Las malas configuraciones en la nube son la causa número uno de filtraciones de datos en 2026. No hablamos de exploits sofisticados de zero-day: son buckets S3 públicos, roles IAM con permisos excesivos y grupos de seguridad que permiten acceso mundial. Este artículo es una guía práctica con controles específicos para AWS, Azure y GCP basados en el NIST Cybersecurity Framework 2.0, el Microsoft Cloud Security Benchmark y los CIS Benchmarks.
1. Identidad y Acceso (IAM)
El 80% de los incidentes de seguridad en la nube involucran credenciales comprometidas o mal gestionadas. El principio de mínimo privilegio no es opcional.
Cuentas raíz y administrador global
| Proveedor | Acción crítica |
|---|---|
| AWS | Activar MFA con hardware security key en la cuenta raíz. No usar la cuenta raíz para tareas diarias. Crear regla en EventBridge para alertar sobre cualquier autenticación de la cuenta raíz. |
| Azure | Proteger la cuenta de Administrador Global con MFA y Conditional Access. Usar cuentas de administrador dedicadas para el día a día. |
| GCP | Proteger la cuenta de Organization Admin con verificación en dos pasos. Usar un proyecto de administrador dedicado para la gestión a nivel de organización. |
Federación y roles
- AWS: Usar AWS IAM Identity Center (SSO) con un proveedor de identidad (Okta, Azure AD, Google Workspace) en lugar de crear usuarios IAM individuales. Implementar Service Control Policies (SCPs) a nivel de organización para establecer guardrails de permisos. Reemplazar políticas con
Action: "*"por listas de acciones explícitas. - Azure: Usar Azure AD Privileged Identity Management (PIM) para acceso just-in-time a roles elevados. Activar access reviews para revocar asignaciones obsoletas automáticamente. Aplicar Conditional Access que exija cumplimiento de dispositivo y restricciones por ubicación.
- GCP: Usar grupos de Google Workspace para gestionar roles a través de role bindings condicionales en lugar de otorgar permisos directamente a usuarios individuales. Usar Workload Identity Federation para que cargas de trabajo fuera de GCP puedan autenticarse sin service account keys de larga duración.
Rotación de credenciales
- AWS: Rotar IAM Access Keys cada 90 días. Preferir roles de IAM para servicios en lugar de access keys de larga duración.
- Azure: Usar managed identities para que los recursos de Azure se autentiquen sin necesidad de almacenar credenciales en el código.
- GCP: Usar service accounts con short-lived credentials (tokens JWT con expiración de 1 hora).
2. Seguridad de Red
No ejecutes todo en una sola red plana. La segmentación con VPCs/VNets es el pilar de una arquitectura segura.
- AWS: Usar VPCs separadas por entorno (producción, staging, desarrollo) conectadas mediante Transit Gateway. Desplegar recursos en subredes privadas. Usar VPC Endpoints (PrivateLink) para acceder a servicios de AWS sin atravesar internet público.
- Azure: Usar VNet peering con grupos de seguridad de red (NSGs) a nivel de subred y NIC. Implementar Azure Private Link para servicios PaaS.
- GCP: Usar VPCs con subnets segregadas por entorno. Usar Private Google Access y VPC Service Controls para evitar la exfiltración de datos.
Grupos de seguridad y firewall
- Asegurar que el security group por defecto en cada VPC deniegue todo el tráfico entrante (por defecto permite tráfico entrante desde sí mismo, lo cual debe eliminarse).
- Eliminar la VPC por defecto en todas las regiones para evitar el despliegue accidental de recursos con IPs públicas.
- Usar rangos de origen específicos en lugar de
0.0.0.0/0. - Nunca exponer SSH (puerto 22) ni bases de datos a internet.
3. Cifrado y Protección de Datos
- AWS: Activar cifrado por defecto en buckets S3 (SSE-S3 o SSE-KMS). Usar AWS KMS para gestión centralizada de claves. Cifrar volúmenes EBS, instancias RDS, tablas DynamoDB y colas SQS. Establecer SCP para denegar cualquier acción que cree recursos sin cifrar.
- Azure: Usar Azure Disk Encryption para VMs. Cifrar bases de datos con Transparent Data Encryption (TDE). Usar Azure Key Vault para la gestión de secretos y claves.
- GCP: Usar CMEK (Customer-Managed Encryption Keys) con Cloud KMS. Activar cifrado por defecto en Cloud Storage (siempre activo, pero verificar que use CMEK si se requiere cumplimiento).
Dato real: Según el Cloud Security Baseline 2026, el cifrado del lado del servidor con claves gestionadas por el proveedor (SSE-S3, Azure SSE, Google Default Encryption) está activo por defecto en los tres proveedores desde 2024. El riesgo no es la falta de cifrado, sino que los recursos se expongan sin autenticación.
Buckets y almacenamiento público
- AWS: Activar S3 Block Public Access a nivel de cuenta (no solo a nivel de bucket). Usar S3 Access Points para control de acceso granular. Activar S3 Object Lock para backups inmutables. Monitorizar con Amazon Macie para descubrimiento de datos sensibles.
- Azure: Usar Azure RBAC para controlar acceso a Blob Storage. Activar soft delete y versioning en contenedores de almacenamiento.
- GCP: Usar IAM conditions y Public Access Prevention en buckets de Cloud Storage.
