Este articulo surge como producto final del trabajo de titulación que tiene como tema Análisis de seguridad en arquitecturas serverless en la nube y estrategias para la mitigación de riesgos el objetivo de la investigación; el análisis de seguridad en arquitecturas serveless en la nube, particularmente en la plataforma como Amazon Web Services (AWS) y conlleva la valoración de riesgos y vulnerabilidades propias de este modelo. En arquitecturas serverless, los usuarios no administran directamente los servidores, lo cual puede incrementar la eficacia y disminuir gastos, pero también plantea nuevos desafíos de seguridad. Entre los riesgos más relevantes se encuentran la susceptibilidad a ataques como inyección de código, la escalabilidad de funciones y problemas de acceso no autorizado a datos a través de interfaces configuradas de manera incorrecta. Como oferta de servicios en la nube, AWS ofrece instrumentos como AWS Lambda, API Gateway e IAM (Administración de Identidad y Acceso) para gestionar la seguridad.

La comparación de los tres escenarios permite comprobar que, en un entorno de arquitecturas de tipo serverless, la amenaza con mayor impacto en el mismo es la segunda, lo que es muy preocupante, indica la evasión de validaciones del cliente, la escalada de privilegios y la exfiltración de secretos, lo que indica que estas amenazas afectan a la autenticación, a la gestión de accesos y a la seguridad de credenciales para llevar a cabo ataques más complejos.

Arizaga, B. E. (19 de marzo de 2024). Obtenido de Repositorio Institucional: https://repositorio.ug.edu.ec/server/api/core/bitstreams/ccf058f2-d0af-46ce-8678-083d327183e5/content

Cifre, S. (2020). Modelo de seguridad para la gestión de vulnerabilidades de servidores en Nubes privadas. Santa Fé, Argentina.

Guaigua Bucheli, C. J. (2021). Algoritmos de seguridad para mitigar riesgos de datos en la nube: un mapeo sistemático. Guayaquil, Ecuador.

ISO/IEC 27001. (2013). Tecnología de la información - Técnicas de seguridad - Sistemas de gestión de seguridad de la información - Requisitos.

Netalit. (2023). Top 7 cloud vulnerabilities in 2024. Obtenido de https://www.checkpoint.com/es/cyber-hub/cloud-security/what-is-cloud-security/top-7-cloud-vulnerabilities-in-2024/

Reglamento. (27 de abril de 2016). Reglamento (UE) 2016/679. Obtenido de Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento General de PrProtección de Datos).

Ross, A. (2 de diciembre de 2020). Security Engineering. Ingeniería de seguridad: una guía para crear sistemas distribuidos fiables. Obtenido de https://doi.org/10.1002/9781119644682

Ruiz, E. S. (2020). Aplicación de tecnologías y arquitecturas serverlesspara el desarrollo desoluciones IoT. Barcelona, Catalunya, España.

Sequea Oliveros, J. (2019). Las vulnerabilidades de las nubes públicas y cómo protegerlas. Obtenido de https://gmsseguridad.com/wp-content/uploads/2021/06/7-practicas-nube-publica.pdf

Verizon Sourcing LLC. (1 de mayo de 2024). Informe de investigaciones sobre violaciones de datos 2024. El auge de la explotación de vulnerabilidades amenaza la ciberseguridad. Obtenido de https://www.globenewswire.com/news-release/2024/05/01/2872907/0/en/2024