1s eventos de acceso remoto a la l\u00ednea de comandos utilizando tokens de acceso y gesti\u00f3n de identidades (IAM), y credenciales que son utilizadas por funciones \u201cserverless\u201d en la nube.<\/p>\n<p>Tambi\u00e9n identificamos otras tendencias al alza en las alertas:<\/p>\n<ul>\n<li>Un aumento del 116% en las alertas de \"eventos de viaje imposibles\" basadas en IAM (es decir, eventos de inicio de sesi\u00f3n desde zonas geogr\u00e1ficas distantes dentro de un estrecho margen de tiempo).<\/li>\n<li>Aumento del 60% de las solicitudes de interfaz de programaci\u00f3n de aplicaciones (API) de IAM procedentes de regiones exteriores para recursos de computaci\u00f3n (m\u00e1quina virtual en nube).<\/li>\n<li>Un aumento m\u00e1ximo del 45% en el n\u00famero de exportaciones de copias instant\u00e1neas de la nube durante Noviembre de 2024<\/li>\n<li>Un aumento del 305% en el n\u00famero de descargas sospechosas de m\u00faltiples objetos de almacenamiento en la nube.<\/li>\n<\/ul>\n<p>La identidad es el per\u00edmetro de defensa de la infraestructura en la nube. Los atacantes tienen como objetivo los tokens y credenciales IAM, ya que contienen las claves del reino de la nube, permitiendo a los atacantes moverse lateralmente, escalar sus permisos y realizar operaciones maliciosas adicionales. El aumento del n\u00famero de intentos de acceso y el uso de cuentas de servicios IAM sensibles significa que los atacantes de todo el mundo tienen sus objetivos puestos en los recursos de la nube.<\/p>\n<p>Los atacantes tienen como objetivo los servicios de almacenamiento en la nube, ya que a menudo contienen datos confidenciales. Hemos observado un notable aumento del n\u00famero de descargas sospechosas de objetos de almacenamiento en la nube y de exportaciones de copias instant\u00e1neas de im\u00e1genes. Las alertas de descarga sospechosa de objetos de almacenamiento en la nube se activan cuando una \u00fanica identidad basada en IAM descarga un gran n\u00famero de objetos de almacenamiento dentro de un estrecho margen de tiempo. Esto puede significar operaciones maliciosas como ransomware o extorsi\u00f3n. Las copias instant\u00e1neas de im\u00e1genes son el objetivo de los atacantes, ya que pueden contener datos confidenciales relativos a la infraestructura de la nube y credenciales de IAM que podr\u00edan permitir al atacante escalar permisos y moverse lateralmente dentro del entorno en la nube de una v\u00edctima.<\/p>\n<p>Estos ejemplos ilustran la necesidad inmediata de proteger los entornos en la nube, no s\u00f3lo con herramientas b\u00e1sicas de gesti\u00f3n de la postura de seguridad en la nube (CSPM), sino en cooperaci\u00f3n con herramientas que detecten y eviten las operaciones maliciosas en tiempo de ejecuci\u00f3n a medida que se producen.<\/p>\n<p>Mediante el despliegue de las herramientas de seguridad en la nube en tiempo de ejecuci\u00f3n de Cortex Cloud -tambi\u00e9n denominadas Cloud Detection and Response (<a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/what-is-cloud-detection-and-response-cdr\">CDR<\/a>), los equipos de seguridad pueden identificar y prevenir eventos maliciosos dentro de los entornos en la nube.<\/p>\n<p>Si piensas que podr\u00edas haber sido comprometido o tienes un asunto urgente, contacta con el equipo de respuesta a incidentes de la Unit 42.<\/p>\n<h2><a id=\"post-139357-_heading=h.15rc7z9b6e0l\"><\/a>Ataques en la Nube a Escala<\/h2>\n<p>En una reciente publicaci\u00f3n de <a href=\"https:\/\/unit42.paloaltonetworks.com\/large-scale-cloud-extortion-operation\/\">Unit 42<\/a>, publicamos detalles de una campa\u00f1a de ransomware y extorsi\u00f3n que apuntaba directamente a archivos de variables de entorno expuestos. El actor malicioso de la campa\u00f1a cosech\u00f3 con \u00e9xito m\u00e1s de 90.000 credenciales de 110.000 dominios objetivo. Y lo que es m\u00e1s preocupante, tambi\u00e9n recopilaron casi 1.200 credenciales de IAM en la nube. Estas credenciales permitieron al actor malicioso realizar con \u00e9xito ataques de extorsi\u00f3n contra m\u00faltiples organizaciones.<\/p>\n<p>Esta operaci\u00f3n brinda la oportunidad de debatir sobre los mecanismos de seguridad existentes para proteger a las organizaciones. En concreto, esto nos permite determinar c\u00f3mo emplear a la vez soluciones de seguridad de gesti\u00f3n de postura y de supervisi\u00f3n en tiempo de ejecuci\u00f3n de forma transparente. Esto permite a las organizaciones construir un per\u00edmetro de defensa de seguridad en la nube lo suficientemente s\u00f3lido y capaz de hacer frente a estas nuevas oleadas de atacantes.<\/p>\n<p>Durante la investigaci\u00f3n para este art\u00edculo, descubrimos que el n\u00famero total medio de alertas en la nube experimentadas por una organizaci\u00f3n aument\u00f3 un 388% en 2024. Estas alertas proceden de operaciones de gesti\u00f3n de la postura y de detecci\u00f3n de monitorizaci\u00f3n en tiempo de ejecuci\u00f3n.<\/p>\n<p>Aunque las alertas de severidad \"informativa\" representaron la mayor\u00eda de las alertas, es sumamente importante destacar que el cambio m\u00e1s significativo se produjo en el n\u00famero de alertas de severidad elevada. Esta clasificaci\u00f3n de alerta experiment\u00f3 un aumento del 235% durante 2024. Las alertas de severidad media y baja tambi\u00e9n aumentaron un 21% y un 10%, respectivamente.