Parte de nuestra serie Security & Cybersecurity
Leer la guía completaGestión de la postura de seguridad en la nube: mejores prácticas de AWS, Azure y GCP
La mala configuración es la principal causa de violaciones de seguridad en la nube. No son exploits sofisticados de día cero ni amenazas persistentes avanzadas: simples configuraciones erróneas como depósitos públicos de S3, políticas de IAM demasiado permisivas y bases de datos no cifradas. Gartner estima que hasta 2027, el 99% de las fallas de seguridad en la nube serán culpa del cliente y se derivarán de errores de configuración evitables.
El desafío es la escala. Una cuenta empresarial típica de AWS contiene miles de recursos, cientos de políticas de IAM y docenas de configuraciones de red. Cada uno de ellos es una posible configuración errónea que espera convertirse en una brecha. Multiplique eso en implementaciones de múltiples nubes que abarcan AWS, Azure y GCP, y la administración manual de la seguridad se vuelve imposible. Cloud Security Posture Management (CSPM) automatiza la evaluación y corrección continua de estas configuraciones.
Conclusiones clave
- El modelo de responsabilidad compartida significa que los proveedores de la nube protegen la infraestructura, pero usted es responsable de la configuración, el control de acceso y la protección de datos.
- La mala configuración de IAM es el riesgo de seguridad en la nube más peligroso: una única política demasiado permisiva puede exponer todo su entorno
- El cifrado en reposo y en tránsito debe habilitarse y verificarse explícitamente para cada almacén de datos y canal de comunicación.
- Las herramientas CSPM brindan monitoreo continuo del cumplimiento en entornos de múltiples nubes, lo que reduce el esfuerzo de auditoría manual en un 80 %.
El modelo de responsabilidad compartida
Todo debate sobre seguridad en la nube comienza con el modelo de responsabilidad compartida. Comprender dónde termina la responsabilidad del proveedor de la nube y comienza la suya es esencial para evitar las lagunas en las suposiciones que conducen a infracciones.
Distribución de responsabilidades por modelo de servicio
| Dominio de seguridad | IaaS (EC2, máquinas virtuales) | PaaS (RDS, servicio de aplicaciones) | SaaS (S3, CosmosDB) |
|---|---|---|---|
| Seguridad física | Proveedor | Proveedor | Proveedor |
| Infraestructura de red | Proveedor | Proveedor | Proveedor |
| Hipervisor/SO host | Proveedor | Proveedor | Proveedor |
| Parches del sistema operativo invitado | Cliente | Proveedor | Proveedor |
| Seguridad de aplicaciones | Cliente | Cliente | Proveedor |
| Cifrado de datos | Cliente | Cliente | Cliente |
| Configuración de IAM | Cliente | Cliente | Cliente |
| Configuración de red | Cliente | Cliente | Cliente |
| Registro y seguimiento | Cliente | Cliente | Cliente |
| Validación de cumplimiento | Cliente | Cliente | Cliente |
El patrón es claro: independientemente del modelo de servicio, el cliente siempre es responsable de IAM, protección de datos, configuración de red y monitoreo. Estas son las áreas donde CSPM aporta el mayor valor.
Políticas de IAM y control de acceso
La mala configuración de IAM es siempre el riesgo de seguridad en la nube más peligroso. Una política de IAM demasiado permisiva puede otorgar a los atacantes acceso a todos los recursos de su entorno de nube. Cloud IAM es también el área más compleja de gestionar correctamente, ya que cada proveedor utiliza diferentes lenguajes de políticas y modelos de herencia.
Mejores prácticas de IAM entre proveedores de nube
| Práctica | AWS | Azul | PCG |
|---|---|---|---|
| Mínimo privilegio | Analizador de acceso IAM, alcance de políticas | Gestión de identidades privilegiadas (PIM) | Recomendador de IAM, solucionador de problemas de políticas |
| Sin uso de administrador global/root | Cuenta raíz segura con MFA, nunca la use para tareas diarias | Sólo administrador global rompecristales | Administrador de organización seguro, utilice roles a nivel de proyecto |
| Cuentas de servicio | Roles de IAM para EC2 (perfiles de instancia) | Identidades administradas para recursos de Azure | Cuentas de servicio con rotación de claves |
| Aplicación del AMF | Política de IAM que requiere MFA y clave de hardware para root | Políticas MFA de acceso condicional | Aplicación de la verificación en dos pasos |
| Revisión de acceso | Acceso no utilizado al analizador de acceso IAM | Acceder a Reseñas en Entra ID | Analizador de políticas, registros de auditoría |
| Límites de la política | Límites de permisos, SCP | Grupos de administración, Azure Policy | Políticas de organización, IAM niega políticas |
Antipatrones críticos de IAM
Permisos comodín. Las políticas que otorgan "Action": "*" o "Resource": "*" son el equivalente en la nube a dejar la puerta principal abierta. Cada política debe especificar acciones y recursos exactos.
