La seguridad en la nube tiene un problema de percepción que trabaja en su contra. Hay empresas que no migran a cloud porque creen que es menos seguro que su datacenter propio. Y hay empresas que sí migran pero asumen que la seguridad es responsabilidad del proveedor. Ambas posiciones son incorrectas, y ambas crean exposición.
La realidad es más matizada: la nube puede ser más segura que la infraestructura on-premise — y frecuentemente lo es — pero solo cuando la organización entiende y actúa sobre su parte de la responsabilidad. Esa parte no es pequeña.
El principio fundamental de la seguridad en la nube es el modelo de responsabilidad compartida: el proveedor de nube es responsable de la seguridad de la nube (la infraestructura física, la red, el hardware); la organización es responsable de la seguridad en la nube (sus datos, sus aplicaciones, sus configuraciones, sus accesos).
Este principio parece claro en papel, pero en la práctica genera confusión — y esa confusión es costosa. Gartner estimó que el 99% de los fallos de seguridad en la nube serían responsabilidad del cliente, no del proveedor. Y los datos lo confirman: el 23% de los incidentes de seguridad en cloud se originan en configuraciones incorrectas, y el 82% de esas configuraciones incorrectas son causadas por error humano, no por fallas de software (Exabeam 2025).
Dicho de otra manera: el datacenter de AWS o Azure probablemente es más seguro que el de tu empresa. Pero si configuras mal los permisos de acceso, dejas un bucket de almacenamiento público o reutilizas contraseñas entre sistemas, la sofisticación de la infraestructura del proveedor no te va a proteger.
Los datos de 2024-2025 sobre seguridad en la nube dibujan un panorama que requiere atención:
Pero hay un dato que pone todo esto en perspectiva: más del 90% de los incidentes de seguridad en la nube son prevenibles con controles adecuados (Gitnux). El problema no es que la nube sea insegura. El problema es que la mayoría de las organizaciones no implementa los controles básicos de manera consistente.
Configuraciones incorrectas (misconfigurations): La amenaza número uno. Buckets de almacenamiento accesibles públicamente, permisos de IAM demasiado amplios, APIs expuestas sin autenticación, redes sin segmentación adecuada. Son errores que parecen menores y que pueden exponer datos críticos a internet. El promedio de 43 configuraciones incorrectas por cuenta cloud en organizaciones que usaron nube pública en 2024 muestra la escala del problema (SentinelOne).
Gestión de identidades y accesos (IAM): En la nube, la identidad es el nuevo perímetro de seguridad. Los ataques de credential stuffing, phishing para robo de credenciales, y aprovechamiento de cuentas con permisos excesivos son vectores de ataque prioritarios. El 51% de los compromisos cloud en 2023 se originaron en controles de contraseña deficientes (Google). Solo el 50% de las organizaciones tiene autenticación multifactor (MFA) implementada para acceso cloud (Gitnux).
APIs inseguras: Las APIs son la interfaz a través de la cual los servicios cloud se comunican entre sí y con el exterior. APIs mal diseñadas, sin autenticación adecuada o con exceso de información expuesta son uno de los vectores de ataque de más rápido crecimiento, especialmente en entornos multi-cloud y con integración de IA generativa.
Shadow cloud y assets no monitoreados: El 32% de los activos cloud están sin monitoreo activo, con un promedio de 115 vulnerabilidades cada uno (Orca Security). Los recursos creados sin pasar por el proceso de aprobación de TI — el equivalente cloud del Shadow IT clásico — crean puntos ciegos que los equipos de seguridad no pueden gestionar si no saben que existen.
Zero Trust como arquitectura de seguridad: El principio de Zero Trust — nunca confiar, siempre verificar — es la respuesta más robusta a las amenazas de identidad en entornos cloud. Ningún usuario, dispositivo ni servicio obtiene acceso por defecto, independientemente de si está dentro o fuera de la red corporativa. El mercado de Zero Trust está proyectado en $60 mil millones para 2027 (Exabeam), lo que refleja la adopción acelerada de este modelo.
Cloud Security Posture Management (CSPM): Herramientas que monitorean continuamente la configuración de los entornos cloud e identifican desviaciones de las mejores prácticas de seguridad. Son la respuesta más directa al problema de las configuraciones incorrectas. Solo el 26% de las organizaciones las usa actualmente (Exabeam) — lo que significa que el 74% está gestionando configuraciones de forma reactiva, no proactiva.
Cifrado consistente: El cifrado de datos tanto en tránsito como en reposo es un control fundamental. El problema es que menos del 10% de las organizaciones cifra más del 80% de sus datos sensibles en la nube (Exabeam). El 47% de los datos almacenados en cloud está clasificado como sensible — pero eso no significa que esté cifrado.
Gestión de vulnerabilidades y parches: En entornos cloud que cambian constantemente, la gestión de vulnerabilidades requiere automatización. Los procesos manuales no tienen la velocidad ni la escala para mantenerse al ritmo con el que aparecen nuevas vulnerabilidades y con el que cambia el entorno.
El 88% de los incidentes de seguridad en la nube están vinculados a errores humanos (Exabeam) — no a fallas de software ni a ataques sofisticados que ningún control podría haber detenido. Eso dice algo importante: la inversión en tecnología de seguridad sin la inversión equivalente en capacitación, concienciación y procesos tiene un retorno limitado.
Las organizaciones que tienen mejores resultados en seguridad cloud son las que tratan la seguridad como una responsabilidad transversal, no como un problema exclusivo del equipo de TI. El 63% de las organizaciones ya realiza capacitación regular en seguridad cloud para su personal (Gitnux). Es un número que debería ser más alto, pero va en la dirección correcta.
Moverse a la nube sin fortalecer simultáneamente las capacidades de seguridad es como mudarse a una casa más grande sin cambiar las cerraduras. El espacio es mejor, pero la protección no mejora por sí sola.
Fuentes: IBM Cost of Data Breach Report 2025, Gartner, SentinelOne, Exabeam 2025, Orca Security 2025, Gitnux, datastackhub, Google Cloud Security
—
Andrés Lozada
Executive Director, SUMāTO Group · Cloud · Infrastructure · Cybersecurity · Digital Transformation
linkedin.com/in/andreslozada/