Shadow IT discovery: identifica aplicaciones cloud usadas sin aprobación IT. Reportes muestran apps populares, usuarios involucrados, datos sensibles transferidos.
Qué es CASB
CASB (Cloud Access Security Broker) es una plataforma de seguridad que monitorea, controla y protege el acceso de usuarios a aplicaciones cloud (SaaS, IaaS, PaaS). Implementa visibilidad de shadow IT (aplicaciones no autorizadas usadas por empleados), control de acceso basado en políticas, detección de malware en cloud, y prevención de pérdida de datos (DLP). CASBs actúan como proxy entre usuarios y servicios cloud para inspeccionar tráfico, autenticar, autorizar, y generar alertas sobre comportamiento anómalo o incumplimiento de políticas.
Por qué importa
La combinación de cloud-first y trabajo remoto ha disparado el uso de aplicaciones SaaS (mensajería, CRM, suites de productividad, almacenamiento compartido) sin supervisión central. CASB cubre un hueco crítico: si un empleado recurre a almacenamiento personal en la nube, usa una cuenta de correo ajena a la corporativa o accede a un SaaS con credenciales comprometidas, CASB lo detecta y aplica la política. Sin CASB los equipos de seguridad tienen visibilidad mínima de qué aplicaciones cloud usan realmente los empleados. Regulaciones como ISO 27001 exigen control de acceso a sistemas externos; NIS2 y DORA añaden visibilidad y gobierno sobre proveedores cloud. Los ataques a SaaS son frecuentes: compromiso de credenciales, phishing dirigido a usuarios cloud, configuración débil (unidades compartidas públicamente) y robo de datos. La combinación de CASB, integración con el directorio corporativo y MFA es defensa esencial para contener ese riesgo.
Puntos clave
Data Loss Prevention (DLP): monitorea transferencia de datos hacia cloud; bloquea si archivo contiene datos sensibles (credenciales, PII, secretos comerciales).
Integraciones de directorio: sincroniza usuarios, grupos y permisos desde el directorio corporativo (LDAP, Active Directory, directorios de identidad en nube); revoca acceso automático si usuario es terminado o cambia rol.
Detección de amenazas cloud: identifica malware, comportamiento anómalo (login desde ubicación imposible, descarga masiva), y actividad de APT dirigida a SaaS.
Ejemplo: Shadow IT expone datos en almacenamiento personal
Una responsable de marketing empieza a usar una cuenta personal de almacenamiento en la nube para compartir presentaciones de producto con una agencia externa, porque le resulta más rápido que el proceso interno. Sin CASB, TI no ve esa transferencia. La cuenta personal tiene una contraseña débil y reutilizada; un atacante accede, descarga la presentación de un lanzamiento previsto para el siguiente semestre y la vende a un competidor. El impacto —pérdida de ventaja competitiva y fuga de propiedad intelectual— aparece cuando ya es demasiado tarde para evitarlo.
Con un CASB desplegado el flujo cambia: el sistema detecta automáticamente el uso de almacenamiento personal (shadow IT), dispara una alerta cuando se sube a esa cuenta un archivo marcado como confidencial, aplica la política que bloquea esos destinos y abre un ticket al equipo de seguridad. Ese paso técnico rinde cuando va acompañado de trabajo de gobierno: publicación de alternativas corporativas aprobadas con DLP, catalogación de SaaS en "permitidos / tolerados / prohibidos", integración del CASB con el directorio y con el SIEM y comunicación al usuario para que la restricción se perciba como un canal seguro y no como un obstáculo.
Errores habituales
- Asumir que firewall + proxy web tradicional protege cloud; CASB inspecciona aplicaciones SaaS que usan HTTPS/TLS; proxy tradicional no desencripta SaaS.
- Implementar CASB pero no integrarlo con directorio/MFA; políticas de CASB no sincronizadas con cambios de usuario (termination tardío, rol antiguo) = gaps.
- No configurar DLP correctamente; CASB deja pasar transferencias de datos sensibles si no se definen políticas de qué es sensible (patrones de PII, keywords, clasificación de datos).
Servicios relacionados
Este concepto puede tener relación con servicios como:
Preguntas frecuentes
¿Cuál es la diferencia entre CASB y CSPM?
CASB monitorea acceso de usuarios a aplicaciones SaaS (control de sesiones, detección de malware, DLP). CSPM (Cloud Security Posture Management) audita configuración de infraestructura cloud (buckets de almacenamiento públicos, permisos IAM débiles, encryption en reposo). Ambos son complementarios: CASB = protección de acceso; CSPM = hardening de configuración.
¿Un CASB puede bloquear aplicaciones cloud?
Sí. Un CASB puede bloquear por política: si un servicio de almacenamiento personal no está autorizado, deniega el acceso a ese dominio. Pero debe hacerlo de forma inteligente: si los usuarios legítimos utilizan un servicio para trabajo, un bloqueo total rompe la colaboración. La clave es categorizar las aplicaciones (aprobadas, toleradas, prohibidas) y ajustar la política con contexto real de uso.
¿CASB reemplaza a VPN en trabajo remoto?
No. VPN encripta tráfico entre usuario y red corporativa. CASB protege acceso a SaaS directo. Arquitectura moderna: Zero Trust Network + MFA + CASB + DLP. Usuario autentica, conecta a red zero trust, CASB monitorea acceso a SaaS y bloquea transferencias de datos sensibles.