Seguridad de datos y nube

Seguridad del almacenamiento en la nube

Se lee en aproximadamente 5 minutos

Última actualización: 2026-01-15

Qué es la seguridad del almacenamiento en la nube

La seguridad del almacenamiento en la nube se refiere al conjunto de medidas para proteger los datos almacenados en servicios de almacenamiento en la nube como Google Drive, Dropbox, OneDrive, iCloud y Amazon S3 contra el acceso no autorizado, las filtraciones y la pérdida.

Aunque el almacenamiento en la nube es muy conveniente, los datos se guardan en servidores externos fuera de tu control, lo que requiere consideraciones de seguridad diferentes a las del almacenamiento local (servidores propios). La idea de que "los datos en la nube están seguros" es peligrosa, ya que en realidad los incidentes de filtración de datos por errores de configuración del almacenamiento en la nube ocurren con frecuencia.

La responsabilidad de la seguridad en la nube se comparte entre el proveedor del servicio y el usuario (modelo de responsabilidad compartida). El proveedor se encarga de la seguridad física de la infraestructura y el cifrado base, mientras que el usuario es responsable del control de acceso, la clasificación de datos y la configuración del cifrado.

Tipos de cifrado del almacenamiento en la nube

  • Cifrado en tránsito (Encryption in Transit): Cifra la comunicación entre el dispositivo y el servidor en la nube mediante TLS. Todos los principales servicios de almacenamiento en la nube lo soportan. Previene la interceptación en la ruta de comunicación.
  • Cifrado en reposo (Encryption at Rest): Cifra los datos almacenados en el servidor en la nube. Google Drive, Dropbox y OneDrive aplican cifrado AES-256 del lado del servidor. Sin embargo, como las claves de cifrado son gestionadas por el proveedor, existe la posibilidad de que el propio proveedor o solicitudes legales al proveedor puedan acceder a los datos.
  • Cifrado del lado del cliente: Cifra los datos en el dispositivo del usuario antes de subirlos a la nube. Como solo el usuario posee las claves de cifrado, ni siquiera el proveedor puede ver el contenido de los datos. Se puede implementar con herramientas como Cryptomator o Boxcryptor.
  • Cifrado de extremo a extremo (E2EE): Una forma de cifrado del lado del cliente donde solo el remitente y el destinatario pueden descifrar los datos. Tresorit y Proton Drive ofrecen E2EE de forma estándar. Basado en el concepto de prueba de conocimiento cero, el proveedor no puede conocer el contenido de los datos en absoluto.

Para datos con altos requisitos de seguridad, se recomienda elegir un servicio con cifrado del lado del cliente o compatible con E2EE.

Gestión del control de acceso y configuración de uso compartido

La mayoría de los incidentes de filtración de datos del almacenamiento en la nube no se deben a la ruptura del cifrado, sino a errores en la configuración del control de acceso.

  • Gestión de enlaces compartidos: Los enlaces compartidos "accesibles para cualquiera que conozca el enlace" son convenientes, pero si el enlace se filtra, los datos quedan expuestos. Para compartir datos confidenciales, utiliza el uso compartido especificando cuentas concretas. Establece fecha de caducidad y contraseña en los enlaces compartidos.
  • Principio de mínimo privilegio: Otorga a los destinatarios los permisos mínimos necesarios (solo lectura, edición permitida, descarga no permitida, etc.). Otorgar permisos de "editor" de forma indiscriminada genera riesgos de alteración o eliminación de datos.
  • Integración con IAM: En entornos empresariales, integra el control de acceso del almacenamiento en la nube con IAM y aplica control de acceso basado en roles (RBAC) según el cargo o departamento. También es importante la integración con el sistema de recursos humanos para prevenir el riesgo de que las cuentas de exempleados permanezcan activas.
  • Auditoría periódica de la configuración de uso compartido: Revisa periódicamente la configuración de uso compartido de archivos y carpetas compartidos anteriormente. Es común que el uso compartido permanezca activo después de finalizar un proyecto. Puedes verificarlo en "Elementos compartidos" de Google Drive o en la pestaña "Compartido" de Dropbox.

Estrategia de respaldo y protección de datos

Es peligroso considerar que el almacenamiento en la nube en sí mismo es un respaldo. Existen múltiples escenarios en los que los datos del almacenamiento en la nube pueden perderse.

  • Compromiso de cuenta: Un atacante toma el control de la cuenta y elimina o cifra los datos (ransomware).
  • Error humano: El usuario elimina archivos por error y se vuelven irrecuperables después del período de retención de la papelera (normalmente 30 días).
  • Problemas de sincronización: La corrupción de archivos en el dispositivo local se sincroniza con la nube, sobrescribiendo los archivos correctos.
  • Fin del servicio: Posibilidad de que el proveedor de almacenamiento en la nube termine el servicio.

Se recomienda seguir la regla de respaldo 3-2-1 y hacer copias de seguridad de los datos del almacenamiento en la nube en otro lugar. Concretamente, una configuración donde los datos del almacenamiento en la nube A también se guardan en el almacenamiento en la nube B o en un disco duro externo.

En entornos empresariales, es común utilizar servicios dedicados de respaldo de almacenamiento en la nube (Backupify, Spanning Backup, etc.) para respaldar automáticamente los datos de Google Workspace o Microsoft 365. También es importante aprovechar la función de historial de versiones para poder restaurar archivos al estado anterior al cifrado por ransomware.

Conceptos erróneos comunes

Si confías tus datos a un gran servicio de almacenamiento en la nube, están absolutamente seguros
Los proveedores de nube garantizan la seguridad de la infraestructura, pero no pueden prevenir la filtración o pérdida de datos por errores de configuración del control de acceso, compromiso de cuentas o errores del usuario. Basándose en el modelo de responsabilidad compartida, la configuración y operación del lado del usuario son indispensables.
Si guardas en almacenamiento en la nube, no necesitas respaldo
El almacenamiento en la nube es un servicio de sincronización, no un servicio de respaldo. Si la eliminación accidental local o el cifrado por ransomware se sincroniza con la nube, los datos se pierden. Siguiendo la regla 3-2-1, debes mantener respaldos en otro lugar.

Términos relacionados

Cifrado de datos El proceso de transformar datos legibles en texto plano en texto cifrado ilegibl… Cifrado de extremo a extremo (E2EE) Un método de cifrado donde los datos se cifran en el dispositivo del remitente y… Prueba de conocimiento cero Un método criptográfico que permite a una parte demostrar el conocimiento de cie… IAM (Gestión de Identidad y Acceso) Un marco para gestionar centralmente la autenticación (verificación de identidad… Estrategia de respaldo (Regla 3-2-1) Un principio fundamental de protección de datos: mantener al menos 3 copias de l…

Artículos relacionados

Seguridad del almacenamiento en la nube - Cómo mantener tus datos seguros Evalúa la conveniencia y los riesgos del almacenamiento en la nube, y aprende medidas prácticas como… Fundamentos del cifrado de dispositivos - Cómo proteger los datos en tu PC y smartphone Comprende por qué es importante el cifrado de dispositivos y cómo activarlo en Windows, macOS, iOS y…
← Glosario