Claves de acceso de larga duración. Las claves de acceso estáticas para usuarios de IAM (AWS) o las claves de cuenta de servicio (GCP) son objetivos de alto valor. Utilice credenciales temporales mediante la asunción de roles (AWS STS), identidades administradas (Azure) o federación de identidades de cargas de trabajo (GCP).
Confianza entre cuentas sin condiciones. Las políticas de confianza que permiten que cualquier principal de otra cuenta asuma un rol crean rutas de movimiento lateral. Incluya siempre condiciones (ID externa, IP de origen, requisito de MFA).
Permisos no utilizados. Con el tiempo, las políticas de IAM acumulan permisos que se otorgaron para tareas únicas y nunca se revocaron. Ejecute revisiones de acceso mensualmente utilizando IAM Access Analyzer (AWS), Access Reviews (Azure) o IAM Recommender (GCP).
Cifrado en reposo y en tránsito
El cifrado protege los datos del acceso no autorizado incluso cuando fallan otros controles. En entornos de nube, el cifrado debe configurarse y verificarse explícitamente para cada almacén de datos y canal de comunicación.
Cifrado en reposo
| Categoría de servicio | AWS | Azul | PCG |
|---|---|---|---|
| Almacenamiento de objetos | S3 SSE-S3 (predeterminado), SSE-KMS, SSE-C | Cifrado del servicio de almacenamiento (predeterminado), CMK | Cifrado predeterminado de Cloud Storage, CMEK |
| Almacenamiento en bloque | Cifrado EBS (por volumen, posible por defecto) | Cifrado de disco administrado (predeterminado) | Cifrado de disco persistente (predeterminado) |
| Bases de datos | Cifrado RDS (habilitado en el momento de la creación), DynamoDB (predeterminado) | TDE de base de datos SQL (predeterminado), Cosmos DB (predeterminado) | Cifrado Cloud SQL (predeterminado), Firestore (predeterminado) |
| Gestión de claves | KMS (administrado por AWS o CMK) | Bóveda de claves | KMS en la nube |
| Secretos | Administrador de secretos, almacén de parámetros SSM | Secretos clave de la bóveda | Gerente Secreto |
Mejores prácticas:
- Habilitar cifrado predeterminado para todos los servicios de almacenamiento a nivel de cuenta/suscripción/proyecto
- Utilice claves administradas por el cliente (CMK) para datos confidenciales a fin de mantener el control sobre el ciclo de vida y la rotación de las claves.
- Automatizar la rotación de claves en un cronograma de 90 a 365 días, según la sensibilidad de los datos
- Separe el acceso a claves del acceso a datos --- los usuarios que pueden leer datos no deberían poder administrar claves de cifrado
- Habilite la protección contra eliminación en las claves y requiera autorización de varias partes para la destrucción de claves
Cifrado en tránsito
- TLS 1.2 mínimo para todos los puntos finales externos. Se prefiere TLS 1.3 por su rendimiento y seguridad.
- Aplicar HTTPS en el nivel del balanceador de carga, CDN y aplicación. Redirigir HTTP a HTTPS.
- Cifrado interno entre niveles de aplicación mediante TLS o TLS mutuo (mTLS). No asuma que el tráfico de la red interna es seguro.
- Las conexiones de base de datos deben utilizar TLS. Habilite
require_ssl(PostgreSQL),require_secure_transport(MySQL) o equivalente para todos los servicios de bases de datos. - Gestión de certificados a través de AWS Certificate Manager, Azure Key Vault o certificados administrados por Google. Automatice la renovación para evitar interrupciones por vencimiento.
