Muchas empresas migraron a la nube convencidas de que el problema de la seguridad lo resolvía el proveedor. Que si pagabas AWS, Azure o Google Cloud, la infraestructura estaba cubierta y tú podías dedicarte a otra cosa. Es una interpretación comprensible... y está equivocada. El modelo de responsabilidad compartida es la cláusula más ignorada de todos los contratos cloud, y cada brecha importante de los últimos cinco años tiene una versión de esa misma historia: el proveedor cumplió su parte, la empresa no cumplió la suya.

Gartner estima que el gasto mundial en servicios de nube pública superó los 482.000 millones de dólares en 2024. La nube no es un experimento tecnológico. Es la infraestructura crítica del mundo moderno. Y cuando falla, no falla por defecto del datacenter: falla por un bucket de almacenamiento público, por una API sin autenticación o por credenciales reutilizadas que nadie había rotado desde 2021.

Seguridad en la nube: el contrato que nadie leyó

La seguridad en la nube es el conjunto de políticas, tecnologías y controles que protegen aplicaciones, datos y servicios alojados en entornos cloud. Incluye gestión de identidades y accesos, cifrado, segmentación de redes virtuales, monitoreo en tiempo real y respuesta a incidentes. Todo lo que suena obvio hasta que ocurre el incidente.

El modelo de responsabilidad compartida divide las obligaciones de forma precisa. El proveedor cloud protege la capa física, la virtualización, la red subyacente y la disponibilidad de los servicios. La empresa es responsable de todo lo que construye sobre esa infraestructura: configuraciones, permisos, datos almacenados, aplicaciones desplegadas y accesos de usuarios. Es una línea clara en teoría. En la práctica, la mayoría de los equipos de TI la interpreta como "el proveedor se encarga de la seguridad" y sigue adelante.

El resultado está documentado. En 2019, Capital One sufrió la brecha de seguridad cloud más citada de la historia: una misconfiguration en un servicio de metadatos de AWS permitió a una atacante extraer 106 millones de registros de clientes en Estados Unidos y Canadá. No fue un fallo de Amazon. Fue una configuración incorrecta del equipo de la empresa. La multa de la FTC: 80 millones de dólares. El daño reputacional: inconmensurable.

Dónde fallan las empresas, con o sin logo de nube en el dashboard

Los errores que abren brechas en entornos cloud no requieren adversarios sofisticados. Los más costosos son también los más evitables:

• Misconfiguraciones de servicios: buckets de S3 públicos, grupos de seguridad demasiado permisivos, bases de datos expuestas sin autenticación. El Verizon Data Breach Investigations Report 2023 identifica la mala configuración como uno de los vectores más frecuentes en entornos cloud, superando a los exploits en volumen.
• Gestión deficiente de identidades: contraseñas débiles, ausencia de MFA, cuentas de servicio con privilegios excesivos que nunca se revocan. En 2022, LastPass sufrió una intrusión en su entorno cloud de desarrollo que terminó en la exfiltración de backups cifrados con datos de millones de usuarios. El vector inicial: las credenciales de un ingeniero senior.
• Cadena de suministro cloud: vulnerabilidades en librerías de terceros, integraciones de software externo y APIs mal auditadas. Microsoft publicó en 2021 el aviso de ChaosDB, una vulnerabilidad crítica en Azure Cosmos DB que permitía a cualquier atacante leer, modificar y eliminar datos de miles de clientes empresariales. La descubrió un equipo externo, no Microsoft.
• Movimiento lateral en entornos multicloud: las empresas que operan en dos o más nubes multiplican su superficie de ataque y complican la visibilidad. Políticas de seguridad inconsistentes entre proveedores crean zonas grises que los atacantes conocen mejor que los propios administradores.

Construir la defensa en un entorno que no controlas por completo

La seguridad en la nube no es un producto que se activa: es una disciplina de operación continua. Los controles que marcan la diferencia son conocidos; el problema es que pocos los aplican de forma sistemática.

Gestión de identidades y accesos (IAM) con principio de mínimo privilegio. Cada usuario y cada servicio recibe únicamente los permisos necesarios para su función, y esos permisos se revisan periódicamente. El MFA no es opcional. En 2023, el 38% de las intrusiones documentadas en cloud comenzaron con credenciales válidas sin segundo factor, según el informe de CrowdStrike.

Cifrado en reposo y en tránsito. Los datos cifrados correctamente son inútiles para quien los extrae sin las claves. Aquí el detalle importa: las claves deben ser gestionadas por la empresa, no delegadas al proveedor por defecto, y deben rotarse con frecuencia.

Monitoreo continuo y detección de anomalías. Los entornos cloud generan volúmenes de logs que ningún humano puede analizar en tiempo real. Las plataformas SIEM con capas de IA detectan comportamientos anómalos, accesos en horarios inusuales, exfiltración progresiva de datos o movimiento lateral entre servicios. Cuando esto falla, el resultado es como el de SolarWinds: el atacante dentro de la red durante nueve meses sin ser detectado.

Segmentación y Zero Trust. Ningún servicio dentro de la nube debería comunicarse libremente con otro por defecto. Aplicar el modelo de Zero Trust en entornos cloud significa verificar cada solicitud de acceso independientemente de su origen, incluyendo servicios internos. Y cuando la nube falla, ya sea por un ataque o por una caída del proveedor, la resiliencia cloud depende directamente de haber diseñado la arquitectura asumiendo que el fallo llegará.

Para las empresas que dependen de máquinas virtuales y servicios SaaS, proteger la continuidad del negocio implica también cubrir los backups cloud con recuperación verificable, algo que las soluciones de backup para entornos virtuales y nube resuelven con replicación automática y RPO/RTO definidos antes del desastre, no después.

LATAM en la nube: digitalización sin mapa de riesgos

En América Latina, la adopción cloud crece a doble dígito impulsada por la digitalización de bancos, gobiernos y pymes. El problema es que esa velocidad de adopción rara vez viene acompañada de la misma velocidad en madurez de seguridad.

La región carece de marcos regulatorios uniformes. La LGPD de Brasil existe desde 2018 con aplicación desigual. En México, la Ley Federal de Protección de Datos tiene dientes regulatorios limitados frente a la escala de los incidentes que ocurren. En el resto del continente, muchas organizaciones operan sin un inventario claro de qué datos tienen en la nube, en qué región geográfica están almacenados ni qué permisos tiene cada servicio sobre ellos. Los presupuestos de seguridad cloud son migajas comparados con el gasto en infraestructura, y los estándares internacionales son "recomendaciones" que se implementan después del primer incidente visible.

El riesgo concreto: sistemas modernos, construidos sobre proveedores de primer nivel, con defensas de hace diez años. No es que la nube sea insegura. Es que la velocidad con la que la región la adoptó superó con creces la velocidad con la que construyó la cultura y los controles para operarla de forma responsable.

¿Sabe tu empresa exactamente qué datos tiene en la nube ahora mismo, quién tiene acceso a ellos y cuándo fue la última vez que alguien auditó esos permisos?