Skip to content

Una vez que tus datos están en la nube, ¿asegurarlos es responsabilidad exclusiva del proveedor?

Respuesta breve

No. La nube funciona con un modelo de responsabilidad compartida: el proveedor asegura la infraestructura subyacente («seguridad de la nube»), pero tú sigues siendo responsable de tus datos, la gestión de identidades y accesos, la configuración y — en IaaS — el sistema operativo y los parches («seguridad en la nube»). La gran mayoría de las brechas en la nube son errores de configuración del cliente, como buckets públicos e IAM demasiado permisivo, no fallos del proveedor. Suponer que el proveedor asegura tus datos es justamente cómo ocurren esas brechas.

«Está en la nube, así que el proveedor se encarga de la seguridad» es una de las ideas erróneas más caras de la informática moderna. Externaliza en silencio la responsabilidad de justo lo que el proveedor nunca aceptó poseer: tus datos y tus controles de acceso.

El modelo de responsabilidad compartida

Todo gran proveedor de nube publica un modelo de responsabilidad compartida que traza una línea:

  • Seguridad de la nube (el proveedor): centros de datos físicos, hardware, el hipervisor, la red central y las entrañas de los servicios gestionados.
  • Seguridad en la nube (tú, el cliente): tus datos, la gestión de identidades y accesos (IAM), la configuración de red y recursos, y — según el nivel de servicio — el sistema operativo invitado, el runtime y los parches.

El proveedor garantiza que la plataforma es sólida. Lo que pongas en ella, y cómo configures el acceso, es tuyo.

La línea se mueve con el modelo de servicio

El reparto no es fijo — se desliza con el nivel de abstracción:

  • IaaS (p. ej. VM en crudo): asumes lo máximo — endurecimiento del SO, parches, runtime, además de datos e IAM.
  • PaaS: el proveedor gestiona el SO y el runtime; tú conservas tus datos, la config de la app y el IAM.
  • SaaS: el proveedor ejecuta casi todo, pero aun así conservas la clasificación de tus datos, el acceso de los usuarios y cómo configuras los ajustes de compartición de la app.

Fíjate en lo que nunca deja tu lado en ningún nivel: tus datos y tus decisiones de identidad/acceso.

Por qué aquí ocurren las brechas

Los análisis post-incidente del sector son constantes: la causa dominante de los incidentes en la nube es la mala configuración del cliente, no el compromiso del proveedor. Buckets de almacenamiento expuestos públicamente, roles IAM demasiado permisivos, registro deshabilitado y datos sin cifrar son errores del cliente. La plataforma hizo su trabajo; la configuración no.

La conclusión para la entrevista

Una respuesta fuerte nombra el modelo por su fórmula («seguridad de la nube frente a en la nube»), muestra cómo se desplaza la línea entre IaaS/PaaS/SaaS y subraya que datos e IAM permanecen con el cliente pase lo que pase. Decir que el proveedor lo asegura todo revela que serías quien deja un bucket público.

Posibles preguntas de seguimiento

  • ¿Cómo se desplaza el reparto de responsabilidad entre IaaS, PaaS y SaaS?
  • ¿Por qué los buckets de almacenamiento públicos y los roles IAM demasiado permisivos son la causa dominante de brechas?
  • ¿Quién es responsable de cifrar los datos en reposo y de gestionar las claves?

Fuentes

Certificaciones

Consigue 100 preguntas de entrevista de ciberseguridad + respuestas

Déjanos tu correo y te enviaremos el pack en PDF gratuito y el mazo de flashcards.

Sin spam. Cancela tu suscripción cuando quieras.