JPMorgan advierte: los servicios SaaS están destruyendo los negocios

JPMorganChase, el banco más influyente del mundo, ha lanzado una advertencia a la comunidad empresarial sobre los peligros de las tecnologías SaaS, utilizadas a diario por organizaciones de todo el planeta.

En una carta abierta, el director de ciberseguridad de JPMorganChase, Patrick Opet, explicó que las empresas están adoptando los servicios en la nube con demasiada rapidez, mientras que los desarrolladores no logran proteger adecuadamente sus productos.

SaaS (Software as a Service) es un modelo de distribución de software en el que las aplicaciones se ejecutan en servidores de los proveedores del servicio, y los usuarios acceden a ellas a través de Internet. En lugar de instalar los programas en sus propios ordenadores, las empresas simplemente se suscriben a los servicios que necesitan: clientes de correo, sistemas de gestión de proyectos, herramientas para el manejo de documentos o relaciones con clientes. Este enfoque permite reducir costes de infraestructura informática y ahorrar tiempo, pero requiere un intercambio constante de datos entre los sistemas internos de la organización y los servidores externos.

Los creadores de software se apresuran a lanzar nuevas funciones sin preocuparse por una arquitectura segura. Esto genera brechas sistémicas no solo en productos individuales, sino también en toda la cadena de suministro del software. Y esta práctica ya ha dado lugar a la aparición de numerosas vulnerabilidades que amenazan a sectores enteros.

Para ilustrar el problema, Opet cita como ejemplo un calendario basado en inteligencia artificial. Estas herramientas analizan los horarios laborales de los empleados y planifican automáticamente reuniones en momentos convenientes para todos. El servicio se conecta al correo corporativo mediante los llamados "read-only roles" (permisos de solo lectura) y tokens de autorización: claves digitales que permiten acceder a la información de las bandejas de entrada. En teoría, esto ayuda a optimizar los procesos de trabajo y aumenta significativamente la eficiencia del equipo. Sin embargo, si los delincuentes logran hackear el programa, obtendrán acceso a datos confidenciales y a los canales de comunicación más importantes dentro de la empresa.

El jefe de seguridad también señaló otro problema grave: muchas empresas dependen actualmente de un pequeño grupo de proveedores. Si los hackers atacan incluso a uno de estos proveedores, las consecuencias podrían ser catastróficas: miles de clientes se verían afectados.

Los algoritmos modernos difuminan barreras críticas entre sistemas. Se basan en protocolos de autorización como OAuth, un estándar que permite a las aplicaciones obtener acceso limitado a cuentas en otros servicios. Es decir, los programas externos interactúan directamente con los recursos corporativos cerrados sin el control adecuado.

En la práctica, esto significa que la verificación de usuarios y la concesión de permisos se ha vuelto una operación excesivamente simple. Entre los sistemas públicos e internos se genera una confianza injustificada, basada en un único nivel de protección.

En los últimos tres años, JPMorganChase se ha enfrentado varias veces a las consecuencias de ataques a servicios de socios. El banco se ha visto obligado a bloquear sistemas comprometidos y a eliminar las amenazas emergentes.

Además, la feroz competencia entre proveedores los obliga a sacrificar muchas cosas para lanzar nuevas funciones cuanto antes. Los productos llegan al mercado sin mecanismos de seguridad integrados o con la protección desactivada por defecto. Esto abre múltiples caminos para que los atacantes penetren en el sistema. El deseo de capturar cuota de mercado a costa de la fiabilidad crea una situación inestable para todo el sistema económico.

La carta también menciona nuevos tipos de ciberamenazas que generan especial preocupación entre los expertos: el robo de claves de acceso, conexiones ocultas con proveedores desconocidos de cuarto nivel y la concesión de permisos ampliados sin el control y la transparencia necesarios.

"Para que la situación cambie, hay que abandonar estos modelos de interacción hasta que existan soluciones más seguras", subrayó Opet. Hizo un llamado a sus colegas para que comprendan la magnitud del problema y unan esfuerzos de inmediato para solucionarlo juntos.