{"id":282,"date":"2026-03-26T05:01:00","date_gmt":"2026-03-26T05:01:00","guid":{"rendered":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/26\/maquinas-virtuales-practicamente-en-todas-partes-pero-no-todas-protegidas\/"},"modified":"2026-03-26T05:01:00","modified_gmt":"2026-03-26T05:01:00","slug":"maquinas-virtuales-practicamente-en-todas-partes-pero-no-todas-protegidas","status":"publish","type":"post","link":"https:\/\/escudodigital.uy\/index.php\/2026\/03\/26\/maquinas-virtuales-practicamente-en-todas-partes-pero-no-todas-protegidas\/","title":{"rendered":"M\u00e1quinas virtuales, pr\u00e1cticamente en todas partes, pero no todas protegidas"},"content":{"rendered":"
\n

Hace veinte a\u00f1os, casi hoy, Amazon Web Services (AWS) lanzado<\/a> Servicio de almacenamiento simple (S3). Unos meses m\u00e1s tarde, el servicio Elastic Compute Cloud (EC2) de la empresa abierto<\/a> para pruebas beta p\u00fablicas antes de su lanzamiento oficial en 2008. Estos eventos desencadenaron la era del almacenamiento y la computaci\u00f3n en la nube bajo demanda modernos que cambiaron la forma en que las organizaciones de todos los tama\u00f1os piensan sobre su infraestructura de TI.<\/p>\n

Si avanzamos hasta el presente, ser\u00e1 dif\u00edcil encontrar muchas organizaciones que no hayan \u00ablevantado y trasladado\u00bb al menos parte de sus cargas de trabajo a la nube, o que no est\u00e9n planeando hacerlo pronto. De hecho, algunos ahora se ejecutan completamente en la nube, mientras que muchos otros han combinado cargas de trabajo en la nube, a menudo en configuraciones de m\u00faltiples nubes, con recursos locales que no se retirar\u00e1n pronto.<\/p>\n

De todas las cosas que estas organizaciones tienen en com\u00fan, una merece una mirada m\u00e1s cercana: la expansi\u00f3n descontrolada de las m\u00e1quinas virtuales (VM), o el crecimiento descontrolado de m\u00e1quinas virtuales que a menudo se dejan valer por s\u00ed mismas.<\/p>\n

Un problema en expansi\u00f3n<\/h2>\n

Los proveedores de servicios de nube p\u00fablica (CSP) hacen que el aprovisionamiento de nuevas m\u00e1quinas virtuales sea sencillo por dise\u00f1o; despu\u00e9s de todo, esto es en parte lo que hace que su oferta sea tan atractiva. Como pueden atestiguar muchos administradores, una nueva instancia de VM se puede poner en funcionamiento en unos momentos, pero desmantelarlo rara vez adquiere la misma urgencia.<\/p>\n

En muchas empresas, especialmente aquellas con configuraciones de m\u00faltiples nubes que involucran a AWS, Azure, GCP y\/u otros CSP, esta expansi\u00f3n da como resultado una creciente acumulaci\u00f3n de cargas de trabajo que existen fuera de las operaciones de seguridad. Los CSP brindan protecciones b\u00e1sicas, pero el trabajo continuo recae en el cliente. Las m\u00e1quinas a menudo ni siquiera reciben actualizaciones del sistema operativo; peor a\u00fan, generalmente no est\u00e1n monitoreados y sujetos a pol\u00edticas de acceso que no han cambiado desde el d\u00eda en que alguien cre\u00f3 la instancia. Esto aumenta el riesgo de que una m\u00e1quina virtual \u00abse vuelva deshonesta\u00bb y permanezca fuera del radar, hasta que sea demasiado tarde.<\/p>\n

La visibilidad de la nube como tal es un problema persistente, ya que s\u00f3lo unos 23% de las organizaciones<\/a> informan que tienen una visi\u00f3n completa de su huella en la nube. El crecimiento desenfrenado de activos, incluidas flotas de m\u00e1quinas virtuales, es una gran parte del problema. Las rutas de ataque b\u00e1sicas (cubos de almacenamiento mal configurados y API expuestas) dominan las revelaciones de violaciones, en parte porque producen se\u00f1ales de cara al p\u00fablico. Mientras tanto, el abuso de VM ocurre de manera m\u00e1s sutil y dentro de un entorno; una identidad administrada que consulta el almacenamiento en la nube no activar\u00e1 las mismas alarmas que una direcci\u00f3n IP externa que intenta iniciar sesi\u00f3n.<\/p>\n