VPC y seguridad de red
La configuración de red en la nube crea límites de aislamiento que contienen el radio de explosión cuando (no si) un recurso está comprometido.
Mejores prácticas de arquitectura de red
Diseño de VPC/VNet. Cree VPC independientes para entornos de producción, ensayo y desarrollo. Nunca comparta una VPC entre entornos con diferentes requisitos de seguridad.
Aislamiento de subred. Utilice subredes públicas solo para recursos a los que se debe acceder a través de Internet (equilibradores de carga, puertas de enlace NAT). Coloque servidores de aplicaciones, bases de datos y servicios internos en subredes privadas sin acceso directo a Internet.
Grupos de seguridad/NSG. Aplique el principio de privilegio mínimo a las reglas de red:
- Permitir solo los puertos y protocolos requeridos
- Restringir las IP de origen a rangos conocidos (no 0.0.0.0/0)
- Utilice referencias de grupos de seguridad (fuente = otro grupo de seguridad) en lugar de rangos de IP para la comunicación interna.
- Revisar y eliminar reglas no utilizadas trimestralmente
Segmentación de red para plataformas empresariales. Para organizaciones que ejecutan plataformas ERP y de comercio electrónico:
| Nivel | Recursos | Acceso a la red |
|---|---|---|
| Público | Equilibrador de carga, CDN | Entrante 443 desde internet |
| Solicitud | Servidores web, servidores API | Entrante únicamente desde el balanceador de carga |
| Datos | Bases de datos, cachés, búsqueda | Entrante únicamente desde el nivel de aplicación |
| Gestión | Bastión, CI/CD, monitorización | Restringido a IP de administrador a través de VPN/IAP |
| Integración | Conectores de mercado, webhooks | Saliente únicamente a puntos finales de API específicos |
Funciones de seguridad de la red del proveedor de la nube
| Característica | AWS | Azul | PCG |
|---|---|---|---|
| Red virtual | VPC | Red virtual | VPC |
| Cortafuegos de red | Cortafuegos de red, WAF | Cortafuegos de Azure, WAF | Armadura en la nube, cortafuegos en la nube |
| Protección DDoS | Escudo Estándar (gratis), Escudo Avanzado | Protección DDoS Básica (gratis), Estándar | Armadura de nube |
| Conectividad privada | PrivateLink, puntos finales de la VPC | Enlace privado, puntos finales de servicio | Conexión de servicio privado |
| Seguridad DNS | Ruta 53 DNSSEC | DNS de Azure DNSSEC | DNS en la nube DNSSEC |
| Registro de flujo | Registros de flujo de VPC | Registros de flujo del NSG | Registros de flujo de VPC |
Registro, monitoreo y detección
No puedes asegurar lo que no puedes ver. El registro y el monitoreo en la nube brindan la visibilidad necesaria para detectar amenazas, investigar incidentes y mantener el cumplimiento.
Registro esencial en la nube
| Tipo de registro | AWS | Azul | PCG | Por qué es importante |
|---|---|---|---|---|
| Auditoría API | Sendero de la nube | Registro de actividad | Registros de auditoría de la nube | Cada llamada API (quién hizo qué, cuándo) |
| Flujo de red | Registros de flujo de VPC | Registros de flujo del NSG | Registros de flujo de VPC | Patrones y anomalías del tráfico de red |
| Registros de acceso | Registros de acceso a S3/ALB/CloudFront | Análisis de almacenamiento, puerta de enlace de aplicaciones | Registros de acceso al almacenamiento en la nube | Patrones de acceso a recursos |
| Consultas DNS | Registro de consultas de Ruta 53 | Análisis de DNS | Registro de DNS en la nube | Detección de C2, exfiltración de datos |
| Cambios de configuración | Configuración de AWS | Política de Azure, seguimiento de cambios | Inventario de activos en la nube | Detección de deriva, cumplimiento |
| Detección de amenazas | Servicio de guardia | Microsoft Defender para la nube | Centro de comando de seguridad | Identificación automatizada de amenazas |
Mejores prácticas de registro
Habilite CloudTrail/Registro de actividad/Registros de auditoría en cada región. Los atacantes operan deliberadamente en regiones que usted no está monitoreando. El registro multirregional elimina los puntos ciegos.
