La seguridad en la nube aplica modelo de responsabilidad compartida: el proveedor protege la infraestructura y el cliente, identidades y datos.
La migración a la nube es imparable: más del 85 % de las PYMEs españolas utilizan al menos un servicio cloud (correo electrónico, almacenamiento, software de gestión, CRM). Pero la nube no es segura por defecto. La seguridad de tus datos en la nube es una responsabilidad compartida entre tú y su proveedor cloud, y la parte que le corresponde a tú es la que más frecuentemente falla. Esta guía le explica qué debe hacer para proteger tus datos, su reputación y su cumplimiento normativo en entornos cloud. Si buscas el caso real, salta al caso de la pyme TIC de Las Palmas.
El modelo de responsabilidad compartida
El concepto más importante que debe entender sobre seguridad en la nube es que su proveedor cloud protege la infraestructura (centros de datos, servidores, red, virtualización), pero tú es responsable de proteger todo lo que pone encima: datos, configuraciones, accesos, aplicaciones y usuarios.
En un modelo IaaS (Infrastructure as a Service) como AWS, Azure o Google Cloud, tú es responsable del sistema operativo, las aplicaciones, los datos, los accesos y la configuración de red. En un modelo SaaS (Software as a Service) como Microsoft 365, Google Workspace, Salesforce o HubSpot, el proveedor gestiona la aplicación y la infraestructura, pero tú sigue siendo responsable de los datos, los accesos, la configuración de seguridad y la formación de los usuarios.
El error más frecuente es asumir que si el dato está en la nube, el proveedor lo protege. No es así. Si un empleado comparte un enlace público a un documento confidencial en Google Drive, la responsabilidad es suya, no de Google.
Comparativa AWS vs Azure vs GCP para seguridad en pyme
Los tres grandes hyperscalers comparten arquitectura de seguridad similar pero difieren en herramientas nativas, modelo de coste y curva de aprendizaje. Resumen práctico para pyme española:
| Aspecto | AWS | Microsoft Azure | Google Cloud (GCP) |
|---|---|---|---|
| IAM | IAM + IAM Identity Center | Entra ID + RBAC | Cloud IAM |
| Cifrado por defecto | S3, EBS, RDS (AES-256) | Storage, Disks, SQL DB | Storage, Persistent Disk, BigQuery |
| Gestión de secretos | Secrets Manager · KMS | Key Vault | Secret Manager · Cloud KMS |
| Logging y auditoría | CloudTrail + GuardDuty | Activity Log + Defender for Cloud | Cloud Audit Logs + SCC |
| SIEM nativo | Security Hub + Detective | Microsoft Sentinel | Chronicle (Mandiant) |
| DLP | Macie | Purview DLP | Sensitive Data Protection |
| Regiones UE con dato soberano | eu-west-1 (Dublín), eu-west-3 (París), eu-south-2 (Aragón) | West Europe, North Europe, Spain Central | europe-west1, europe-west4, europe-southwest1 (Madrid) |
| Certificaciones | ISO 27001/27017/27018, SOC 2, ENS Alto | ISO 27001/27017/27018, SOC 2, ENS Alto | ISO 27001/27017/27018, SOC 2, ENS Alto |
| Encaje pyme | Ecosistema más amplio, curva mayor | Mejor integración Microsoft 365 / AD | BigQuery + IA si analítica intensiva |
Las diez medidas esenciales de seguridad cloud
1. Gestión de identidades y accesos (IAM)
Implemente el principio de mínimo privilegio: cada usuario debe tener acceso solo a lo que necesita para su trabajo, y nada más. Utilice autenticación multifactor (MFA) en todas las cuentas sin excepción. Revise los permisos al menos trimestralmente y revoque los accesos de empleados que han cambiado de función o han dejado la empresa. Utilice cuentas nominales (nunca compartidas) y desactive las cuentas predeterminadas o de prueba.
2. Cifrado de datos
Active el cifrado en tránsito (TLS/SSL para todas las comunicaciones) y el cifrado en reposo (cifrado de los datos almacenados en la nube). La mayoría de los servicios cloud empresariales ofrecen ambos por defecto, pero debe verificar que están activados. Para datos especialmente sensibles, considera el cifrado del lado del cliente (client-side encryption) donde tú gestiona las claves y el proveedor cloud solo almacena datos cifrados que no puede descifrar.