<\/p>\n<h3><a id=\"post-139357-_heading=h.pu0s93jxbj6q\"><\/a>Qu\u00e9 Significan estas Tendencias en las Alertas<\/h3>\n<p>Los cambios que observamos en el n\u00famero de alertas se alinean con nuestro <a href=\"https:\/\/www.paloaltonetworks.com\/state-of-cloud-native-security\">Informe sobre el estado de la seguridad nativa de la nube 2024,<\/a> que descubri\u00f3 que el 71% de las organizaciones atribuyen el aumento de la exposici\u00f3n a vulnerabilidades a la aceleraci\u00f3n de las implementaciones. Adem\u00e1s, el 45% de esas organizaciones informan de un aumento de los ataques de amenazas persistentes avanzadas (APT) en el \u00faltimo a\u00f1o.<\/p>\n<p>Un ejemplo de ello es la reciente investigaci\u00f3n de Microsoft sobre <a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/11\/22\/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon\/\">Storm-2077<\/a>, un actor en la nube (CTAG) basado en China que emplea complejas t\u00e9cnicas de recolecci\u00f3n de credenciales IAM en la nube para obtener y mantener el acceso a los entornos en la nube de las v\u00edctimas. R\u00e1pidamente se hace evidente que tanto la gesti\u00f3n de la postura de la nube como la supervisi\u00f3n de la seguridad en tiempo de ejecuci\u00f3n deben funcionar como una sola unidad para llevar a cabo una protecci\u00f3n adecuada frente a la siguiente fase de amenazas en entornos en la nube. La secci\u00f3n <a href=\"#post-139357-_heading=h.f6kom41r6y81\">Antecedentes<\/a> que aparece a continuaci\u00f3n proporciona informaci\u00f3n adicional sobre la gesti\u00f3n de postura y las detecciones de monitorizaci\u00f3n en tiempo de ejecuci\u00f3n.<\/p>\n<p>Una misi\u00f3n clave para los defensores de la nube es dise\u00f1ar y desplegar una plataforma de seguridad en la nube que mejore la capacidad de detecci\u00f3n. Esto permite a los administradores no s\u00f3lo detectar errores de configuraci\u00f3n y vulnerabilidades, sino tambi\u00e9n recopilar y analizar los eventos en tiempo de ejecuci\u00f3n dentro de los entornos en la nube. Una plataforma de este tipo proporciona a los defensores una mejor visibilidad y permite una respuesta m\u00e1s r\u00e1pida a las alertas.<\/p>\n<p>Aunque la capacidad de identificar y detectar eventos maliciosos o sospechosos en la nube ha aumentado en la industr\u00eda, tambi\u00e9n lo ha hecho la complejidad de las operaciones ofensivas en la nube de los actores maliciosos. Por ejemplo, en enero de 2024, el entorno en la nube promedio vio solo dos alertas para el uso remoto de l\u00ednea de comandos de un token IAM de funci\u00f3n \u201cserverless\u201d. Esta tendencia se mantuvo a lo largo del a\u00f1o. Sin embargo, en diciembre de 2024, el entorno de nube medio registr\u00f3 m\u00e1s de 200 de esas mismas alertas, una preocupante se\u00f1al de aumento de la actividad. Tal como se comparti\u00f3 en el art\u00edculo <a href=\"https:\/\/unit42.paloaltonetworks.com\/large-scale-cloud-extortion-operation\/\">Variables de Entorno Filtradas<\/a>, esta operaci\u00f3n en tiempo de ejecuci\u00f3n es exactamente lo que ocurri\u00f3 durante ese evento de extorsi\u00f3n maliciosa.<\/p>\n<p>Otras pruebas que apoyan esta tendencia son las siguientes:<\/p>\n<ul>\n<li>Aumentan un 116% las alertas de viajes imposibles relacionadas con identidades en la nube<\/li>\n<li>Aumentan un 60% el n\u00famero de llamadas API a la carga de trabajo de computaci\u00f3n desde fuera de la regi\u00f3n en la nube de la propia instancia.<\/li>\n<li>Aumentan un 45% el n\u00famero de exportaciones de copias instant\u00e1neas en la nube.<\/li>\n<li>Aumentan un 305% el n\u00famero de descargas sospechosas de m\u00faltiples objetos de almacenamiento en la nube.<\/li>\n<\/ul>\n<p>Estos hallazgos en las alertas indican claramente que el prop\u00f3sito principal de los CTAG es tener como objetivo, recopilar y utilizar un token o credencial de IAM en la nube. Esto tambi\u00e9n indica que los atacantes utilizar\u00e1n estos tokens o credenciales para operaciones potencialmente maliciosas.<\/p>\n<h2><a id=\"post-139357-_heading=h.f6kom41r6y81\"><\/a>Antecedentes<\/h2>\n<p>Las herramientas de gesti\u00f3n de la postura de seguridad en la nube (<a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/what-is-cloud-security-posture-management\">CSPM<\/a>) constituyen la base de la seguridad en la nube. Sus operaciones se centran en la monitorizaci\u00f3n de los controles de seguridad para garantizar que los entornos en la nube mantienen configuraciones seguras y est\u00e1n libres de vulnerabilidades y configuraciones err\u00f3neas.<\/p>\n<p>La monitorizaci\u00f3n de la gesti\u00f3n de la postura se basa tradicionalmente en el escaneo de seguridad espec\u00edfico en el tiempo de los recursos y las configuraciones de un entorno en la nube. Las alertas se activan cuando un recurso en la nube nuevo o modificado parece plantear riesgos potenciales para la seguridad.<\/p>\n<p>Por ejemplo, se activar\u00e1 una alerta si una pol\u00edtica IAM es demasiado permisiva y permite el acceso a otros recursos de la nube. Tambi\u00e9n se activar\u00e1 si una instancia de computaci\u00f3n en la nube o una funci\u00f3n serverless contiene vulnerabilidades o configuraciones err\u00f3neas.