Centralizar registros. Envíe todos los registros a un SIEM central o a una plataforma de administración de registros (Splunk, Elastic, Datadog u opciones nativas de la nube como AWS Security Lake, Azure Sentinel o Google Chronicle). La correlación entre fuentes es esencial para detectar ataques de varias etapas.
Proteja la integridad del registro. Almacene los registros en una cuenta separada e inmutable. Habilite la validación del archivo de registro (archivos de resumen de CloudTrail). Si un atacante puede eliminar registros, puede cubrir sus huellas.
Establezca períodos de retención. Mínimo 90 días para registros operativos. Mínimo 1 año para registros de seguridad y auditoría. Los requisitos reglamentarios (PCI DSS, SOX) pueden requerir una retención más prolongada.
Alerta sobre eventos críticos. Defina alertas para actividades de alto riesgo:
- Inicio de sesión de administrador raíz/global
- Cambios en la política de IAM
- Modificaciones del grupo de seguridad abriendo acceso.
- Creación de recursos en regiones inusuales.
- Eliminación o modificación de la clave de cifrado
- Llamadas API no autorizadas (patrones de acceso denegado)
Herramientas e implementación de CSPM
Las herramientas CSPM automatizan la evaluación continua de las configuraciones de la nube en comparación con las mejores prácticas de seguridad, marcos de cumplimiento y políticas personalizadas.
Comparación de herramientas CSPM
| Herramienta | Multinube | Fortalezas | Modelo de precios |
|---|---|---|---|
| Centro de seguridad de AWS | Sólo AWS | Integración nativa, puntos de referencia CIS/NIST | Pago por cheque |
| Microsoft Defender para la nube | AWS, Azure, GCP | Fuerte integración de Azure, CSPM + CWPP | Por niveles por recurso |
| Centro de comando de seguridad de Google | GCP (AWS/Azure limitado) | GCP nativo, detección de amenazas integrada | Estándar (gratis) + Premium |
| Nube Prisma (Palo Alto) | AWS, Azure, GCP, OCI | Integral, CSPM + CWPP + CNAPP | Por recurso por mes |
| Mago | AWS, Azure, GCP, OCI | Análisis de riesgos sin agentes y basado en gráficos | Por carga de trabajo |
| Seguridad de las Orcas | AWS, Azure, GCP, Alibaba | Tecnología de escaneo lateral sin agentes | Por activo |
| Encaje | AWS, Azure, GCP | Detección de anomalías de comportamiento | Por carga de trabajo |
| Checkov (código abierto) | Todo (escaneo IaC) | Escaneo gratuito de infraestructura como código | Gratis |
Implementación de CSPM
Fase 1: Visibilidad. Conecte CSPM a todas las cuentas y suscripciones en la nube. Realice una evaluación inicial para establecer la postura inicial. Espere cientos o miles de hallazgos en el primer escaneo.
Fase 2: Priorización. No todos los hallazgos son iguales. Priorizar en función de:
- Explotabilidad (¿la configuración incorrecta está orientada a Internet?)
- Sensibilidad de los datos (¿el recurso contiene datos confidenciales?)
- Radio de explosión (¿qué puede alcanzar un atacante con este recurso?)
- Impacto en el cumplimiento (¿este hallazgo afecta el cumplimiento normativo?)
Fase 3: Remediación. Abordar primero los hallazgos críticos y altos. Utilice la corrección automática de CSPM para realizar correcciones seguras (habilitar el cifrado, cerrar el acceso público). Corrección manual de cambios complejos (reestructuración de políticas de IAM, rediseño de redes).
Fase 4: Prevención. Integre CSPM en canalizaciones de CI/CD mediante el escaneo de infraestructura como código (Checkov, tfsec) para evitar que las configuraciones erróneas lleguen a producción. Implementar prácticas seguras de SDLC para el código de infraestructura.
Fase 5: Cumplimiento continuo. Asigne reglas CSPM a marcos de cumplimiento (CIS Benchmarks, NIST 800-53, PCI DSS, SOC 2). Genere informes de cumplimiento automatizados. Realice un seguimiento de la puntuación de la postura a lo largo del tiempo.
Consideraciones de seguridad de múltiples nubes
Las organizaciones que ejecutan cargas de trabajo en múltiples proveedores de nube enfrentan una complejidad adicional:
Identidad unificada. Federe la identidad entre todos los proveedores de la nube a través de un único IdP. Utilice la federación SAML/OIDC para AWS, Azure y GCP desde un proveedor de identidad centralizado como Authentik u Okta. Esto proporciona una administración de acceso consistente y una revocación de un solo punto.
