Nube segura: El mito de la protección automática
Publicado por Gerardo Arroyo, CTO Multicloud en Novacomp en 25/08/2025 en ArtículoCompartir:
Migrar a la nube no es automáticamente más seguro; hay quienes migran un ERP y dejan activado el puerto de escritorio remoto, lo que constituye una invitación para ser hackeado.
Por: Gerardo Arroyo, CTO Multicloud en Novacomp. Foto: cortesía. Portal ERP México
Migrar a la nube es automáticamente más seguro. Esta es una idea peligrosa y muy difundida. Si no se configura bien, puede ser incluso más inseguro que tenerlo en los servidores locales. Si no se configura correctamente, se pueden dejar puertas abiertas; hay quienes migran un ERP y dejan activado el puerto de escritorio remoto, lo que constituye una invitación para ser “hackeado”.
Llevar cargas a un proveedor de nube sin una arquitectura y una gobernanza adecuadas puede dejar a una organización más expuesta que en su centro de datos físico, ya que los atacantes no buscan lo imposible; explotan lo mal configurado, es decir, puertos abiertos, identidades con permisos excesivos, llaves sin rotación y registros sin monitoreo.
La ciberseguridad debe ser una característica de diseño, no un parche que se pone después y esto se logra a través de diagnósticos, análisis de riesgos y el cierre de todas las brechas que estén abiertas por falta de experiencia.
La primera decisión de la estrategia para operar en la nube implica hacer modelos de amenazas, evaluación de riesgos, fortalecimiento de la configuración base, segmentación, controles de identidad y pruebas de resiliencia, entre otros.
Para Gartner Inc., la inmensa mayoría de los incidentes en nube tienen su raíz en errores de configuración, además de los ya conocidos factores humanos, por lo que es importante tomar en cuenta que, de acuerdo con la misma consultora, el gasto mundial del usuario final en seguridad de la información alcanzará 213 mil millones de dólares en 2025, frente a 193 mil millones de dólares de 2024; además de que el gasto aumentará 12,5 % en 2026 hasta alcanzar un total de 240 mil millones de dólares.
Te puede interesar: La Inteligencia Artificial: una herramienta, no un reemplazo para el humano
Ransomware: el costo de reaccionar tarde
Muchas organizaciones buscan ayuda cuando ya tienen un ataque de ransomware encima. Y ahí ya es muy tarde. Es como manejar sin frenos solo porque nunca se ha tenido un accidente. Tarde o temprano, pasa.
Por otra parte, los casos donde los centros de datos físicos (on-premise por su concepto en inglés) siguen siendo preferibles es, debido a situaciones regulatorias o de seguridad en las que no se puede mover todo a la nube, por lo que se trabaja con modelos híbridos. Así que, no todo se puede o debe de migrar. Es importante tomar en cuenta que, en el tercer trimestre de 2024, el 88 % de los compradores de servicios en la nube informaron a IDC Cloud Pulse que estaban implementando una nube híbrida o en proceso de operar una.
El consultor ético diseña lo necesario
Dentro del mencionado diseño primario, la diferencia entre un proveedor transaccional y un consultor ético es simple: no vender una “gran máquina” si no hace falta. Eso implica dimensionamiento correcto, políticas de programación, como apagar lo que no se usa, niveles de almacenamiento adecuados y elegir el servicio más simple que evite una complejidad innecesaria que, además de costosa, amplía la superficie de ataque.
La nube es un sistema operativo empresarial que exige disciplina: seguridad como diseño, no como parche; híbrido/multicloud como norma, no como excepción; ética en lugar de sobredimensionamiento.
En el futuro cercano, en términos de eficiencia tecnológica, el entorno se encuentra en un punto donde las tecnologías emergentes, como la inteligencia artificial y la computación cuántica, estarán elevando la exigencia en cuanto a ciberseguridad, por lo que este aspecto no es una opción: es una necesidad de sobrevivencia.