<\/p>\n<p>Las operaciones de escaneo de gesti\u00f3n de la postura se realizan de forma programada rutinaria, a menudo cada hora o cada d\u00eda. Algunas herramientas de seguridad CSPM permiten tambi\u00e9n la supervisi\u00f3n de los registros de auditor\u00eda de la plataforma en la nube, lo que puede ayudar a detectar actividades sospechosas a medida que se producen dentro de una plataforma de servicios en la nube (CSP). Es fundamental que las organizaciones configuren su plataforma CSPM para recopilar los registros de auditor\u00eda de sus aplicaciones de software como servicio (SaaS) de terceros basadas en la nube para garantizar la visibilidad.<\/p>\n<p>Las herramientas CDR proporcionan detecciones de monitorizaci\u00f3n en tiempo de ejecuci\u00f3n mediante la recopilaci\u00f3n, identificaci\u00f3n e incluso prevenci\u00f3n de las operaciones que se producen durante un evento concreto. Al recopilar los registros de las instancias de computaci\u00f3n en la nube, los recursos de registros CSP y aplicaciones SaaS en nube de terceros, las herramientas de seguridad CDR pueden identificar, alertar y prevenir ante eventos maliciosos en la nube.<\/p>\n<p>Ejemplos de estas operaciones incluyen la ejecuci\u00f3n de una petici\u00f3n API contra una plataforma o aplicaci\u00f3n en la nube como:<\/p>\n<ul>\n<li>\n<ul>\n<li>Crear nuevos usuarios de la nube o cuentas de servicio<\/li>\n<li>Adjuntar pol\u00edticas IAM a usuarios o roles IAM nuevos o establecidos<\/li>\n<li>Establecer conexiones de red desde un nodo de salida Tor o un host VPN<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>A diferencia de las herramientas de gesti\u00f3n de la postura de seguridad, las herramientas de monitorizaci\u00f3n en tiempo de ejecuci\u00f3n supervisan continuamente el entorno de la nube y a menudo requieren un agente dedicado para mantener la visibilidad de los recursos de la nube. Cuando se instala un agente, las herramientas de seguridad de monitorizaci\u00f3n en tiempo de ejecuci\u00f3n de la nube permiten detectar -e incluso prevenir- las operaciones maliciosas en la nube a medida que se producen.<\/p>\n<h2><a id=\"post-139357-_heading=h.rhghs6ys2zhc\"><\/a>Tendencias de las Alertas de Severidad Alta<\/h2>\n<p>Hemos observado un claro aumento del n\u00famero de alertas en 2024, en correlaci\u00f3n con el aumento de los ataques a entornos en la nube.<\/p>\n<p>Las alertas de alta severidad en la nube aumentaron un 235% a lo largo de 2024. El mayor repunte en un solo mes (281%) se produjo en Mayo, y observamos el aumento m\u00e1s sustancial de estas alertas (204%, 247% y 122 %) en Agosto, Octubre y Diciembre, como muestra la Figura 1.<\/p>\n<figure id=\"attachment_139358\" aria-describedby=\"caption-attachment-139358\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-139358 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-2.png\" alt=\"Line graph showing monthly fluctuation rates by percentage ranging from 0% to 1.25% with peaks in April, July, and December, and troughs in February, June and July, and September. Palo Alto Networks | UNIT 42 logo lockup at the bottom. \" width=\"800\" height=\"403\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-2.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-2-786x396.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-2-1389x700.png 1389w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-2-768x387.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-2-1536x774.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-139358\" class=\"wp-caption-text\">Figura 1. Tendencias de las alertas de alta gravedad para 2024.<\/figcaption><\/figure>\n<h3><a id=\"post-139357-_heading=h.fb1ta94y0dww\"><\/a>Las 10 Principales Alertas de alta Severidad<\/h3>\n<p>Un examen m\u00e1s detallado de las 10 alertas diarias de alta severidad m\u00e1s frecuentes revela un elevado n\u00famero de alertas relacionadas \u00fanicamente con eventos centrados en el tiempo de ejecuci\u00f3n. Estas alertas se activan por un acontecimiento singular o una secuencia de acontecimientos conectados. Esto hizo necesario un an\u00e1lisis casi en tiempo real o, en algunos casos, un an\u00e1lisis en tiempo real para la detecci\u00f3n.<\/p>\n<p>La Tabla 2 a continuaci\u00f3n muestra que el uso remoto de la l\u00ednea de comandos de los tokens IAM \u201cserverless\u201d es un evento que requiere an\u00e1lisis de logs en tiempo real para detectar y potencialmente prevenir. Por el contrario, la alerta de alta gravedad m\u00e1s frecuente, \"protecci\u00f3n contra el borrado de almacenamiento en la nube desactivada,\" puede detectarse y mitigarse con una herramienta CSPM.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><b>Nombre de la Alerta<\/b><\/td>\n<td style=\"text-align: center;\"><b>Control en Tiempo de Ejecuci\u00f3n o de Postura\u00a0<\/b><\/td>\n<td style=\"text-align: center;\"><b>Recuento Medio Diario<\/b><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Uso de la l\u00ednea de comandos remota del token \u201cserverless\u201d<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">24,68<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Una identidad realiz\u00f3 una descarga sospechosa de varios objetos de almacenamiento en la nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">21,09<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Protecci\u00f3n contra borrado de almacenamiento en la nube desactivada<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Postura y tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">20,19<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Asignaci\u00f3n anormal de recursos de computaci\u00f3n en un elevado n\u00famero de regiones<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Postura y tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">11,11<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Se utiliz\u00f3 una cuenta de servicio de nodo Kubernetes fuera del cl\u00faster desde una IP no perteneciente a la nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Postura<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">11<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Asignaci\u00f3n anormal sospechosa de recursos de computaci\u00f3n en varias regiones<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Postura y tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">10<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Exportaci\u00f3n de m\u00faltiples copias instant\u00e1neas en la nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">9,33<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Uso de la l\u00ednea de comandos remota del rol \u201cserverless\u201d<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">7,79<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Asignaci\u00f3n inusual de m\u00faltiples recursos de computaci\u00f3n en la nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Postura y tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">7,73<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Asignaci\u00f3n anormal inusual de recursos de computaci\u00f3n en varias regiones<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Postura y tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">6,42<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><span style=\"font-size: 10pt;\">Tabla 2. Alerta de alta gravedad por incidencia media.<\/span><\/p>\n<p>Para garantizar la protecci\u00f3n de los objetos de almacenamiento en la nube dentro de un contenedor de almacenamiento cuya protecci\u00f3n contra el borrado se haya desactivado, recomendamos firmemente desplegar una herramienta CDR. Estas herramientas pueden detectar y evitar que se borren objetos de almacenamiento en la nube como resultado de un evento de \"protecci\u00f3n desactivada.\"<\/p>\n<p>Otras alertas notables de alta gravedad incluyen m\u00faltiples exportaciones de copias instant\u00e1neas en la nube y el uso sospechoso de una cuenta de servicio IAM. Ambos son indicadores clave de actividad maliciosa en un entorno de nube.<\/p>\n<p>Ejemplos de operaciones maliciosas que podr\u00edan activar varias de estas alertas son la extorsi\u00f3n o los sucesos de ransomware centrados en la nube. Este tipo de eventos s\u00f3lo pueden llevarse a cabo desactivando primero las protecciones del almacenamiento en la nube, como la protecci\u00f3n contra borrado y las copias de seguridad autom\u00e1ticas. Una vez eliminadas estas protecciones, los actores maliciosos pueden borrar o exfiltrar objetos contenedores de almacenamiento en la nube, lo que aumenta la probabilidad de \u00e9xito de una operaci\u00f3n de extorsi\u00f3n.<\/p>\n<p>Algunas de estas alertas de alta gravedad tambi\u00e9n podr\u00edan activarse por el compromiso de recursos expuestos o vulnerables de instancias computacionales o \u201cserverless.\u201d Espec\u00edficamente en t\u00e9rminos del uso de la l\u00ednea de comandos remota de un token IAM \u201cserverless\u201d, las funciones \u201cserverless\u201d est\u00e1n dise\u00f1adas para operar de forma aut\u00f3noma e independiente.<\/p>\n<p>El uso remoto o no autorizado del token IAM de una funci\u00f3n serverless indica un compromiso y un posible movimiento lateral dentro del entorno de la nube. El mismo tipo de evento podr\u00eda indicar el uso malicioso de un token IAM de una cuenta de servicio. Dado que los tokens IAM de las cuentas de servicio suelen estar destinados a un \u00fanico prop\u00f3sito, cualquier uso an\u00f3malo de ese token debe considerarse sospechoso.<\/p>\n<h2><a id=\"post-139357-_heading=h.iu7gc4p6e9yn\"><\/a>Tendencias de las Alertas de Severidad Media<\/h2>\n<p>A diferencia del repunte de las alertas de severidad alta de finales de a\u00f1o, a mediados de 2024 observamos un repunte sostenido de las alertas de severidad media. Este repunte incluy\u00f3 un aumento inicial del 186% y otro posterior del 24%, antes de una tendencia a la baja hasta Diciembre, como muestra la Figura 2.<\/p>\n<figure id=\"attachment_139369\" aria-describedby=\"caption-attachment-139369\" style=\"width: 800px\" class=\"wp-caption alignnone\"><img  class=\"wp-image-139369 lozad\"  data-src=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-3.png\" alt=\"Line graph showing monthly fluctuation rates by percentage ranging from 0% to 3% with a trough in January through March and rising in April where it peaks in May-June, then falls to slightly lower through the rest of the year. Palo Alto Networks | UNIT 42 logo lockup at the bottom. \" width=\"800\" height=\"407\" srcset=\"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-3.png 2048w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-3-786x400.png 786w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-3-1374x700.png 1374w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-3-768x391.png 768w, https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-3-1536x782.png 1536w\" sizes=\"(max-width: 800px) 100vw, 800px\" \/><figcaption id=\"caption-attachment-139369\" class=\"wp-caption-text\">Figura 2. Tendencias de las alertas de severidad media para 2024.<\/figcaption><\/figure>\n<h3><a id=\"post-139357-_heading=h.fqb2ptn31wt8\"><\/a>Las 10 Principales Alertas de Severidad Media<\/h3>\n<p>Las 10 principales alertas de severidad media, que figuran en la Tabla 3, difieren de las 10 principales alertas de severidad alta que figuran en la Tabla 2. La diferencia clave es que para todas menos una de las 10 alertas de severidad media, los eventos s\u00f3lo pueden detectarse realizando alg\u00fan tipo de an\u00e1lisis de protecci\u00f3n en tiempo de ejecuci\u00f3n.<\/p>\n<p>El evento \"transferencia inusual de grandes vol\u00famenes de datos\" puede activarse utilizando las detecciones tradicionales de CSPM de los recursos en la nube. Sin embargo, al igual que el evento de severidad alta \"protecci\u00f3n contra borrado de almacenamiento en la nube desactivada\" comentado anteriormente, una herramienta CDR tendr\u00eda mayor capacidad de detectar este evento de transferencia de volumen inusual mientras se estaba produciendo. Tambi\u00e9n podr\u00eda identificar los tipos de archivos y sus ubicaciones en archivos o directorios de almacenamiento en la nube. Estos detalles proporcionan a los equipos de seguridad los recursos m\u00e1s deseados para realizar su trabajo: tiempo y conocimiento.<\/p>\n<table style=\"width: 100%;\">\n<tbody>\n<tr>\n<td style=\"text-align: center;\"><b>Nombre de la Alerta<\/b><\/td>\n<td style=\"text-align: center;\"><b>Control en Tiempo de Ejecuci\u00f3n o de Postura\u00a0<\/b><\/td>\n<td style=\"text-align: center;\"><b>Recuento Medio Diario<\/b><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Una identidad IAM intent\u00f3 m\u00faltiples acciones en recursos que fueron denegados<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">80<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Una identidad asociada a computaci\u00f3n ejecuta llamadas a la API fuera de la regi\u00f3n de la instancia<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">36,32<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Intento de acceso a una aplicaci\u00f3n en la nube desde un tenant no habitual<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">21,69<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Una identidad realiz\u00f3 una descarga sospechosa de varios objetos de almacenamiento en la nube desde varios buckets<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">18,66<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Viaje imposible por una identidad de computaci\u00f3n en nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">18,65<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">ransferencia inusual de grandes vol\u00famenes de datos de almacenamiento<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">15<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Actividad de la cuenta de servicio Kubernetes fuera del cl\u00faster desde una direcci\u00f3n IP no perteneciente a la nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">12,15<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Una aplicaci\u00f3n en la nube realiz\u00f3 varias acciones que fueron denegadas<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">12,02<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Exportaci\u00f3n de m\u00faltiples copias instant\u00e1neas en la nube<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">10<\/span><\/td>\n<\/tr>\n<tr>\n<td><span style=\"font-weight: 400;\">Una identidad sospechosa descarg\u00f3 varios objetos de un bucket de almacenamiento de copias de seguridad<\/span><\/td>\n<td><span style=\"font-weight: 400;\">Tiempo de ejecuci\u00f3n<\/span><\/td>\n<td style=\"text-align: center;\"><span style=\"font-weight: 400;\">9,68<\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<p><em>Tabla 3. Alerta de gravedad media por incidencia media.<\/em><\/p>\n<p>Varias de las alertas enumeradas en la Tabla 3 podr\u00edan indicar que los actores maliciosos est\u00e1n atacando recursos de la nube, como cuentas de servicio de Kubernetes fuera del cl\u00faster o desde una direcci\u00f3n IP no perteneciente a la nube. Estas dos alertas en particular podr\u00edan indicar que los tokens de autenticaci\u00f3n del cl\u00faster Kubernetes han sido comprometidos, ya que los tokens IAM de la cuenta de servicio est\u00e1n dise\u00f1ados para un prop\u00f3sito singular. Cualquier operaci\u00f3n que utilice estas credenciales desde fuera del cl\u00faster-o fuera del entorno de nube conocido- debe considerarse actividad sospechosa y debe mitigarse.<\/p>\n<p>Otra alerta que es importante destacar es la exportaci\u00f3n de m\u00faltiples copias instant\u00e1neas de la nube. Aunque puede haber un caso de uso leg\u00edtimo para este tipo de evento como el despliegue de copias instant\u00e1neas o una copia de seguridad externa, los actores maliciosos tambi\u00e9n exportan copias instant\u00e1neas. Las copias instant\u00e1neas en la nube pueden contener informaci\u00f3n sensible, lo que las convierte en objetivo habitual de operaciones maliciosas.