Un reciente informe<\/a> por Cloud Security Alliance (CSA) clasific\u00f3 la mala configuraci\u00f3n y el control de cambios inadecuado como la principal amenaza para los recursos de la nube, seguidos por las debilidades de la gesti\u00f3n de identidades y accesos (IAM). Esto sigue la naturaleza basada en la identidad de las cargas de trabajo en la nube, donde tanto la propia m\u00e1quina virtual como a qu\u00e9 puede acceder merecen un escrutinio. Seg\u00fan Microsoft Informe sobre el estado de la seguridad multinube 2024<\/a>las identidades de carga de trabajo asignadas a m\u00e1quinas virtuales y otros recursos no humanos superan ampliamente a las identidades humanas, y la brecha no hace m\u00e1s que ampliarse a medida que las organizaciones incrementan los recursos inform\u00e1ticos.<\/p>\n

La realidad es bastante mundana: digamos, un ingeniero de aprendizaje autom\u00e1tico proporciona una m\u00e1quina virtual para tareas de procesamiento de datos. A la m\u00e1quina virtual se le otorga una identidad, pero dado que determinar el alcance de sus permisos de acuerdo con el principio de privilegio m\u00ednimo llevar\u00eda demasiado tiempo, recibe un amplio acceso de lectura\/escritura al almacenamiento de datos y otros recursos. Los proyectos concluyen, pero las m\u00e1quinas virtuales con permisos excesivos se \u00abdejan a su suerte\u00bb.<\/p>\n

\"protecci\u00f3n<\/a><\/p>\n

Dejado para pudrirse<\/h2>\n

Sin embargo, una m\u00e1quina virtual abandonada puede hacer m\u00e1s que \u00abacumular polvo\u00bb. Dado que cada VM est\u00e1 vinculada a alguna forma de identidad que determina a qu\u00e9 puede acceder la carga de trabajo en todo el entorno, los malos actores pueden explotar las instancias olvidadas para ganar un punto de apoyo inicial. Como las m\u00e1quinas virtuales en la misma nube privada virtual (VPC) o red virtual (VNet) a menudo pueden comunicarse entre s\u00ed en direcci\u00f3n \u00abeste-oeste\u00bb sin muchas restricciones, una m\u00e1quina virtual puede sondear instancias adyacentes, llegar a bases de datos internas o puntos finales de almacenamiento y explotar cualquier permiso que se le haya otorgado. Con demasiada frecuencia, la microsegmentaci\u00f3n de la red resulta ser una tarea demasiado desalentadora.<\/p>\n

En entornos h\u00edbridos que involucran identidades h\u00edbridas<\/a>las cosas pueden complicarse a\u00fan m\u00e1s. Por ejemplo, cuando Active Directory local se sincroniza con Entra ID, un VM comprometida<\/a> en Azure que est\u00e1 unido a un inquilino de Entra ID puede acceder a recursos compartidos de archivos, bases de datos, aplicaciones u otros recursos que forman parte de la infraestructura local central de la organizaci\u00f3n.<\/p>\n

No es dif\u00edcil encontrar ejemplos de ataques reales que involucren m\u00e1quinas virtuales. En una campa\u00f1a<\/a>los atacantes se movieron entre instancias de AWS EC2 a trav\u00e9s del Protocolo de escritorio remoto (RDP) interno, organizaron cientos de gigabytes de datos exfiltrados en m\u00faltiples m\u00e1quinas virtuales y desataron ransomware dentro de la red de la nube. El monitoreo detect\u00f3 la actividad, pero la respuesta autom\u00e1tica no se configur\u00f3 adecuadamente para detenerla y la implementaci\u00f3n del ransomware continu\u00f3.<\/p>\n

Otros atacantes est\u00e1n explotando la facilidad con la que se pueden activar las m\u00e1quinas virtuales. Microsoft tiene documentado<\/a> una campa\u00f1a en la que las cuentas de Azure comprometidas se utilizaron indebidamente para aprovisionar m\u00e1quinas virtuales de corta duraci\u00f3n como infraestructura de ataque desechable. Dado que el tr\u00e1fico proced\u00eda de direcciones IP leg\u00edtimas asociadas a Azure, las alertas se descartaron como falsos positivos.<\/p>\n

Luchando contra el despliegue y la decadencia.<\/h2>\n

Lo m\u00e1s probable es que sus equipos de seguridad y TI sean peque\u00f1os y manejen la seguridad junto con otras responsabilidades de TI, lo que tiene mucho que ver con el tipo de herramientas que funcionan a esta escala. Los productos de seguridad que se basan en una profunda experiencia espec\u00edfica de la plataforma, procedimientos de implementaci\u00f3n complejos y una serie de herramientas para gestionar diversas partes de la infraestructura de TI pueden no ser la soluci\u00f3n. Es posible que incluso pasen por alto la parte del problema de la expansi\u00f3n urbana que m\u00e1s importa.<\/p>\n