Política coherente. Defina políticas de seguridad una vez y aplíquelas en todas las nubes. Utilice herramientas de políticas como código (OPA/Rego, Sentinel, Cloud Custodian) que admitan definiciones de políticas de múltiples nubes.
Registro centralizado. Envíe registros de todos los proveedores de la nube a un único SIEM para la correlación entre nubes. Un ataque que gira entre proveedores de nube es invisible para el monitoreo de una sola nube.
Seguridad de interconexión de red. Las conexiones de nube a nube (AWS-Azure VPN, interconexión GCP-AWS) deben estar cifradas y monitoreadas. Estas conexiones crean posibles rutas de movimiento lateral entre proveedores.
Etiquetado consistente. Implemente una estrategia de etiquetado de recursos unificada en todas las nubes para la asignación de costos, el seguimiento de la propiedad y la aplicación de políticas de seguridad.
Preguntas frecuentes
¿Cuál es la configuración errónea de seguridad en la nube más común?
Políticas de IAM demasiado permisivas. Esto incluye permisos comodín (que permiten todas las acciones en todos los recursos), claves de acceso no utilizadas con permisos amplios y roles que se pueden asumir sin las condiciones adecuadas. Las configuraciones erróneas de IAM son particularmente peligrosas porque afectan a toda la cuenta, no solo a un recurso. Utilice IAM Access Analyzer (AWS), Access Reviews (Azure) o IAM Recommender (GCP) para identificar y corregir identidades con privilegios excesivos.
¿Necesito una herramienta CSPM si uso un único proveedor de nube?
Sí, incluso los entornos de nube única se benefician del CSPM. Los proveedores de la nube ofrecen herramientas de seguridad nativas (Security Hub, Defender for Cloud, Security Command Center) que brindan capacidades CSPM a un costo mínimo. Estas herramientas identifican configuraciones erróneas, las comparan con los estándares CIS y brindan orientación para solucionarlos. La pregunta no es si necesita CSPM, sino si necesita un CSPM de terceros (valioso para múltiples nubes, análisis más profundos o informes de cumplimiento más allá de lo que proporcionan las herramientas nativas).
¿Cómo puedo proteger las plantillas de infraestructura como código (IaC)?
Escanee plantillas de IaC (Terraform, CloudFormation, Bicep, Pulumi) antes de la implementación utilizando herramientas como Checkov, tfsec o Bridgecrew. Integre el escaneo en las verificaciones de solicitudes de extracción para detectar las configuraciones incorrectas antes de que lleguen a producción. Defina políticas personalizadas para los estándares de seguridad de su organización. Mantenga una biblioteca de módulos IaC aprobados y con seguridad revisada que los equipos puedan reutilizar en lugar de escribir desde cero.
¿Cuál es la diferencia entre CSPM y CWPP?
CSPM (Cloud Security Posture Management) se centra en la corrección de la configuración: ¿sus recursos en la nube están configurados de forma segura? CWPP (Cloud Workload Protection Platform) se centra en la protección del tiempo de ejecución: ¿sus cargas de trabajo en ejecución están protegidas contra amenazas? CSPM evita que las configuraciones incorrectas creen vulnerabilidades. CWPP detecta y responde a amenazas activas dirigidas a cargas de trabajo. Las plataformas modernas de seguridad en la nube (Prisma Cloud, Wiz, Orca) combinan ambas capacidades en una sola plataforma, a veces llamada CNAPP (Cloud-Native Application Protection Platform).
¿Cómo manejamos la seguridad en la nube para servicios administrados por terceros?
Cuando un proveedor de servicios gestionados (MSP) gestiona su entorno de nube, delimite claramente las responsabilidades en el contrato. Exigir que el MSP mantenga la certificación SOC 2 Tipo II que cubra sus prácticas de gestión de la nube. Conserve la propiedad de las cuentas en la nube (nunca permita que el MSP sea propietario del administrador raíz/global). Implemente CSPM con el acceso de su propio equipo para una verificación independiente. Incluya SLA de seguridad (cadencia de parches, tiempos de respuesta a incidentes) en el acuerdo de servicio.