<\/p>\n<h2><a id=\"post-139357-_heading=h.gd2tpdwp3s28\"><\/a>Qu\u00e9 Pueden Hacer las Organizaciones<\/h2>\n<p>Hay varias medidas que las organizaciones pueden aplicar para protegerse mejor contra las operaciones maliciosas en la nube:<\/p>\n<ul>\n<li>Implantar una supervisi\u00f3n CDR eficaz en tiempo de ejecuci\u00f3n\n<ul>\n<li>Implantar una soluci\u00f3n CDR de seguridad en la nube para todos sus entornos de nube<\/li>\n<li>Garantizar que todos los endpoints cr\u00edticos en la nube dispongan de agentes habilitados en tiempo de ejecuci\u00f3n para detectar operaciones de computaci\u00f3n y contenedores en tiempo de ejecuci\u00f3n.<\/li>\n<li>Asegurar que sus proveedores de CSP ofrezcan supervisi\u00f3n de los registros de auditor\u00eda de la nube en tiempo de ejecuci\u00f3n.<\/li>\n<li>Asegurar que sus aplicaciones SaaS integradas en la nube recopilan:\n<ul>\n<li>Proveedores de identidad (IdP)<\/li>\n<li>Integraciones CI\/CD<\/li>\n<li>Repositorios de c\u00f3digo fuente<\/li>\n<li>Plataformas de ticketing<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<\/li>\n<li>Poner l\u00edmites a las regiones CSP en las que se permite operar a las funciones de computaci\u00f3n y serverless.\n<ul>\n<li>Es una pr\u00e1ctica com\u00fan para los actores de amenazas crear recursos en la nube dentro de regiones CSP extranjeras para realizar una forma b\u00e1sica de ofuscaci\u00f3n de operaciones<\/li>\n<\/ul>\n<\/li>\n<li>Identificar y prevenir que las cuentas de servicio IAM realicen operaciones fuera de sus funciones previstas.\n<ul>\n<li>Seguir el dise\u00f1o de arquitectura de m\u00ednimo privilegio para credenciales IAM puede ayudar en gran medida a combatir el movimiento lateral y las operaciones de escalada de privilegios si una credencial IAM se ve comprometida.<\/li>\n<\/ul>\n<\/li>\n<li>Asegurar que todos los contenedores de almacenamiento en la nube dispongan de versionado y cifrado.\n<ul>\n<li>El control de versiones y el cifrado son configuraciones gratuitas para cada contenedor de almacenamiento en nube de cada uno de los tres principales proveedores de servicios en nube<\/li>\n<li>Estas dos caracter\u00edsticas tambi\u00e9n aumentan significativamente las dificultades que los actores de amenazas encontrar\u00e1n al tratar de robar su valiosa y sensible informaci\u00f3n.<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n<p>En caso de duda, recuerde que las defensas de supervisi\u00f3n en tiempo de ejecuci\u00f3n de CDR <strong>deben<\/strong> estar presentes para combatir eficazmente la mayor\u00eda de las amenazas a las que se enfrentan los entornos en la nube.<\/p>\n<h2><a id=\"post-139357-_heading=h.x9eq81yx9p1j\"><\/a>Conclusi\u00f3n<\/h2>\n<p>La supervisi\u00f3n en tiempo de ejecuci\u00f3n CDR es un aspecto cr\u00edtico para mantener un entorno seguro de nube, nube h\u00edbrida y nube m\u00faltiple. Como demuestran los datos de tendencias de alertas de severidad alta y media analizados en este art\u00edculo, hubo un aumento del 388% en el n\u00famero medio de alertas que los entornos de nube presenciaron durante 2024.<\/p>\n<p>Un n\u00famero significativo de estas alertas son el resultado directo de la detecci\u00f3n de operaciones en tiempo de ejecuci\u00f3n, que no pueden detectarse \u00fanicamente con las herramientas de gesti\u00f3n de la postura (CSPM). Las herramientas CDR proporcionan capacidades de detecci\u00f3n en tiempo de ejecuci\u00f3n en la nube, lo que permite la detecci\u00f3n de eventos maliciosos que ocurren en instancias de computaci\u00f3n en la nube, hosts de contenedores o funciones serverless.<\/p>\n<p>Dadas las crecientes amenazas dirigidas a los entornos de nube, la \u00fanica defensa real para estos entornos es exigir agentes basados en la nube para los endpoints cr\u00edticos y expuestos p\u00fablicamente en la nube, el registro de auditor\u00edas de los CSP y las aplicaciones SaaS de terceros en la nube. El uso de una herramienta de an\u00e1lisis CDR permite a los defensores recopilar, detectar y prevenir la ejecuci\u00f3n de operaciones maliciosas que puedan afectar a cualquiera de estos recursos. La combinaci\u00f3n de supervisi\u00f3n, an\u00e1lisis y respuesta en tiempo de ejecuci\u00f3n para el registro de eventos de recursos en la nube es esencial para garantizar que no se permitan las operaciones maliciosas en entornos en la nube.<\/p>\n<p>Si cree que puede haberse visto comprometido o tiene un asunto urgente, p\u00f3ngase en contacto con el<a href=\"https:\/\/start.paloaltonetworks.com\/contact-unit42.html\"> Equipo de Respuesta a Incidentes de la Unidad 42<\/a>, o llame al:<\/p>\n<ul>\n<li>Am\u00e9rica del Norte: Llamada gratuita: +1 (866) 486-4842 (866.4.UNIT42)<\/li>\n<li>REINO UNIDO: +44.20.3743.3660<\/li>\n<li>Europa y Oriente Medio: +31.20.299.3130<\/li>\n<li>Asia: +65.6983.8730<\/li>\n<li>Jap\u00f3n: +81.50.1790.0200<\/li>\n<li>Australia: +61.2.4062.7950<\/li>\n<li>India: 00080005045107<\/li>\n<\/ul>\n<p>Palo Alto Networks ha compartido estos resultados con nuestros compa\u00f1eros de la Cyber Threat Alliance (CTA). Los miembros de la CTA utilizan esta inteligencia para desplegar r\u00e1pidamente protecciones para sus clientes y desbaratar sistem\u00e1ticamente a los ciberagentes malintencionados. Ontenga m\u00e1s informaci\u00f3n acerca de <a href=\"https:\/\/www.cyberthreatalliance.org\">Cyber Threat Alliance<\/a>.<\/p>\n<h2><a id=\"post-139357-_heading=h.nv9jot84v67x\"><\/a>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/unit42.paloaltonetworks.com\/large-scale-cloud-extortion-operation\/\">Variables de entorno filtradas permiten operaciones de extorsi\u00f3n a gran escala en entornos cloud<\/a> - Unidad 42, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/state-of-cloud-native-security\">Informe sobre el estado de la seguridad nativa de la nube 2024<\/a> - Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2024\/11\/22\/microsoft-shares-latest-intelligence-on-north-korean-and-chinese-threat-actors-at-cyberwarcon\/\">Microsoft comparte la inteligencia m\u00e1s reciente sobre actores de amenazas norcoreanos y chinos en CYBERWARCON<\/a> - Threat Intelligence blog, Microsoft<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/what-is-cloud-security-posture-management\">\u00bfQu\u00e9 es la CSPM? | Explicaci\u00f3n de la gesti\u00f3n de posturas de seguridad en la nube<\/a> - Cyberpedia, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.paloaltonetworks.com\/cyberpedia\/what-is-cloud-detection-and-response-cdr\">\u00bfQu\u00e9 es la detecci\u00f3n y respuesta en la nube (CDR)?<\/a> - Cyberpedia, Palo Alto Networks<\/li>\n<li><a href=\"https:\/\/www.gartner.com\/en\/information-technology\/glossary\/identity-and-access-management-iam\">Definici\u00f3n de gesti\u00f3n de identidades y acceso (IAM)<\/a> - Glosario de tecnolog\u00edas de la informaci\u00f3n de Gartner.<\/li>\n<\/ul>\n<p>&nbsp;<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s.<\/p>\n","protected":false},"author":317,"featured_media":138749,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[8837,8729],"tags":[8863,8864,8865,8866],"product_categories":[],"coauthors":[1394],"class_list":["post-139357","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-threat-research-es","category-cloud-cybersecurity-research-es","tag-api-attacks-es","tag-containers-es","tag-iam-es","tag-serverless-es"],"yoast_head":"<!-- This site is optimized with the Yoast SEO Premium plugin v27.0 (Yoast SEO v27.0) - https:\/\/yoast.com\/product\/yoast-seo-premium-wordpress\/ -->\n<title>Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n<\/title>\n<meta name=\"description\" content=\"Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s. Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s.\" \/>\n<meta name=\"robots\" content=\"index, follow, max-snippet:-1, max-image-preview:large, max-video-preview:-1\" \/>\n<link rel=\"canonical\" href=\"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/\" \/>\n<meta property=\"og:locale\" content=\"es_ES\" \/>\n<meta property=\"og:type\" content=\"article\" \/>\n<meta property=\"og:title\" content=\"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n\" \/>\n<meta property=\"og:description\" content=\"Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s. Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s.\" \/>\n<meta property=\"og:url\" content=\"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/\" \/>\n<meta property=\"og:site_name\" content=\"Unit 42\" \/>\n<meta property=\"article:published_time\" content=\"2025-04-14T16:19:48+00:00\" \/>\n<meta property=\"article:modified_time\" content=\"2025-06-04T18:45:39+00:00\" \/>\n<meta property=\"og:image\" content=\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/03\/04_Cloud_cybersecurity_research_Overview_1920x900.jpg\" \/>\n\t<meta property=\"og:image:width\" content=\"1920\" \/>\n\t<meta property=\"og:image:height\" content=\"900\" \/>\n\t<meta property=\"og:image:type\" content=\"image\/jpeg\" \/>\n<meta name=\"author\" content=\"Nathaniel Quist\" \/>\n<meta name=\"twitter:card\" content=\"summary_large_image\" \/>\n<!-- \/ Yoast SEO Premium plugin. -->","yoast_head_json":{"title":"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n","description":"Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s. Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s.","robots":{"index":"index","follow":"follow","max-snippet":"max-snippet:-1","max-image-preview":"max-image-preview:large","max-video-preview":"max-video-preview:-1"},"canonical":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/","og_locale":"es_ES","og_type":"article","og_title":"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n","og_description":"Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s. Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s.","og_url":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/","og_site_name":"Unit 42","article_published_time":"2025-04-14T16:19:48+00:00","article_modified_time":"2025-06-04T18:45:39+00:00","og_image":[{"width":1920,"height":900,"url":"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/03\/04_Cloud_cybersecurity_research_Overview_1920x900.jpg","type":"image\/jpeg"}],"author":"Nathaniel Quist","twitter_card":"summary_large_image","schema":{"@context":"https:\/\/schema.org","@graph":[{"@type":"Article","@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#article","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/"},"author":{"name":"Nathaniel Quist","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"headline":"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n","datePublished":"2025-04-14T16:19:48+00:00","dateModified":"2025-06-04T18:45:39+00:00","mainEntityOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/"},"wordCount":4376,"commentCount":0,"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/03\/04_Cloud_cybersecurity_research_Overview_1920x900.jpg","keywords":["API