Este blog es un resumen de nuestro webinar en panel, Elimine la sobrecarga de alertas: Cómo lograr una verdadera reducción del riesgo en la nube.
La crisis de seguridad en la nube de la que nadie habla con suficiente claridad
Pregúntele a cualquier CISO qué le quita el sueño y la respuesta rara vez es “no tenemos suficientes herramientas de seguridad.” Con más frecuencia, es todo lo contrario: demasiadas herramientas, demasiadas alertas y muy poca claridad sobre dónde se encuentra el verdadero peligro. Ese fue el tema central de un reciente webinar de Skyhawk Security, donde un panel de profesionales y expertos de la industria se reunió para debatir uno de los desafíos más urgentes y subestimados de la seguridad en la nube moderna: la sobrecarga de alertas y la necesidad urgente de pasar de una defensa reactiva a una preemptiva.
La conversación fue franca, práctica y fundamentada en experiencia real. Lo que surgió fue una imagen clara de una industria en un punto de inflexión — uno en el que el viejo modelo de “escanear, puntuar y esperar lo mejor” ya no es suficiente, y donde las organizaciones que saldrán adelante serán aquellas que aprendan a distinguir el riesgo genuino y armado del ruido que lo rodea.
El panorama de amenazas ha cambiado drásticamente
Rob Strechay, analista principal con más de 30 años de experiencia asesorando a líderes de seguridad y tecnología, abrió el debate con una evaluación directa del estado actual de la seguridad en la nube. El campo, argumentó, se ha vuelto casi irreconociblemente complejo en comparación con hace apenas unos años.
“Cuando observas todo el campo y adónde tienes que ir para protegerte a ti mismo y a tu empresa, es inmensamente más difícil que nunca.” — Amit Levran, CISO, SundaySky
Varias fuerzas convergentes impulsan esta complejidad. La IA ha cambiado fundamentalmente la economía de los ataques: los adversarios ahora pueden encontrar vulnerabilidades más rápido, elaborar ataques más convincentes y ejecutar reconocimiento a una escala y velocidad que ningún equipo humano puede igualar. Al mismo tiempo, la superficie de ataque se ha expandido drásticamente. Las dependencias de código abierto representan más del 75% de las bases de código modernas, y el 70% de los problemas de seguridad se originan en la etapa de código, aunque solo el 29% de los desarrolladores ejecutan análisis de seguridad localmente. El riesgo de seguridad, en otras palabras, comienza en el teclado, mucho antes de que el código llegue a producción.
La realidad de múltiples nubes agrava aún más el desafío. La mayoría de las organizaciones operan hoy en múltiples proveedores de nube — AWS, Azure, Google Cloud y otros — cada uno con su propio modelo de seguridad, su propio lenguaje y sus propios vectores de ataque. Incluso las organizaciones que creen operar en una sola nube a menudo descubren que los límites entre los entornos de desarrollo y producción son mucho más porosos de lo que pensaban. Como señaló Amit Levran, Director de Seguridad en SundaySky: una cuenta de desarrollo que puede asumir un rol en una cuenta de producción colapsa efectivamente la separación entre ambos entornos, independientemente de cómo estén etiquetados.
La presión regulatoria añade otra capa de complejidad. La Ley de Resiliencia Cibernética de la UE, los marcos emergentes de gobernanza de IA y un creciente mosaico de requisitos de cumplimiento están dando peso real a las obligaciones de seguridad, creando una responsabilidad que se extiende mucho más allá del propio equipo de seguridad.
El problema de la sobrecarga de alertas: cuando más información significa menos claridad
Quizás el momento más impactante del webinar llegó cuando el panel discutió el enorme volumen de alertas y hallazgos que generan las herramientas modernas de seguridad en la nube. Amit Levran describió la experiencia que todo profesional de seguridad reconocerá: abrir por primera vez un panel de CNAPP y encontrarse con decenas de miles, a veces cientos de miles, de vulnerabilidades, cada una con una puntuación de gravedad asignada, sin ninguna orientación clara sobre por dónde empezar.
“Miraba ese número descomunal y pensaba: ‘¿Y ahora qué?’ Tienes esta enorme lista con una gravedad asignada a cada elemento, pero ¿realmente importa la gravedad o importa la exposición? Si es de alta gravedad pero no puede ser utilizada como arma contra ti, ¿cómo la priorizas?”