¿Qué sigue?
La gestión de la postura de seguridad en la nube no es un proyecto con fecha de finalización, es una práctica continua que evoluciona con su entorno de nube. Comience por comprender el modelo de responsabilidad compartida para cada servicio que utiliza y luego implemente controles fundamentales: IAM con privilegios mínimos, cifrado en todas partes, segmentación de red y registro integral. Coloque herramientas CSPM en la parte superior para una evaluación continua y automatización del cumplimiento.
ECOSIRE crea y protege la infraestructura en la nube para plataformas empresariales que se ejecutan en AWS, Azure y GCP. Nuestras implementaciones de Odoo ERP utilizan configuraciones de nube reforzadas con monitoreo CSPM, y nuestra infraestructura de IA OpenClaw implementa una arquitectura de red de confianza cero en todas las cargas de trabajo de la nube. Comuníquese con nuestro equipo para obtener una evaluación de la postura de seguridad en la nube.
Publicado por ECOSIRE --- ayudando a las empresas a escalar con soluciones impulsadas por IA en Odoo ERP, Shopify eCommerce y OpenClaw AI.
Escrito por
ECOSIRE TeamTechnical Writing
The ECOSIRE technical writing team covers Odoo ERP, Shopify eCommerce, AI agents, Power BI analytics, GoHighLevel automation, and enterprise software best practices. Our guides help businesses make informed technology decisions.
ECOSIRE
Haga crecer su negocio con ECOSIRE
Soluciones empresariales en ERP, comercio electrónico, inteligencia artificial, análisis y automatización.
Artículos relacionados
Guía de implementación de AWS EC2 para aplicaciones web
Guía completa de implementación de AWS EC2: selección de instancias, grupos de seguridad, implementación de Node.js, proxy inverso de Nginx, SSL, escalado automático, monitoreo de CloudWatch y optimización de costos.
Alojamiento en la nube para ERP: AWS vs Azure vs Google Cloud
Una comparación detallada de AWS, Azure y Google Cloud para el alojamiento de ERP en 2026. Cubre el rendimiento, el costo, la disponibilidad regional, los servicios administrados y las recomendaciones específicas de ERP.
Estrategia de múltiples nubes para empresas: AWS, Azure y GCP
Una guía completa para la estrategia empresarial de múltiples nubes en 2026: beneficios, desafíos, ubicación de cargas de trabajo, gestión de costos y gobernanza para AWS, Azure y Google Cloud.
Más de Security & Cybersecurity
API Security 2026: Mejores prácticas de autenticación y autorización (alineado con OWASP)
Guía de seguridad API 2026 alineada con OWASP: OAuth 2.1, PASETO/JWT, claves de acceso, RBAC/ABAC/OPA, limitación de velocidad, gestión de secretos, registro de auditoría y los 10 errores principales.
Ciberseguridad para el comercio electrónico: proteja su negocio en 2026
Guía completa de ciberseguridad de comercio electrónico para 2026. PCI DSS 4.0, configuración WAF, protección contra bots, prevención de fraude en pagos, encabezados de seguridad y respuesta a incidentes.
Tendencias en ciberseguridad 2026-2027: confianza cero, amenazas de IA y defensa
La guía definitiva de las tendencias de ciberseguridad para 2026-2027: ataques impulsados por IA, implementación de confianza cero, seguridad de la cadena de suministro y creación de programas de seguridad resilientes.
Mejores prácticas de seguridad de agentes de IA: protección de sistemas autónomos
Guía completa para proteger a los agentes de IA que cubre defensa de inyección rápida, límites de permisos, protección de datos, registros de auditoría y seguridad operativa.
Mejores prácticas de seguridad en la nube para PYMES: proteja su nube sin un equipo de seguridad
Proteja su infraestructura en la nube con mejores prácticas prácticas para IAM, protección de datos, monitoreo y cumplimiento que las PYMES pueden implementar sin un equipo de seguridad dedicado.
Requisitos reglamentarios de ciberseguridad por región: un mapa de cumplimiento para empresas globales
Explore las regulaciones de ciberseguridad en EE. UU., la UE, el Reino Unido, APAC y Medio Oriente. Cubre NIS2, DORA, reglas SEC, requisitos de infraestructura crítica y cronogramas de cumplimiento.