3. Configuración segura (CIS Benchmarks)
Los errores de configuración son la causa principal de brechas de seguridad en la nube. Los más frecuentes son los buckets de almacenamiento públicos (S3 en AWS, Blob en Azure, GCS en GCP), los puertos de gestión expuestos a internet (RDP, SSH), las políticas de contraseña débiles, la ausencia de logs de auditoría y las reglas de firewall demasiado permisivas. Utilice las guías CIS Benchmarks para verificar la configuración segura de tus servicios cloud (existen benchmarks específicos para AWS Foundations, Azure Foundations, GCP, Microsoft 365 y Kubernetes, entre otros).
4. Backup independiente del proveedor cloud
No confíe exclusivamente en la redundancia del proveedor cloud para sus copias de seguridad. Un error de configuración, un ransomware que se sincroniza o una acción malintencionada de un empleado puede borrar tus datos incluso en la nube. Mantén una copia de seguridad independiente siguiendo la regla 3-2-1 que describimos en nuestro plan de ciberseguridad.
5. Monitorización y logging
Active los logs de auditoría en todos los servicios cloud y configúrelos para que registren los accesos, las modificaciones de datos, los cambios de configuración y las acciones administrativas. Revise los logs periódicamente (o implanta alertas automatizadas) para detectar actividad sospechosa como accesos desde ubicaciones inusuales o modificaciones masivas de datos.
6. DLP (Data Loss Prevention)
Las herramientas DLP monitorizan y controlan el flujo de datos sensibles para evitar fugas. Microsoft 365 y Google Workspace incluyen funcionalidades DLP básicas que puede configurar para detectar y bloquear el envío de datos sensibles (números de tarjeta, datos de salud, información financiera) por correo electrónico o compartición de archivos.
7. Gestión de secretos y claves
Las claves API, los tokens y las credenciales de servicio nunca deben estar en código, en repositorios Git ni en variables de entorno en texto plano. Use el gestor de secretos del proveedor (AWS Secrets Manager, Azure Key Vault, GCP Secret Manager) y rota las claves de forma automática. Implementa GitHub Secret Scanning o herramientas equivalentes en su CI/CD para detectar filtraciones tempranas.
8. Segmentación de red
Divida la infraestructura en VPCs/VNets aisladas con subredes públicas y privadas claramente separadas, aplique grupos de seguridad o NSGs restrictivos (denegación por defecto) y limite el tráfico Este-Oeste con micro-segmentación cuando sea necesario.
9. Parcheo y gestión de vulnerabilidades
Aunque el proveedor cloud parchea la infraestructura subyacente, en IaaS el cliente sigue siendo responsable de parchear el sistema operativo y las aplicaciones que ejecuta. Implementa parcheo automatizado (Azure Update Manager, AWS Systems Manager Patch Manager, GCP OS Config) y escaneo de vulnerabilidades semanal.
10. Revisión trimestral del estado de seguridad
Realiza revisiones trimestrales formales con los dashboards del proveedor (AWS Security Hub, Microsoft Defender Secure Score, GCP Security Command Center) para identificar drift de configuración, nuevos riesgos y oportunidades de mejora.
Cumplimiento normativo en la nube
RGPD y localización de datos
El RGPD exige que los datos personales de ciudadanos europeos se procesen con garantías adecuadas. Si utiliza servicios cloud con centros de datos fuera de la UE, debe verificar que existen mecanismos de transferencia válidos (Cláusulas Contractuales Tipo, decisiones de adecuación). La opción más sencilla para PYMEs es elegir proveedores que ofrezcan almacenamiento en centros de datos dentro de la UE (Microsoft 365 EU Data Boundary, AWS eu-south-2 Aragón, GCP europe-southwest1 Madrid).
