theNet by CLOUDFLARE

Conformidad multinube en un mundo multijurisdiccional

Opacidad de la nube: riesgos inciertos con mayores consecuencias

Las oportunidades que ofrece la nube siguen superando ampliamente a los riesgos. Y gran parte del riesgo gira en torno a la normativa, debido a la posibilidad de que los datos se almacenen, se acceda a ellos, se modifiquen o se filtren de tal manera que la organización incumpla los marcos normativos cada vez más complejos en materia de protección de datos y privacidad.

Peor aún, muchos profesionales de la informática y la seguridad ni siquiera tienen visibilidad de dónde reside el riesgo. La visibilidad se vuelve más difícil a medida que los datos y las cargas de trabajo se distribuyen en entornos multinube. La nube se ha convertido en una confusa nebulosa que oculta los riesgos en materia de conformidad normativa. Mientras tanto, los requisitos jurisdiccionales que deben cumplir las organizaciones internacionales siguen multiplicándose.

Dado que los marcos de seguridad tradicionales han demostrado ser inadecuados para gestionar estos riesgos de conformidad, los equipos informáticos y los responsables de conformidad necesitan un nuevo enfoque, uno que les permita identificar y mitigar las infracciones en la nube antes de que ocurran.

El desafío de la conformidad en la nube

Cuando los datos alojados en la nube se ven expuestos, las organizaciones pierden la confianza del cliente, sufren daños a su reputación y están sujetas a la supervisión regulatoria. En el peor de los casos, una fuga de datos puede acarrear sanciones si los reguladores consideran que una organización no ha tomado medidas razonables para proteger los datos.

Las exposiciones se producen de varias maneras, desde la ingeniería social hasta un control de acceso inadecuado y fugas de datos absolutas. Sin embargo, la nube ofrece una serie de obstáculos y desafíos únicos para evitar la exposición de los datos. En concreto, dado que la responsabilidad de la seguridad es compartida entre el proveedor de nube y el cliente, los errores de configuración son un riesgo importante.

Los errores humanos involuntarios, en particular las configuraciones erróneas, son uno de los riesgos más importantes para los datos en la nube. Las implementaciones de nube pública que se dejan expuestas accidentalmente a la red pública de Internet o que están mal configuradas pueden provocar fugas de seguridad importantes.

Las configuraciones erróneas en la nube están aumentando. A medida que más empresas migran a los servicios basados en la nube, la superficie de ataque se expande, lo que aumenta el riesgo de exposición debido a recursos mal configurados.

A menudo, los problemas se detectan solo después de que los errores de configuración ya hayan tenido un impacto negativo. Esto se debe a que muchos tipos de soluciones de seguridad en la nube muy utilizadas, como la gestión de la postura de seguridad en la nube (CSPM) o los servicios de la plataforma de protección de aplicaciones nativas de nube (CNAPP), identifican los síntomas a posteriori.

La detección a posteriori genera alertas que pueden tardar un tiempo en solucionarse, lo que deja los recursos de la nube expuestos temporalmente. Cuando una organización se da cuenta de que no cumple con las normativas o está expuesta a ataques debido a configuraciones incorrectas, puede que sea demasiado tarde.

También existen muchos otros desafíos para garantizar la seguridad, la integridad y la conformidad de los datos en la nube, entre ellos:

  • Exfiltración de datos: los activos digitales ofrecen todo tipo de vectores de ataque a agentes maliciosos, ya sea que un activo esté en un entorno de nube o local. Sin embargo, las implementaciones multinube plantean amenazas adicionales, ya que la infraestructura física queda fuera de la jurisdicción y responsabilidad directas de la organización. Desde simples ataques de ingeniería social hasta ataques muy personalizados que aprovechan vulnerabilidades, los atacantes disponen de diversos métodos para extraer datos de la nube.

  • Infraestructura de nube paralela: las organizaciones a menudo terminan con instancias de nube abandonadas u olvidadas. Esto ocurre naturalmente a medida que las organizaciones se transforman, cambian y crecen, y a medida que las funciones y responsabilidades se adaptan. También puede ocurrir cuando empleados bien intencionados deciden tomar cartas en el asunto para realizar su trabajo, pero se salen de los procedimientos informáticos aprobados. El resultado puede ser una infraestructura de nube paralela que no se tiene en cuenta y que no está protegida por políticas de seguridad.