Para enturbiar a\u00fan m\u00e1s las aguas, \u00bfqu\u00e9 sucede cuando un incidente involucra abuso de identidad? Es posible que un atacante en una m\u00e1quina virtual no autorizada no est\u00e9 haciendo nada que parezca sospechoso solo desde el interior de la m\u00e1quina virtual cuando usa su identidad para acceder a recursos locales o en la nube. Detectar la anomal\u00eda requiere conectar lo que sucede en la propia m\u00e1quina virtual con lo que hace la identidad de la m\u00e1quina virtual en todo el entorno. Ese tipo de correlaci\u00f3n depende de la integraci\u00f3n con soluciones de identidad como Entra ID y Active Directory.<\/p>\n

Tambi\u00e9n est\u00e1 la cuesti\u00f3n de la velocidad. Cuando una carga de trabajo en la nube comprometida puede llegar a recursos locales a trav\u00e9s de una cadena de identidad federada, la ventana entre el compromiso inicial y el da\u00f1o grave puede ser corta. El (auto)aislamiento de una m\u00e1quina virtual antes de que comience el movimiento lateral debe realizarse en cualquier hora. Es uno de los escenarios en los que la correlaci\u00f3n impulsada por la IA y la detecci\u00f3n del tiempo de ejecuci\u00f3n se mantienen: nadie puede vigilar cada carga de trabajo las 24 horas del d\u00eda y responder con la suficiente rapidez.<\/p>\n

Las incursiones exitosas cuestan muy caras a las empresas. Seg\u00fan un encuesta reciente<\/a>una de cada tres pymes inform\u00f3 haber recibido multas importantes tras un ciberataque. Tambi\u00e9n es un recordatorio de que el incumplimiento puede tener consecuencias financieras directas. Los marcos regulatorios como NIST 800-53 y PCI DSS 4.0 son cada vez m\u00e1s espec\u00edficos sobre la seguridad de las cargas de trabajo en la nube y se espera cada vez m\u00e1s que las empresas garanticen que las identidades asignadas a las cargas de trabajo en la nube tengan un alcance adecuado y se supervisen continuamente. Demostrar controles de acceso en los servidores que alojan datos confidenciales no es suficiente cuando el riesgo reside en la capa de identidad.<\/p>\n

Mientras tanto, El coste de IBM por una filtraci\u00f3n de datos en 2025<\/a> El informe encontr\u00f3 que el 30 por ciento de las infracciones afectaron a datos esparcidos en m\u00faltiples entornos, lo que muestra los problemas que enfrentan las organizaciones cuando se trata de defender sus activos en diversos entornos. Una parte significativa del costo resultante se debe al tiempo transcurrido entre la infiltraci\u00f3n y la detecci\u00f3n, tambi\u00e9n conocido como tiempo de permanencia. Las organizaciones que no pueden ver lo que sucede dentro de sus entornos tienden a descubrir violaciones a trav\u00e9s de se\u00f1ales \u00abexternas\u00bb, como una queja de un cliente, momento en el cual el atacante ya ha tenido acceso durante semanas o meses.<\/p>\n

Pensamientos de despedida<\/h2>\n

Las m\u00e1quinas virtuales son uno de los recursos de nube modernos m\u00e1s antiguos y m\u00e1s frecuentemente implementados. La expansi\u00f3n descontrolada de las m\u00e1quinas virtuales se acumula silenciosamente y, a menudo, se revela despu\u00e9s de que algo sale mal. Las cargas de trabajo desprotegidas transportan identidades y se comunican entre s\u00ed y con recursos locales en patrones de tr\u00e1fico que no todos los controles de seguridad pueden observar y detectar.<\/p>\n

Para empezar, cada organizaci\u00f3n necesita hacer un inventario de sus flotas de m\u00e1quinas virtuales en todas las plataformas de nube, revisar los permisos asociados a la identidad de cada m\u00e1quina virtual y auditar sus configuraciones para detectar una apertura innecesaria \u00abeste-oeste\u00bb y \u00abnorte-sur\u00bb. Las buenas vallas hacen buenos vecinos, como dice el refr\u00e1n.<\/p>\n

Para las organizaciones que ejecutan cargas de trabajo en entornos locales y en la nube, la pregunta es si sus herramientas de seguridad pueden vigilar las m\u00e1quinas virtuales con el mismo rigor que se aplica a los puntos finales en los escritorios de los empleados y otras partes de su infraestructura. S\u00f3lo entonces podr\u00e1n ver el panorama completo y proteger sus datos en diversos entornos.<\/p>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Hace veinte a\u00f1os, casi hoy, Amazon Web Services (AWS) lanzado Servicio de almacenamiento simple (S3). Unos meses m\u00e1s<\/p>\n","protected":false},"author":1,"featured_media":283,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[2],"tags":[],"class_list":["post-282","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-security"],"_links":{"self":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/282","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/comments?post=282"}],"version-history":[{"count":0,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/posts\/282\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media\/283"}],"wp:attachment":[{"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/media?parent=282"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/categories?post=282"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/escudodigital.uy\/index.php\/wp-json\/wp\/v2\/tags?post=282"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}