Jennifer Gill, VP de Marketing en Skyhawk, añadió un dato revelador de un evento reciente de la industria: un prospecto en AWS re:Invent acababa de instalar su CNAPP y descubrió que tenía decenas de millones de alertas. No tenían idea por dónde empezar.
El problema con las puntuaciones de gravedad, como dejó claro el panel, es que miden el riesgo teórico de una vulnerabilidad de forma aislada, no el riesgo real que representa en el contexto de un entorno específico. Una vulnerabilidad crítica en una instancia EC2 sin acceso a datos sensibles puede ser mucho menos peligrosa que un hallazgo de gravedad media en una máquina con acceso directo a los activos más valiosos. La puntuación de gravedad no te dice eso. Y en la era de la explotación asistida por IA, la ventana entre el descubrimiento de una vulnerabilidad y su uso como arma se ha reducido drásticamente, lo que significa que el costo de priorizar las cosas equivocadas nunca ha sido mayor.
Chen Burshan, CEO de Skyhawk Security, planteó el desafío con precisión:
“No sienten que necesiten más alertas. Necesitan poder darle sentido a esas alertas y entender cuáles atender primero. Necesitan saber qué riesgos están realmente armados y poniendo en peligro su entorno.”
Los tres pilares de una seguridad en la nube efectiva
Basándose en su experiencia, Amit Levran describió lo que llamó los tres desafíos fundamentales que los equipos de seguridad están tratando de resolver, utilizando la analogía de proteger una casa.
Primero: Mapea tu exposición. Antes de poder defender cualquier cosa, necesitas saber de dónde puede venir un ataque. Esto significa entender cada punto de exposición externo — las puertas, las ventanas y, sí, la puerta del garaje con el código 000000. Mapear las vulnerabilidades en esos componentes es el punto de partida esencial. Sin ello, la priorización es imposible.
Segundo: Prioriza lo que realmente importa. Una vez que tienes el mapa, la pregunta es: ¿qué vulnerabilidades representan un riesgo real y explotable en tu entorno específico? No un riesgo teórico basado en una puntuación CVSS, sino un riesgo real — las vulnerabilidades que un adversario podría usar como arma contra tus activos más valiosos hoy mismo. Aquí es donde la mayoría de las herramientas se quedan cortas, y donde la brecha entre “hallazgo” y “riesgo” se vuelve más determinante.
Tercero: Construye un sistema de alarma real. Cuando las defensas fallen — y eventualmente lo harán — necesitas saberlo de inmediato, con precisión y con suficiente contexto para actuar. No una alerta basada en reglas simples que se activa cuando se cumple una condición predefinida, sino un sistema de comportamiento que reconozca cuando algo está fuera de lo ordinario: un usuario accediendo a sistemas desde una geografía inesperada, un proceso automatizado invocando una acción de asumir-rol 50 veces en tres minutos, un patrón de comportamiento que ninguna alerta individual marcaría pero que en conjunto señala intención maliciosa.
Cómo Skyhawk Security aborda el problema
Chen Burshan ofreció una visión general de cómo Skyhawk Security ha evolucionado para abordar estos desafíos, y por qué el enfoque de la empresa difiere fundamentalmente de las herramientas tradicionales de seguridad en la nube.
Skyhawk comenzó con detección de amenazas en tiempo real y observabilidad en la nube: la capacidad de analizar múltiples eventos y comportamientos, correlacionarlos en una imagen coherente de intención maliciosa y generar una sola alerta contextualizada en lugar de un aluvión de hallazgos individuales. Esto abordó el problema del “lado derecho del impacto” — ayudando a los equipos de seguridad a responder de manera más efectiva cuando algo sale mal.
Pero el equipo reconoció que la detección por sí sola es inherentemente reactiva. Por muy buenas que sean tus capacidades de detección, siempre estás respondiendo a algo que ya ocurrió. La pregunta que Skyhawk se planteó fue: ¿qué pasaría si pudieras preparar tus defensas antes del ataque, en lugar de después?