  • Arquitectura multiinquilino: las nubes públicas se comparten entre muchas organizaciones, y la responsabilidad de protegerlas recae entre el proveedor de nube y sus clientes. Los datos alojados en la nube pueden compartirse accidentalmente con otros usuarios de la nube si no se aplican los perímetros de seguridad.

Estos problemas de seguridad en la nube pueden persistir, lo que deja expuestas a las organizaciones. En lo que respecta a la conformidad normativa, y la seguridad general de la organización, hay mucho en juego. Las sanciones impuestas solo por el Reglamento general de protección de datos (RGPD) de la Unión Europea pueden ascender a 20 millones de euros o al 4 % de los ingresos anuales mundiales de una organización, lo que sea mayor.

Un mundo con múltiples jurisdicciones

Para complicar aún más la seguridad y la conformidad, cada jurisdicción tiene sus propias regulaciones. Las medidas de seguridad y privacidad varían en todo el mundo. Algunas de las principales regulaciones incluyen:

  • El RGPD y la directiva NIS2, que tienen autoridad sobre los datos de los residentes de la UE.

  • La Ley de protección de datos personales digitales (DPDP), que regula los datos personales en India.

  • En los Estados Unidos, existen regulaciones específicas por estado o sector (p. ej. CCPA, HIPAA).

  • Regulaciones del sector como PCI DSS que controlan cómo se manejan los datos de pago personales

Garantizar que todas las instancias en la nube cumplan con todos los marcos regulatorios relevantes es casi imposible solo con un esfuerzo manual. También es difícil demostrar la conformidad sin auditorías periódicas de todos los datos y sistemas, una tarea aún más difícil cuando las organizaciones dependen de implementaciones multinube en varios proveedores de nube. Este trabajo, que requiere mucho tiempo, también puede obstaculizar la expansión y el desarrollo empresarial cuando las organizaciones buscan entrar en nuevos mercados.

Solución de seguridad en la nube

Para reducir la incidencia de errores de configuración costosas, las organizaciones deben adoptar un enfoque preventivo protegiendo el punto de control donde se produce casi toda la actividad de la nube y SaaS: las llamadas API. Aunque sería imposible prevenir todos los errores de configuración por adelantado, las organizaciones deben poder inspeccionar cada llamada API en línea, a medida que se implementan nuevas instancias en la nube, no solo después de que el daño esté hecho. Además, los equipos necesitan formas de encontrar y mitigar errores, y aplicar el cumplimiento de forma automática, para evitar añadir pasos manuales.

Una plataforma de seguridad en la nube puede ayudarte a implementar ese enfoque preventivo, si es capaz de establecer reglas y controles en el perímetro.

Cloudflare optimiza la conformidad de la seguridad en la nube para los clientes a través de la evaluación y la aplicación automáticas de configuraciones seguras, lo que ayuda a garantizar una seguridad sólida y la conformidad con los marcos normativos más comunes. Cloudflare inspecciona el tráfico de las API en la nube, lo que proporciona a las organizaciones mayor visibilidad y controles granulares, y permite un enfoque proactivo para mitigar los riesgos y gestionar su postura de seguridad en la nube.

Mediante el establecimiento de controles y barreras de seguridad en todas las ubicaciones regionales, Cloudflare te ayuda a evitar muchos errores de configuración en la nube que podrían dejarte vulnerable y poner en peligro la conformidad normativa. Y al establecer esas capacidades en línea (entre tu organización y las nubes que utilizas), la plataforma de Cloudflare centraliza la gestión de los controles de seguridad y rendimiento. Como resultado, puedes seguir aprovechando al máximo varias nubes en distintas jurisdicciones, al tiempo que mejoras la eficiencia y mitigas los riesgos.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Los riesgos de seguridad y la conformidad de la informática en la nube

  • Cómo el uso de la infraestructura multinube puede dar lugar a errores de configuración

  • Las posibles soluciones para garantizar conformidad de los datos en diversas nubes y jurisdicciones

Recursos relacionados

Más información sobre este tema

Más información sobre cómo proteger los servicios para aplicaciones basados en la nube en el documento técnico "Los 3 desafíos de la seguridad y la conectividad de los servicios para aplicaciones".

¿Quieres recibir un resumen mensual de la información más solicitada de Internet?

Suscríbete a theNET

CÓMO EMPEZAR

SOLUCIONES

SOPORTE

CONFORMIDAD

INTERÉS PÚBLICO

EMPRESA

© 2025 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca