El creciente uso de proxies y servicios de seguridad multi-tenant está creando un nuevo tipo de daño colateral digital donde los atacantes y los clientes viajan por los mismos canales.
En el modelo de infraestructura de red tradicional, una empresa protegía sus aplicaciones desde su propia red y con sus propios controles. Hoy esa seguridad se contrata como servicio, en la nube y bajo un modelo multi-tenant con miles de empresas compartiendo la misma capa de protección.
La ventaja es un acceso más democrático a capacidades avanzadas que antes estaban reservadas a grandes corporaciones. La desventaja es que Internet se ha llenado de intermediarios. Plataformas que inspeccionan tráfico, bloquean ataques o aceleran contenidos se han vuelto parte esencial del negocio digital. Pero esa capa de seguridad y eficiencia viene con un coste oculto, ya que cuando todos viajan por los mismos carriles, detener al atacante puede significar frenar al cliente legítimo.
El dilema del tráfico legítimo
Puede darse el caso de que un atacante lance un ataque automatizado contra un servicio digital y, en lugar de conectarse directamente, lo haga a través de un servicio en la nube que actúa como intermediario. Ese intermediario, conocido como proxy, no solo transporta el tráfico del atacante, sino también el de miles de usuarios legítimos.
Cuando el servicio detecta el ataque, la medida más efectiva para frenarlo es bloquear al propio intermediario. La acción funciona desde el punto de vista de la protección, pero también corta el acceso de los usuarios que estaban usando ese mismo intermediario para ver un partido, hacer una compra o simplemente acceder a un servicio corporativo. La seguridad cumple su objetivo técnico, pero el daño colateral lo recibe el negocio.
En los últimos meses, se han multiplicado los casos en los que servicios online bloquean tráfico proveniente de proxies o redes de distribución en la nube para frenar ataques que se ocultan detrás de esas mismas infraestructuras. El problema es que esos mismos proxies transportan el tráfico de proveedores de streaming, comercio electrónico o contenidos digitales. Cuando el filtro se activa, no distingue entre piratería y un cliente que solo quiere ver un partido o completar una compra.
Un problema de modelo, no de tecnología
Lo interesante es que el problema no es tecnológico, sino de modelo. La seguridad multi-tenant mezcla tráfico legítimo y malicioso en los mismos circuitos. Cuando el atacante se oculta detrás del mismo proxy que el cliente, la información que antes servía para distinguirlos deja de ser útil. El dilema ya no es “qué bloquear”, sino “a quién sacrifico si bloqueo”.
La protección digital se basa principalmente en identificar al atacante por su dirección IP de origen. Pero en una red cada vez más anonimizada, el comportamiento se ha vuelto una señal más fiable que dicha dirección IP. La alternativa es analizar el comportamiento, es decir, qué hace el usuario, cómo se mueve el tráfico, qué patrones se desvían de lo previsto. No se bloquea “desde dónde”, sino “qué”.
Las empresas que operan servicios digitales de misión crítica están empezando a migrar hacia ese enfoque porque reduce el daño colateral y mejora la experiencia. El cambio no consiste solo en proteger más, sino en una protección menos intrusiva, más contextual y más alineada con objetivos de negocio.
Cloud sí, pero con la foto completa
Si el bloqueo a nivel de proxy genera daño colateral, la alternativa no es renunciar al cloud ni desmontar los intermediarios, sino mover parte de la decisión más cerca de la aplicación. Esto significa que la evaluación del tráfico se hace en el punto donde el usuario quiere llevar a cabo la acción. Esto puede ser desde iniciar sesión, ver un contenido, consultar un saldo o completar un pago. No se trata de averiguar quién es el atacante, sino de conservar suficiente contexto como para no perder al cliente por el camino.
Ese enfoque lo adoptan plataformas que inspeccionan el tráfico, equilibran carga y aplican políticas de seguridad en un mismo punto. Su ventaja no está en “proteger más”, sino en distinguir mejor qué tráfico está intentando abusar del sistema y cuál solo quiere completar una acción legítima.
En este modelo, el bloqueo deja de depender únicamente de señales genéricas (como la dirección IP) y se apoya en indicadores de comportamiento: patrones de acceso, repetición de intentos, errores encadenados, consultas sospechosas o desajustes entre lo que pide un usuario y lo que una aplicación espera.
En Europa, algunas plataformas especializadas en seguridad de red y balanceo de tráfico, como la española SKUDONET, ofrecen herramientas de este tipo dentro del ámbito de la entrega de aplicaciones. No compiten por tener más “capas”, sino por mantener el contexto operativo y evitar que la protección se convierta en fricción para el negocio digital.
Este tipo de soluciones no sustituyen a los intermediarios ni compiten con ellos, sino que actúan como una segunda capa donde se decide con más información y menos riesgo. SKUDONET mantiene el contexto de lo que ocurre en la aplicación en relación con lo que quiere hacer el usuario, en qué orden y con qué resultado. Esto reduce la necesidad de castigar el canal completo cuando aparece actividad sospechosa. En sectores donde cada interrupción tiene un coste comercial, esa diferencia se percibe en la experiencia antes que en la tecnología.
La moraleja no es que la nube sea insegura, sino que su seguridad funciona mejor cuando se complementa con las herramientas adecuadas. La nube resolvió la infraestructura; la aplicación sigue resolviendo la experiencia.