4. Monitorización y Registro
Sin logs, no hay detección. Sin detección, no hay respuesta.
| Tipo de log | AWS | Azure | GCP |
|---|---|---|---|
| Actividad de gestión | CloudTrail (todas las regiones) | Activity Log | Cloud Audit Logs |
| Tráfico de red | VPC Flow Logs | NSG Flow Logs | VPC Flow Logs |
| Consultas DNS | Route 53 Query Logs | DNS Analytics | Cloud DNS Logs |
| Logs de aplicación | CloudWatch Logs | Log Analytics | Cloud Logging |
| Acceso a datos | S3 Access Logs, ALB Logs | Diagnostic Logs | Cloud Storage Logs |
- AWS: Activar CloudTrail en todas las regiones con multi-region trail. Activar VPC Flow Logs en todas las VPCs. Enviar todo a un bucket S3 centralizado en una cuenta de seguridad dedicada con Object Lock habilitado. Usar AWS Config Rules (gestionadas y personalizadas) para evaluar el cumplimiento de recursos en tiempo real.
- Azure: Usar Diagnostic Settings para enviar logs a Log Analytics Workspace. Implementar Microsoft Defender for Cloud para monitorización unificada.
- GCP: Usar log sinks agregados a nivel de organización. Activar Data Access logs para Cloud Storage y BigQuery (generan costos adicionales pero son esenciales para forense).
5. Detección de Amenazas
- AWS: Activar GuardDuty en todas las regiones y cuentas. GuardDuty analiza CloudTrail, VPC Flow Logs y registros de DNS para detectar amenazas. Aproximadamente cuesta $4 por millón de eventos de CloudTrail y $1/GB de logs de VPC Flow analizados. Activar GuardDuty S3 Protection y EKS Protection. Configurar los hallazgos para enviarlos a SecurityHub y SNS para alertas.
- Azure: Usar Microsoft Defender for Cloud (anteriormente Azure Security Center) con planes mejorados para servidores, bases de datos y cargas de trabajo de Kubernetes.
- GCP: Usar Security Command Center (Premium) para detectar amenazas en todas las cargas de trabajo. Activar Event Threat Detection y Container Threat Detection.
6. Cumplimiento y Postura de Seguridad
- AWS: Usar AWS Security Hub para agregar hallazgos de GuardDuty, Inspector, Macie y AWS Config en un solo lugar. Suscribirse a los CIS Benchmarks y AWS Foundational Security Best Practices.
- Azure: Usar Microsoft Defender for Cloud para el panel de cumplimiento normativo. Azure Policy permite auditar y forzar configuraciones seguras basadas en el Microsoft Cloud Security Benchmark (MCSB), que pasó de 220+ a 420+ controles en 2025.
- GCP: Usar Security Health Advisors y la política de la organización para aplicar restricciones a nivel de organización (ej: prohibir IPs públicas en VMs, requerir CMEK).
El Microsoft Secure Future Initiative (SFI) 2026, impulsado tras los incidentes de seguridad de 2023-2024 en Microsoft, establece seis pilares de ingeniería alineados con Zero Trust y el NIST CSF 2.0: proteger identidades y secretos, aislar sistemas, proteger redes, proteger sistemas de ingeniería, monitorizar y detectar amenazas, y acelerar la respuesta y remediación.
Checklist de Seguridad en la Nube
Usa esta lista como línea base mínima para cualquier cuenta en la nube:
- MFA activado en todas las cuentas humanas
- Cuenta raíz/administrador asegurada y no usada en el día a día
- Políticas IAM siguen el principio de mínimo privilegio
- No hay access keys de larga duración (o rotadas cada 90 días)
- VPC/VNet con segmentación adecuada por entorno
- Security groups deniegan todo el tráfico entrante por defecto
- No hay SSH público (puerto 22) ni acceso público a bases de datos
- Cifrado activado en todo almacenamiento y bases de datos
- TLS 1.2+ forzado en todos los endpoints
- CloudTrail / Audit Logs activados en todas las regiones
- VPC Flow Logs activados
- GuardDuty / Defender / Security Command Center activados
- S3 Block Public Access activado a nivel de cuenta
- Políticas de organización/SCP aplicadas para denegar configuraciones inseguras
Conclusión
La seguridad en la nube no es un producto que se compra: es una disciplina que se practica. Los tres proveedores mayoritarios ofrecen herramientas potentes, pero estas solo son efectivas si se implementan con políticas, configuraciones y monitorización adecuadas. Empieza por los controles críticos de este checklist y construye desde ahí.
Artículos Relacionados
- Qué es Zero Trust (Confianza Cero) — Arquitectura de confianza cero para entornos cloud
- Forense en la Nube: AWS, Azure y GCP — Investigación forense post-incidente en la nube
- DevSecOps: Pipeline CI/CD Seguro — Integra seguridad en tus pipelines de despliegue cloud
- Seguridad de Contenedores Docker y Kubernetes — Protege tus cargas de trabajo en contenedores
- Firewall: Qué es, Tipos y Cómo Configurar uno — Tipos de firewall, iptables, pfSense y WAF
- Forense Digital: Guía Completa de Análisis de Incidentes — Disk, memory, network y cloud forensics con Volatility, Autopsy, Plaso y más.