Curso: Introducción a la

Ciberseguridad en la empresa

Modulo 4: Seguridad en la Nube

¿Qué es Seguridad en la Nube?

La seguridad en la nube, también conocida como "cloud security", es un conjunto de prácticas

y medidas diseñadas para proteger los datos, aplicaciones y recursos informáticos
almacenados en la nube. Con el crecimiento exponencial de la computación en la nube, donde
los datos y servicios se almacenan y gestionan en servidores remotos a los que se accede a
través de Internet, la seguridad en la nube se ha convertido en un aspecto crítico para
individuos, empresas y organizaciones de todo tipo.
Seguridad en la Nube
La seguridad en la nube es un campo fundamental de la ciberseguridad que se
centra en proteger los datos, aplicaciones y sistemas que se almacenan y
ejecutan en entornos de computación en la nube. La computación en la nube ha
transformado la forma en que las organizaciones almacenan, procesan y acceden
a sus recursos digitales, permitiendo una mayor flexibilidad, escalabilidad y
eficiencia. Sin embargo, esta transición hacia la nube también ha planteado
nuevos desafíos de seguridad que requieren enfoques y estrategias específicas.

La seguridad en la nube abarca una variedad de aspectos, desde la protección de

datos confidenciales hasta la mitigación de riesgos relacionados con el acceso no
autorizado, la pérdida de información y las amenazas cibernéticas. Para lograr
una seguridad efectiva en la nube, las organizaciones deben comprender y
abordar estos desafíos de manera integral.

En esta era digital, la seguridad en la nube se ha convertido en una prioridad

crítica, ya que la pérdida de datos o la exposición de información confidencial
pueden tener consecuencias graves en términos de privacidad, reputación y
cumplimiento normativo. Esta introducción servirá como punto de partida para
explorar más a fondo los conceptos y las prácticas clave relacionadas con la
seguridad en la nube.
Seguridad en la Nube
La seguridad en la red y en la nube es fundamental para proteger la información y los recursos digitales
de individuos y organizaciones. Aquí hay una visión general de los conceptos clave:

Seguridad en la red:

1.Firewalls: Un firewall es una barrera que protege una red o sistema

informático al filtrar el tráfico de red entrante y saliente. Puede ser
hardware o software y se utiliza para bloquear conexiones no
autorizadas y amenazas.

2.Antivirus y Antimalware: Estos programas se utilizan para

detectar y eliminar software malicioso, como virus, troyanos y
spyware, que pueden dañar o robar información.

3.Autenticación y Control de Acceso: Establecer contraseñas

fuertes y usar autenticación de dos factores (2FA) es crucial para
garantizar que solo usuarios autorizados tengan acceso a los
sistemas y datos.
Seguridad en la Nube
4. Actualizaciones y Parches: Mantener el software actualizado con
los últimos parches de seguridad es esencial para corregir
vulnerabilidades conocidas.

5. Monitoreo y Detección de Intrusiones: Utilizar herramientas de

monitoreo para detectar actividad sospechosa o no autorizada en la
red.

6. Control de Acceso y Autenticación: Almacenar datos y aplicaciones

en la nube requiere una gestión eficaz de acceso y autenticación,
utilizando políticas de seguridad y 2FA.

7. Cifrado: Utilizar cifrado para proteger datos en tránsito y en reposo.

Esto garantiza que, incluso si alguien obtiene acceso a los datos, no
podrá leerlos sin la clave de descifrado.

8. Cumplimiento Normativo: Asegurarse de cumplir con las

regulaciones y estándares de seguridad pertinentes, como el RGPD en
Europa o HIPAA en los Estados Unidos.
Seguridad en la Nube
9. Respaldo y Recuperación de Datos: Implementar sistemas de copia de seguridad y recuperación para
garantizar la disponibilidad de datos en caso de pérdida o daño.

10. Evaluación de Proveedores de Servicios en la Nube: Antes de confiar en un proveedor de servicios en

la nube, es importante evaluar su seguridad y prácticas de cumplimiento.

11. Concienciación de los Empleados: Educar a los empleados sobre las mejores prácticas de seguridad
en la nube y la importancia de proteger la información.

Es importante recordar que la seguridad en la red y en la nube es un proceso continuo. Las amenazas y
las tecnologías evolucionan constantemente, por lo que es esencial mantenerse al día y adaptar las
medidas de seguridad según sea necesario. Además, considerar la seguridad desde el diseño y la
planificación es crucial para prevenir problemas antes de que ocurran.

.
Modelos de Servicio en la Nube
Existen tres modelos de servicio principales, que son conocidos como modelos de servicio en la nube.
Estos modelos se refieren a cómo se proporcionan y consumen los recursos informáticos y de TI. Aquí
están los tres modelos de servicios en la nube:

1. Infraestructura como Servicio (IaaS):

• En este modelo, los proveedores de servicios en la nube ofrecen infraestructura de cómputo
virtualizada, como servidores, máquinas virtuales, redes y almacenamiento.
• Los usuarios de IaaS pueden acceder a estos recursos de manera flexible y escalar sus
necesidades de infraestructura según sea necesario.
• Los usuarios son responsables de administrar el sistema operativo, aplicaciones y datos, mientras
que el proveedor de IaaS se encarga de mantener la infraestructura subyacente.
• Algunos ejemplos de este modelo son Googlecloud, Amazon Alus Y Microsoft AZURE.

2. Plataforma como Servicio (PaaS):

• En el modelo de PaaS, los proveedores de servicios en la nube ofrecen una plataforma completa
que incluye herramientas, servicios y entornos de desarrollo para que los desarrolladores creen,
ejecuten y administren aplicaciones.
• Los usuarios de PaaS no necesitan preocuparse por la infraestructura subyacente; en su lugar, se
centran en el desarrollo y despliegue de aplicaciones.
• El proveedor de PaaS gestiona la infraestructura, el sistema operativo, las actualizaciones y la
seguridad, lo que permite a los desarrolladores concentrarse en el código de la aplicación.
• Algunos ejemplos de este modelo son AWS y GoogleApp Eugine.
Modelos de Servicio en la Nube
3. Software como Servicio (SaaS):
• El modelo de SaaS ofrece aplicaciones y servicios completamente desarrollados y listos para usar a
través de la nube.
• Los usuarios de SaaS acceden a estas aplicaciones a través de un navegador web o una aplicación
cliente, sin necesidad de preocuparse por la gestión de la infraestructura, la plataforma o el
mantenimiento del software.
• Los proveedores de SaaS se encargan de todas las tareas relacionadas con la infraestructura, el
mantenimiento y las actualizaciones de la aplicación.
Algunos ejemplos de este modelo son Dropbox, Gmail y Office365.

4. Nube Publica:
• En una nube pública los recursos informáticos, el almacenamiento y los servicios se proporcionan
por un proveedor más eterno, como Amazon WEB Services (AWS), Microsoft AZURE o Google
Cloud P Platform (GCP). Los usuarios pueden acceder a estos recursos a través de internet bajo
un modelos de pago por uso.

5. Nube Privada:
• La infraestructura en la nube se aprovisiona para uso exclusivo de una comunidad especifica de
consumidores de organizaciones que compartan objetivos (por ejemplo misión, requisitos de
seguridad, política y consideraciones de cumplimiento). Por ejemplo los Hospitales que manejan
datos médicos sensibles, registros electrónicos de pacientes, imágenes de diagnóstico médico.
Modelos de Servicio en la Nube
6. Nube Hibrida:
• Es un enfoque de infraestructura de tecnología de la Información que combina componentes de
nube publica y nube privada en una sola arquitectura. Es una combinación de recursos
computacionales, almacenamiento y servicios en la nube que se extienden tanto a través de un
entorno de nuble pública como de una infraestructura de nube privada.
• La clase de una nube hibrida es la Integración solida entre la nube pública y la nube privada. Esto
implica que los recursos en ambos entornos pueden funcionar juntos de manera eficiente y que los
datos y aplicaciones puedan moverse entre ellos según sea necesario.

Cada uno de estos modelos de servicio en la nube ofrece un nivel diferente de control y responsabilidad
para los usuarios. La elección del modelo adecuado depende de las necesidades específicas de una
organización, sus recursos y su capacidad para gestionar la infraestructura y el software. En muchos
casos, las organizaciones optan por una combinación de estos modelos para satisfacer sus requisitos

.
Principales amenazas en la nube
Las amenazas en la nube pueden variar según el entorno específico y la configuración de una
organización, pero algunas de las amenazas más comunes y significativas incluyen:

1.Acceso no autorizado: Los atacantes pueden intentar acceder a los servicios en la nube de
una organización utilizando credenciales robadas, débiles o comprometidas. Esto puede dar
lugar a la pérdida de datos o la manipulación no autorizada.

2.Fugas de datos: La exposición no intencional de datos confidenciales o sensibles es una

amenaza crítica. Puede ocurrir debido a configuraciones incorrectas, errores humanos o
ataques maliciosos.

3.Ataques de denegación de servicio (DDoS): Los ataques DDoS pueden inundar los servicios
en la nube con tráfico malicioso, lo que puede causar interrupciones en la disponibilidad de
los servicios.

4.Inseguridad de la configuración: Las configuraciones incorrectas de los servicios en la nube

son una fuente común de amenazas. Los atacantes pueden aprovechar configuraciones mal
protegidas para acceder a recursos y datos.
Principales amenazas en la nube
5. Malware y ataques a la nube: El malware diseñado para afectar a entornos en la nube
puede infectar máquinas virtuales, contenedores y sistemas de almacenamiento en la nube, lo
que puede resultar en la pérdida de datos o la interrupción de servicios.

6. Riesgos de terceros: Si utilizas proveedores de servicios en la nube, los riesgos

relacionados con la seguridad también se extienden a ellos. Los problemas de seguridad en el
proveedor de servicios pueden afectar tus datos y sistemas.

7. Suplantación de identidad (phishing): Los ataques de phishing pueden dirigirse a usuarios

de la nube, intentando obtener sus credenciales de acceso. Esto puede conducir a accesos no
autorizados a los servicios en la nube.

8. Riesgos de cumplimiento normativo: No cumplir con las regulaciones de privacidad y

seguridad puede resultar en sanciones legales y daños a la reputación de la organización.

9. Amenazas internas: Los empleados malintencionados o descuidados pueden ser una

fuente de amenazas para la seguridad en la nube. La falta de controles de acceso adecuados
puede permitir a los usuarios internos realizar actividades maliciosas.

.
Principales amenazas en la nube
10. Intercepción de datos en tránsito: Los atacantes pueden intentar interceptar las
comunicaciones entre tu organización y los servicios en la nube para robar datos
confidenciales.

11. Ataques a contenedores: Los contenedores son una tecnología común en la nube, y los
ataques dirigidos a contenedores pueden comprometer la seguridad de las aplicaciones en
ejecución.

12. Ataques de ingeniería social: Los atacantes pueden usar tácticas de ingeniería social para
manipular a usuarios o empleados para obtener información confidencial o acceso a
sistemas.

La seguridad en la nube es un desafío constante debido a la evolución de las amenazas y la

naturaleza en constante cambio de los entornos en la nube. Para mitigar estas amenazas, es
esencial implementar buenas prácticas de seguridad, como el cifrado, la gestión de
identidades, el monitoreo y la educación de los empleados, y mantenerse al día con las
últimas tendencias y amenazas en el ámbito de la seguridad en la nube.
Medidas de Seguridad
Medidas de seguridad en la nube que puedes implementar para proteger tus datos y recursos
en un entorno de nube:

1.Cifrado de Datos: Implementa el cifrado para proteger los datos en tránsito y en reposo.
Asegúrate de que los datos estén cifrados antes de ser almacenados y durante su transmisión
a través de la red.

2.Gestión de Identidades y Accesos (IAM): Utiliza una sólida gestión de identidades y

accesos para controlar quién tiene acceso a qué recursos. Aplica el principio de privilegios
mínimos, otorgando a los usuarios solo los permisos necesarios para realizar sus tareas.

3.Autenticación de Dos Factores (2FA): Requiere autenticación de dos factores para

aumentar la seguridad. Esto agrega una capa adicional de protección al exigir algo que el
usuario sabe (contraseña) y algo que el usuario tiene (como un código generado por una
aplicación o un token de seguridad).

4.Monitoreo y Detección de Amenazas: Utiliza herramientas de monitoreo para supervisar la

actividad en la nube y detectar comportamientos anómalos o amenazas cibernéticas en
tiempo real.
Medidas de Seguridad
1.
5. Auditoría y Registro (Logging): Lleva un registro detallado de todas las actividades en la
nube para fines de auditoría y seguimiento de incidentes.

6. Gestión de Parches y Actualizaciones: Mantén tus sistemas y aplicaciones actualizados

con los últimos parches de seguridad para evitar vulnerabilidades conocidas.

7. Respaldo y Recuperación de Datos: Implementa un plan sólido de respaldo y recuperación

de datos para garantizar que los datos críticos puedan restaurarse en caso de pérdida o
corrupción.

8. Evaluación de Proveedores de Servicios en la Nube: Si utilizas servicios de terceros en la

nube, evalúa la seguridad proporcionada por tus proveedores y comprende sus acuerdos de
nivel de servicio (SLA) relacionados con la seguridad.

9. Políticas y Normativas de Seguridad: Establece políticas de seguridad claras y normativas

que los usuarios deben seguir. Asegúrate de que todos en la organización comprendan y
cumplan con estas políticas. sobre los riesgos y responsabilidades.
Medidas de Seguridad
10. Educación y Concienciación de los Empleados: Capacita a los empleados sobre las
mejores prácticas de seguridad en la nube y conciénciales sobre los riesgos y
responsabilidades.

11. Pruebas de Penetración y Evaluaciones de Seguridad: Realiza pruebas de penetración

regulares y evaluaciones de seguridad para identificar y corregir vulnerabilidades antes de que
sean explotadas por amenazas reales.

12. Segmentación de Red: Divide los recursos en la nube en segmentos o redes virtuales para
limitar el movimiento lateral de amenazas en caso de una intrusión.

13. Cumplimiento Normativo: Asegúrate de cumplir con las regulaciones y estándares de

seguridad aplicables a tu industria y ubicación geográfica.

14. Uso de HTTPS: Es importante verificar que las comunicaciones con el navegador se esté
realizando de forma segura utilizando el protocolo HTTPS, ya que es un protocolo de
seguridad que hacer que los archivos tengan una mejor protección.
Medidas de Seguridad
Estas medidas de seguridad en la nube son esenciales para proteger los activos digitales y
mantener un entorno de nube seguro. Es importante adaptar estas medidas a las necesidades
específicas de tu organización y mantenerse actualizado con las últimas amenazas y mejores
prácticas de seguridad en la nube.
.
Cifrado de la información en la nube
El cifrado en la nube es una práctica esencial para garantizar la seguridad de los datos y la privacidad en
los entornos de almacenamiento y procesamiento en la nube. Implica el uso de técnicas de cifrado para
proteger los datos mientras están en tránsito (en movimiento) y en reposo (almacenados) en servidores y
sistemas de la nube. Aquí hay más detalles sobre el cifrado en la nube:

1.Cifrado de Datos en Reposo:

1. El cifrado de datos en reposo se aplica a los datos almacenados en servidores o dispositivos de
almacenamiento en la nube. Esto incluye archivos, bases de datos y otra información que se
almacena en repositorios de datos en la nube.
2. Los datos se cifran antes de almacenarlos, lo que significa que incluso si alguien obtiene acceso
a los dispositivos de almacenamiento físico, no podrá leer ni comprender la información sin la
clave de cifrado adecuada.

2.Cifrado de Datos en Tránsito:

1. El cifrado de datos en tránsito se utiliza para proteger la información mientras se transmite entre
el cliente y los servidores en la nube o entre servidores dentro de la infraestructura de la nube.
2. Los protocolos de cifrado, como SSL/TLS (usados para conexiones HTTPS), se utilizan para
garantizar que los datos transmitidos estén encriptados y protegidos de posibles
interceptaciones.
.
Cifrado de la información en la nube

3. Cifrado de Extremo a Extremo (E2E):

1. En el cifrado de extremo a extremo, los datos se cifran en el dispositivo del remitente y solo se
descifran en el dispositivo del destinatario. Nadie más, incluidos los proveedores de servicios en
la nube, tiene acceso a los datos en su forma no cifrada.
2. Este enfoque se utiliza en aplicaciones de mensajería segura y servicios de intercambio de
archivos para garantizar la privacidad del usuario.

4. Gestión de Claves:
1. La gestión de claves es un aspecto crítico del cifrado en la nube. Las claves de cifrado, que son
necesarias para cifrar y descifrar los datos, deben gestionarse de manera segura.
2. Las organizaciones pueden optar por administrar sus propias claves o utilizar servicios de
gestión de claves proporcionados por los proveedores de la nube.

5. Cifrado Homomórfico:
1. El cifrado homomórfico permite realizar cálculos en datos cifrados sin necesidad de descifrarlos
primero. Esto es útil cuando se necesita procesar datos de manera segura en la nube sin exponer
la información crítica.
Cifrado de la información en la nube
El cifrado en la nube es fundamental para proteger los datos y garantizar la confidencialidad y la
integridad de la información en los entornos de nube. Los usuarios y las organizaciones deben
comprender cómo se aplica el cifrado en su entorno de nube y tomar medidas para garantizar una gestión
adecuada de claves y la implementación correcta de las técnicas de cifrado necesarias para sus
necesidades de seguridad.
Herramientas de Cifrado
Herramientas de cifrado de archivos en la nube:

1.Cryptomator: Cryptomator es una herramienta de código abierto que te permite cifrar

archivos antes de cargarlos en servicios de almacenamiento en la nube, como Dropbox,
Google Drive y otros. Proporciona un cifrado de extremo a extremo, lo que significa que los
archivos se cifran en tu dispositivo antes de ser enviados a la nube y solo se descifran en tu
dispositivo cuando los recuperas.

2.BoxCryptor: BoxCryptor es una solución comercial que ofrece cifrado de archivos en la nube
compatible con una variedad de servicios de almacenamiento en la nube, como Dropbox,
Google Drive, OneDrive y otros. Ofrece una interfaz fácil de usar y opciones de gestión de
claves.

3.rclone: rclone es una herramienta de línea de comandos que te permite cifrar y sincronizar
archivos con una amplia gama de servicios de almacenamiento en la nube. Es de código
abierto y proporciona opciones de cifrado.
Herramientas de Cifrado

4. Tresorit: Tresorit es un servicio de almacenamiento en la nube que se enfoca en la seguridad y el

cifrado de archivos. Ofrece cifrado de extremo a extremo y una sólida seguridad de datos.

5. Mega: Mega es un servicio de almacenamiento en la nube que ofrece cifrado de extremo a extremo.
Los archivos se cifran antes de ser subidos a la nube, y solo el usuario tiene la clave de descifrado.

6. Seafile: Seafile es una plataforma de sincronización y compartición de archivos que ofrece cifrado de
archivos en reposo y en tránsito. Es de código abierto y también puede ser alojada en tu propio servidor.

7. SpiderOak: SpiderOak es un servicio de almacenamiento en la nube centrado en la privacidad y la

seguridad. Ofrece cifrado de extremo a extremo y la opción de respaldo y sincronización seguros.

8. Sookasa: Sookasa es una solución empresarial de cifrado de archivos en la nube que se integra con
servicios populares como Dropbox y Google Drive. Ofrece características de administración y
cumplimiento normativo.

Estas herramientas de cifrado de archivos en la nube te permiten mantener un mayor control sobre la
seguridad de tus datos al cifrarlos antes de cargarlos en servicios de almacenamiento en la nube. La
elección de la herramienta dependerá de tus necesidades específicas y de los servicios de
almacenamiento en la nube que utilices.
Uso de certificados de forma segura
En un entorno cada vez más digitalizado, la seguridad de la información es una prioridad crítica para
empresas y organizaciones que almacenan, procesan o transmiten datos en la nube. Los certificados
digitales desempeñan un papel esencial en la creación de un entorno de nube seguro y confiable. Estos
certificados permiten la autenticación, la cifra de datos y garantizan la integridad de las comunicaciones
en línea.

Un certificado digital es un archivo electrónico que actúa como una credencial electrónica para verificar la
identidad de una entidad en línea, como un sitio web o un servidor en la nube. El uso de certificados en la
nube proporciona varios beneficios clave:

1.Autenticación Segura: Los certificados permiten la autenticación mutua, lo que significa que tanto el
servidor en la nube como el cliente se autentican entre sí. Esto garantiza que la comunicación se
establezca con entidades legítimas, lo que es esencial en entornos de nube.

2.Cifrado de Datos: Los certificados se utilizan para establecer conexiones seguras mediante cifrado de
datos en tránsito. Esto garantiza que la información transmitida entre el cliente y el servidor esté
protegida contra posibles ataques de interceptación.

3.Integridad de Datos: Los certificados también ayudan a garantizar la integridad de los datos. Cualquier
cambio no autorizado en los datos transmitidos se detectará y se considerará inválido.
específicas y de los servicios de almacenamiento en la nube que utilices.
Uso de certificados de forma segura

4. Cumplimiento Normativo: El uso de certificados en la nube es

fundamental para cumplir con las regulaciones de privacidad y
seguridad de datos, como el Reglamento General de Protección de
Datos (RGPD) en la Unión Europea.

Sin embargo, para aprovechar al máximo los certificados en la nube

y garantizar un entorno seguro, es crucial implementar buenas
prácticas de gestión de claves y certificados. Esto incluye la
protección de las claves privadas asociadas a los certificados, la
renovación oportuna de certificados vencidos y la revocación de
certificados comprometidos.

En resumen, el uso seguro de certificados en la nube es esencial

para mantener la confidencialidad, autenticidad e integridad de los
datos y las comunicaciones en línea. Con la creciente adopción de
servicios en la nube, la seguridad de la información se vuelve aún
más crítica, y los certificados digitales son una herramienta clave
para lograrla.
Uso de certificados de forma segura
PROTOCOLO SSL/TLS

Por lo tanto es importante utilizar versiones actualizadas y seguras del protocolo

FINAL DE CURSO
Queremos agradecer tu participación en el Curso de Ciberseguridad. La ciberseguridad desempeña un papel crucial en la
protección de datos, sistemas y la privacidad en un mundo digitalmente interconectado. Esperamos que este curso les
haya proporcionado una base sólida para comprender los conceptos fundamentales de la ciberseguridad y cómo
aplicarlos en sus vidas personales y profesionales.

Recordamos la importancia de seguir aprendiendo y actualizándose en este campo en constante evolución. La seguridad
cibernética es un desafío continuo, y su conocimiento y concienciación son herramientas esenciales para mantenerse
protegidos y proteger a sus organizaciones.

Los alentamos a seguir explorando, investigando y adquiriendo habilidades adicionales en el ámbito de la ciberseguridad.
Juntos, podemos contribuir a un entorno en línea más seguro y resistente.

¡Les deseamos lo mejor en su viaje hacia un mundo cibernético más seguro!