Cuando hablamos de la nube, nuestro subconsciente, por inercia, lo asocia con Internet, sus orígenes e incluso con el uso compartido de almacenamiento de datos e información, sin embargo, el cómputo en la nube es un concepto que va más allá de capacidades de interconectividad y permite beneficios que dotan de agilidad y elasticidad a las organizaciones, desde la implementación y puesta a punto de aplicaciones y servicios, hasta el uso de capacidades de procesamiento e infraestructuras completas (en cualquiera de sus tipos: IaaS, PaaS, SaaS), con esquemas de alta disponibilidad multirregión.

Comercialmente hablando, el cómputo en la nube surgió a finales de la década de 1990, empezando a hacer realidad lo que en los años 60 era visto como ciencia ficción: alquilar servidores, procesamiento, desplegar y renovar recursos de manera instantánea, que podrían venderse como servicios, tal como el agua o la electricidad.

Jugadores como Amazon, Microsoft y Google, por mencionar a los más relevantes, lanzaron sus servicios de cómputo en la nube en 2006, 2009 y 2008, respectivamente, y comenzaran con la consolidación de todo un imperio, cuyo crecimiento parece no tener fin.

Si bien los beneficios son indiscutibles, tantas características y opciones llegan a ser apabullantes, al punto de generar un deslumbramiento, que lleva a que los principios, capacidades defensivas y mejores prácticas de seguridad aplicada a la nube se vean distorsionadas y la coloquen en un segundo término, en algunas situaciones, o de plano dejándola fuera del rango de visión.

Algunos ejemplos:
a)    En 2017 la empresa Alert Logic identificó más de 150 mil instancias de nube con fallas de configuración, de las cuales 30 mil tenían debilidades asociadas a servicios IAM (Identity & Access Management).
b)    Por otro lado, en 2019, una institución financiera llamada Capital One, sufrió un ataque que tuvo como objetivo sus recursos de nube, que permitió al ciberactor obtener 106 millones de aplicaciones de tarjetas de crédito, 140 mil números de seguridad social y 80 mil números de cuentas bancarias, lo que llevó a una multa de cerca de 80 millones de dólares, por la falla en la protección de datos.
c)    En 2019 Microsoft accidentalmente expuso 250 millones de registros asociados con información sensible de clientes.
d)    Hace apenas un par de días se dio a conocer que datos sensibles fueron expuestos por la indebida configuración de recursos de almacenamiento en la nube de Microsoft (en el servicio de Azure Blob Storage), que trajo como resultado la exposición de 65 mil entidades en 111 países.

Mucho se dice y se grita a los cuatro vientos acerca de que el cómputo en la nube es ágil y elástico, haciendo referencia a sus virtudes y bondades, sin embargo, en ese mismo tenor habría que decir que la superficie de ataque también lo es. Los ciberatacantes son ágiles y las amenazas también son elásticas y flexibles en el contexto de la explotación de las debilidades del cómputo en la nube.

Los riesgo son bastos y variados: van desde acceso no autorizado por la ausencia de segundo factor de autenticación, aprovechamiento de fallas de configuración (en servicios de gestión de identidades, por ejemplo), configuraciones débiles o por defecto a nivel red que permiten la exposición de servicios como SSH/RDP, exposición de servicios de almacenamiento (como Buckets), ausencia de cifrado de datos en reposo y en tránsito, explotación de funciones programáticas y no habilitar servicios de registro de bitácoras de monitoreo, que permitan la investigación ante la presencia de un incidente, lo que hace que las acciones de los ciberatacantes pasen desapercibidas.

En fin, cuando se habla del cómputo en la nube, es preponderante considerar sus retos y desafíos, por lo que la estrategia de seguridad debe estar basada en componentes que sean los pilares fundamentales para la concepción de proyectos exitosos en la nube, como:
1)    Herramientas tecnológicas, que permitan dar visibilidad de la postura y proteger los recursos de la nube. Por ejemplo, CSPM (Cloud Security Posture Management), CNAPP (Cloud Native Application Protection Platforms) y CASB (Cloud Access Security Broker).
2)    Marcos de referencia, para alinear y gobernar con base en las mejores prácticas de la industria. Por ejemplo, CIS (Center of Internet Security) Benchmarking o el establecimiento de un CCoE (Cloud Center of Excellence) al interior de la organización.
3)    Habilitación de CSOC (Cloud Security Operation Center), con ingenieros de seguridad que posean habilidades técnicas para prevenir, detectar y responder.

Referencias:
https://dig.sysdig.com/c/pf-sans-2022-cloud-security-survey?x=u_WFRi
https://cloudcomputingtechnologies.com/key-advantages-of-cloud-agility/
https://solved.scality.com/solved/the-history-of-cloud-computing/#:~:text=The%20term%20%E2%80%9Ccloud%20computing%E2%80%9D%20itself,in%20academic%20work%20before%20that.
https://www.gartner.com/en/conferences/hub/cloud-conferences/insights/how-to-build-a-cloud-center-of-excellence
https://www.fayerwayer.com/2012/01/el-origen-de-el-computo-en-la-nube/
https://www.alertlogic.com/blog/identity-and-access-management-misconfigurations-top-the-list-of-exposures-in-aws-cloud-environments-d2/
https://www.reuters.com/article/us-usa-banks-capital-one-fin-idUSKCN2522DA
https://www.bleepingcomputer.com/news/security/microsoft-data-breach-exposes-customers-contact-info-em