Seguridad en Cloud Providers

Tu bucket de S3 es públicamente legible debido a un ACL público, configuración de Block Public Access deshabilitada o una política de bucket con wildcard — cualquiera en internet puede listar y descargar tus archivos.

Tu app hace fetch de URLs proporcionadas por el usuario sin bloquear endpoints de metadata de cloud como 169.254.169.254, dejando a los atacantes robar tus credenciales cloud vía SSRF.

Las claves de acceso de AWS (que empiezan con AKIA) o las claves de acceso secretas están hardcodeadas en tu código fuente, dando a cualquiera que lea el código acceso completo a tu cuenta de AWS.

Tu política IAM usa Action: '*' o Resource: '*', otorgando muchos más permisos de los necesarios y convirtiendo cualquier fuga de credenciales en una toma de control completa de la cuenta.

Tu bucket de S3 o GCS tiene CORS configurado con origin: '*' o AllowedMethods: ['*'], permitiendo que cualquier sitio web lea las respuestas de tu almacenamiento y potencialmente acceda a datos privados.

Tu Lambda o Cloud Function permite invocación sin autenticación, lo que significa que cualquiera en internet puede dispararla sin credenciales.

Tu bucket de S3 o GCS no tiene cifrado del lado del servidor habilitado, lo que significa que los datos se almacenan en texto plano en la infraestructura de AWS/Google.

Tus claves de cifrado KMS no tienen rotación automática habilitada, lo que significa que el mismo material de clave se usa indefinidamente — aumentando el riesgo si la clave alguna vez es comprometida.

Tu política de confianza IAM usa un principal wildcard o permite que cuentas AWS desconocidas asuman tus roles, dejando que cuentas externas accedan a tus recursos.

Tu app loguea PII, tokens o credenciales en CloudWatch, Stackdriver u otros servicios de logging cloud, donde persisten indefinidamente y son accesibles para cualquiera con permisos de lectura de logs.

Tus recursos cloud están desplegados sin una VPC o con security groups que permiten tráfico entrante sin restricciones (0.0.0.0/0), exponiendo servicios internos a internet.

Tus recursos cloud carecen de etiquetas de entorno, propietario o centro de costos, haciendo imposible rastrear la propiedad, asignar costos o identificar rápidamente recursos durante un incidente.