attacks","Containers","IAM","serverless"],"articleSection":["Investigaci\u00f3n de amenazas","Investigaci\u00f3n sobre ciberseguridad en la nube"],"inLanguage":"es","potentialAction":[{"@type":"CommentAction","name":"Comment","target":["https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#respond"]}]},{"@type":"WebPage","@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/","url":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/","name":"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n","isPartOf":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#website"},"primaryImageOfPage":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#primaryimage"},"image":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#primaryimage"},"thumbnailUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/03\/04_Cloud_cybersecurity_research_Overview_1920x900.jpg","datePublished":"2025-04-14T16:19:48+00:00","dateModified":"2025-06-04T18:45:39+00:00","author":{"@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de"},"description":"Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s. Entender las tendencias en medio del ruido: el seguimiento de los cambios en las alertas de seguridad permite a los defensores de la nube analizar las amenazas de los atacantes dirigidas a IAM, almacenamiento y m\u00e1s.","breadcrumb":{"@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#breadcrumb"},"inLanguage":"es","potentialAction":[{"@type":"ReadAction","target":["https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/"]}]},{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#primaryimage","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/03\/04_Cloud_cybersecurity_research_Overview_1920x900.jpg","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/03\/04_Cloud_cybersecurity_research_Overview_1920x900.jpg","width":1920,"height":900,"caption":"Pictorial representation of cloud alert trends. Digital illustration of a glowing cloud composed of binary code, surrounded by dynamic red and blue light streaks, symbolizing cloud computing technology."},{"@type":"BreadcrumbList","@id":"https:\/\/unit42.paloaltonetworks.com\/es\/2025-cloud-security-alert-trends\/#breadcrumb","itemListElement":[{"@type":"ListItem","position":1,"name":"Home","item":"https:\/\/unit42.paloaltonetworks.com\/"},{"@type":"ListItem","position":2,"name":"Amenazas de la Nube en Aumento: las Tendencias de Alertas Muestran que los Atacantes se Centran cada vez M\u00e1s en IAM y Exfiltraci\u00f3n"}]},{"@type":"WebSite","@id":"https:\/\/unit42.paloaltonetworks.com\/#website","url":"https:\/\/unit42.paloaltonetworks.com\/","name":"Unit 42","description":"Palo Alto Networks","potentialAction":[{"@type":"SearchAction","target":{"@type":"EntryPoint","urlTemplate":"https:\/\/unit42.paloaltonetworks.com\/?s={search_term_string}"},"query-input":{"@type":"PropertyValueSpecification","valueRequired":true,"valueName":"search_term_string"}}],"inLanguage":"es"},{"@type":"Person","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/6f4153adb969c91f103a21af22c5d1de","name":"Nathaniel Quist","image":{"@type":"ImageObject","inLanguage":"es","@id":"https:\/\/unit42.paloaltonetworks.com\/#\/schema\/person\/image\/947819d65069de51e7512d05c4607081","url":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","contentUrl":"https:\/\/origin-unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/09\/Nathaniel-Quist_Headshot-Insights-300x300.png","caption":"Nathaniel Quist"},"description":"Nathaniel Quist is the Manager of the Cloud Threat Intelligence Team for Cortex Cloud, where he collaborates with the Cortex and Unit 42 researchers to track threat actors targeting cloud platforms and services. He holds a Master of Science in Information Security Engineering from The SANS Institute and has authored several publications for Palo Alto Networks' Unit 42, Prisma Cloud, and the SANS InfoSec Reading Room. Outside of cloud threats, he enjoys puzzles, blockchain, and ranching.","url":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/author\/nathaniel-quist\/"}]}},"_links":{"self":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/posts\/139357","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/users\/317"}],"replies":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/comments?post=139357"}],"version-history":[{"count":6,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/posts\/139357\/revisions"}],"predecessor-version":[{"id":164160,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/posts\/139357\/revisions\/164160"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/media\/138749"}],"wp:attachment":[{"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/media?parent=139357"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/categories?post=139357"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/tags?post=139357"},{"taxonomy":"product_categories","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/product_categories?post=139357"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/origin-unit42.paloaltonetworks.com\/es\/wp-json\/wp\/v2\/coauthors?post=139357"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}