ENS y servicios cloud
Si tu organización está sujeta al ENS, los servicios cloud que utilice deben cumplir con los requisitos de seguridad correspondientes a la categoría de tu sistema. El CCN ha publicado guías específicas sobre el uso de servicios cloud en el contexto del ENS, y el catálogo CPSTIC incluye servicios cloud cualificados. Para ENS Medio o Alto, comprueba que el proveedor tiene certificación ENS específica para los servicios que vas a contratar.
Evaluación de proveedores cloud
Antes de migrar datos sensibles a un servicio cloud, evalúa al proveedor en términos de certificaciones de seguridad (ISO 27001/27017/27018, SOC 2, ENS), ubicación de los centros de datos, cláusulas contractuales de seguridad y privacidad, capacidades de cifrado, políticas de retención y eliminación de datos, y mecanismos de respuesta ante incidentes. Relacionado: Consultoría Ciberseguridad Empresas: Servicios y Costes.
Caso real: pyme TIC de Las Palmas migra a Azure con hardening completo
Una pyme TIC de 25 empleados con sede en Las Palmas de Gran Canaria, dedicada al desarrollo y operación de un SaaS para gestión turística, decidió en 2024 migrar su infraestructura on-premises a Microsoft Azure ante el crecimiento de su base de clientes (de 40 a 180 hoteles canarios y peninsulares en 18 meses) y la necesidad de cumplir ENS Categoría Básica como proveedor del Cabildo de Gran Canaria.
El proyecto se ejecutó en 5 meses con un coste total de 12.000 € (auditoría inicial 1.800 € + plan de migración 1.500 € + hardening según CIS Benchmarks Azure Foundations 4.200 € + implantación de Defender for Cloud + Sentinel 3.000 € + DLP y políticas RGPD 1.500 €). Acciones clave:
- Migración a Azure región Spain Central con dato soberano y replica cross-region en West Europe.
- Entra ID con MFA obligatorio para los 25 empleados, Conditional Access basado en geolocalización (España + países OCDE) y acceso JIT para administradores.
- Hardening según CIS Azure Foundations Benchmark v2.0: 142 controles aplicados, Secure Score subido de 38 % a 87 %.
- Microsoft Defender for Cloud + Microsoft Sentinel con 18 reglas analíticas personalizadas y SOC virtualizado con respuesta gestionada por MSSP local.
- Purview DLP con políticas para datos de tarjeta (PCI) y datos personales especiales (RGPD art. 9).
- Backup independiente (Azure Backup + copia trimestral offline) con pruebas de restauración bimestrales documentadas.
- Certificación ENS Básico obtenida al mes 7, con renovación favorable en 2025.
Resultados medidos en los 18 meses post-migración: cero brechas de seguridad, MTTD bajó de 96h (pre-Sentinel) a 6h, y la empresa firmó 4 contratos AAPP nuevos por valor combinado de 95.000 € gracias al sello ENS. Coste cloud mensual incremental: 1.800 €/mes (Azure + Sentinel + Defender), inferior al ahorro en mantenimiento on-premises.
Mini-glosario de seguridad cloud
- IaaS / PaaS / SaaS: Infrastructure / Platform / Software as a Service · niveles de servicio cloud con distinto reparto de responsabilidad.
- CSPM: Cloud Security Posture Management · gestión continua del estado de seguridad cloud.
- CIEM: Cloud Infrastructure Entitlement Management · gestión de permisos en cloud.
- CWPP: Cloud Workload Protection Platform · protección de cargas (VMs, contenedores, serverless).
- SIEM: Security Information and Event Management · correlación y análisis de logs de seguridad.
- CASB: Cloud Access Security Broker · intermediario que aplica políticas entre usuarios y SaaS.
- CIS Benchmarks: guías de configuración segura del Center for Internet Security.
- CPSTIC: Catálogo de Productos y Servicios de Seguridad TIC del CCN.
- DLP: Data Loss Prevention · prevención de fuga de datos sensibles.
- JIT: Just-In-Time access · acceso administrativo temporal aprobado bajo demanda.
¿Necesita evaluar la seguridad de tus servicios cloud o migrar de forma segura? Hablamos para una evaluación de su entorno cloud y un plan de seguridad adaptado a tus servicios y regulaciones.