La respuesta fue el Equipo Púrpura Autónomo, un motor de simulación impulsado por IA que adopta una visión adversarial del entorno en la nube del cliente, probando continuamente los controles de seguridad como lo haría un atacante real. De manera crítica, esta simulación se ejecuta completamente dentro de la plataforma SaaS de Skyhawk utilizando tecnología de gemelo digital — una copia del entorno del cliente construida mediante IA — sin ningún impacto en los sistemas de producción ni interrupción de las operaciones.
“Hacemos una copia de tu entorno usando IA, pero lo hacemos dentro de nuestra plataforma SaaS. Por lo tanto, no hay nada que interrumpa tu entorno. No hay ningún impacto para ti.”
Los resultados han sido consistentes y sorprendentes. En múltiples clientes y múltiples plataformas CNAPP — ya sean herramientas nativas de la nube o sistemas de terceros — los clientes de Skyhawk están logrando una reducción de ruido del 99% o más. La experiencia de Amit Levran en SundaySky es ilustrativa: de todas las alertas generadas por su CNAPP, el número que Skyhawk valida como verdaderamente armable en su entorno específico es el 0,3%. No el 1%. No el 5%. Cero punto tres por ciento.
Esa cifra reencuadra todo el desafío. La pregunta no es “¿cómo gestiono 100.000 alertas?” Es “¿cómo encuentro las 300 que realmente importan?” y luego, dentro de esas, “¿en cuáles tres trabajo hoy, en cuáles 20 trabajo esta semana y en cuáles 100 trabajo este mes?”
Mejores prácticas de la industria: lo que los líderes de seguridad deben hacer ahora
Rob Strechay cerró el panel con cinco recomendaciones para los líderes de seguridad que navegan en este entorno — un marco que él mismo reconoció como cinco respuestas a una pregunta que pedía una sola.
Integra la seguridad, no la agregues como complemento. La seguridad debe ser parte del proceso de planificación desde el principio, no añadirse como una ocurrencia tardía. Esto es especialmente cierto a medida que las organizaciones desarrollan sistemas de IA, donde la superficie de ataque se extiende hacia los datos de entrenamiento, las entradas del modelo y los canales de inferencia de maneras que los marcos de seguridad tradicionales no estaban diseñados para abordar.
Reemplaza la revisión manual con automatización. El volumen de información que generan los entornos de nube modernos está simplemente más allá de la capacidad humana para procesarlo manualmente. La automatización no es un lujo — es un requisito previo para funcionar a escala.
Convierte las políticas de documentos a código. Las políticas de seguridad que viven en documentos no se aplican. Las que viven en código, sí. Este cambio es esencial para mantener una postura de seguridad coherente en entornos complejos de múltiples nubes.
Haz obligatoria la transparencia de la cadena de suministro. Entender tu superficie de ataque completa significa entender no solo tu propio código, sino también las dependencias de código abierto, los proveedores upstream y las integraciones de terceros que conforman tu entorno. Los ataques a la cadena de suministro son un vector creciente, y la visibilidad sobre esa superficie es fundamental.
Haz que la protección en tiempo de ejecución sea continua y conductual. El monitoreo basado en reglas detecta lo que sabes que debes buscar. El monitoreo conductual detecta lo que no sabes. Las intrusiones más peligrosas — las que utilizan credenciales válidas, rutas de acceso legítimas y herramientas autorizadas — nunca activarán una regla predefinida. Solo serán visibles para un sistema que entienda cómo es el comportamiento normal y marque lo que no encaja.
La conclusión
El webinar cerró con una observación memorable de Amit Levran, tomada de una fuente inesperada:
“No importa qué tan rápido corras, nunca correrás más rápido que el auto. Por lo tanto, no importa cuánto tiempo y esfuerzo le dediques, nunca podrás cerrar todas las vulnerabilidades. Concéntrate en las que son importantes.”
Esta es la idea esencial del modelo de seguridad preemptiva: el objetivo no es eliminar todo el riesgo — eso es imposible. El objetivo es entender qué riesgos son reales, cuáles pueden ser armados y cuáles representan el camino más directo hacia tus activos más críticos. Todo lo demás es ruido.
Para los equipos de seguridad ahogados en alertas, luchando con la priorización y enfrentando un panorama de amenazas que se vuelve más complejo cada día, el camino a seguir no son más herramientas ni más alertas. Es la capacidad de ver tu entorno a través de los ojos de un atacante — y actuar sobre lo que ves antes de que el atacante lo haga.
¡Reserve una reunión con nosotros!