Autoría: Ángel Ortega Castro · consultor independiente en estrategia, calidad y digitalización para PYMEs, con sede en Aranda de Duero (Burgos). Relacionado: Auditoría de Ciberseguridad: Evaluación Completa.
Preguntas frecuentes en profundidad
¿Qué es el modelo de responsabilidad compartida en cloud?
Es el principio que rige toda relación con un proveedor cloud: el proveedor protege la nube (centros de datos físicos, hipervisor, red base, infraestructura), el cliente protege lo que pone en la nube (datos, configuración, identidades, aplicaciones, sistemas operativos en IaaS). El reparto varía según el modelo de servicio.
En SaaS (Microsoft 365, Google Workspace, Notion) la responsabilidad del cliente se reduce a configuración, identidades y datos. En PaaS (Heroku, Vercel) añade aplicaciones. En IaaS (EC2, GCE) añade sistema operativo. La mayoría de PYMEs operan en SaaS, así que su foco es identidades + configuración.
¿Cuáles son los errores más comunes que llevan a brechas cloud?
Tres errores concentran la mayoría de incidentes: 1) buckets S3 o Storage públicos por defecto que exponen datos sensibles, 2) credenciales hardcodeadas en código subido a GitHub público que terceros encuentran en minutos, 3) cuentas administrativas sin MFA, comprometidas vía phishing y usadas para tomar el entorno entero.
Los tres son problemas de configuración del cliente, no fallos del proveedor. CIS Benchmarks, AWS Trusted Advisor o Microsoft Secure Score detectan estos errores automáticamente.
¿Cómo proteger las cuentas de administrador en cloud?
Cuatro reglas que se aplican a toda cuenta admin: 1) MFA obligatorio con app o llave de seguridad (no SMS), 2) cuenta dedicada solo para tareas administrativas, separada de la cuenta de uso diario, 3) registro de actividad activo y revisión periódica, 4) política de contraseña fuerte y rotación tras cualquier sospecha.
Para entornos críticos, añadir Privileged Access Management (PAM) que requiere autorización adicional para acciones de alto privilegio. Es la barrera más efectiva contra el compromiso de credenciales.
¿Cómo cifrar datos correctamente en la nube?
Tres capas: 1) cifrado en tránsito (TLS 1.2 o superior en toda comunicación, sin excepciones), 2) cifrado en reposo (activado por defecto en la mayoría de servicios cloud modernos, verificar que esté habilitado), 3) gestión de claves (KMS del proveedor para uso estándar, HSM externo o BYOK para datos críticos regulados).
El error frecuente es asumir que 'está cifrado' sin verificar. Auditar la configuración del cifrado en cada servicio (especialmente bases de datos, almacenamiento de objetos y copias de seguridad) es parte del trabajo de seguridad cloud.
¿Qué obligaciones impone el RGPD al cloud?
El proveedor cloud actúa como encargado del tratamiento. Hay que firmar un DPA (Data Processing Agreement) con él, identificar dónde se almacenan los datos (UE/EEE preferible, fuera requiere cláusulas adicionales y evaluación de transferencia), y mantener registro de la cadena de subencargados.
Tras Schrems II, las transferencias a EE.UU. requieren evaluación específica salvo que el proveedor esté en el Data Privacy Framework. Conviene priorizar regiones europeas cuando el contrato lo permite.
¿Cómo monitorizar la seguridad cloud sin comprar un SIEM caro?
Tres herramientas suelen ser suficientes para una PYME: 1) Security Hub o equivalente del proveedor cloud activado, 2) alertas nativas en mail/Slack para eventos críticos (login admin sin MFA, cambio en políticas IAM, creación de claves), 3) revisión mensual de logs con un dashboard simple.
Si la PYME crece y maneja datos sensibles, considerar XDR/MDR externo: cuesta 400-2.500 €/mes y cubre análisis y respuesta 24/7 sin tener equipo interno especializado.
¿Necesitas ayuda con esto?
Trabaja conmigo en Seguridad Cloud
Hardening AWS · Azure · GCP según CIS Benchmarks y cumplimiento ENS/RGPD para PYMEs. Primera sesión sin coste.
Agendar sesión →