Modelo de responsabilidad compartida en la nube
Se lee en aproximadamente 3 minutos
Última actualización: 2026-01-25
Qué es el modelo de responsabilidad compartida en la nube
El modelo de responsabilidad compartida (Shared Responsibility Model) es el concepto de dividir la seguridad del entorno de nube entre el proveedor de nube y el usuario. El proveedor es responsable de la "seguridad de la nube" (infraestructura física, hipervisor, base de red), y el usuario es responsable de la "seguridad en la nube" (datos, control de acceso, configuración de aplicaciones).
Si no se comprende correctamente este límite, surge el malentendido de que "al migrar a la nube, el proveedor garantiza la seguridad", y ocurren incidentes por errores de configuración del lado del usuario. De hecho, la mayoría de los incidentes de seguridad en entornos de nube son causados por errores de configuración del usuario (permisos excesivos de IAM, exposición pública de almacenamiento, falta de configuración de cifrado).
Alcance de responsabilidad por modelo de servicio
El límite de responsabilidad difiere según el modelo de servicio de la nube.
- IaaS (EC2, Azure VM, etc.): El proveedor gestiona hasta la infraestructura física y el hipervisor. El usuario es responsable de todo: aplicación de parches del SO, configuración de middleware, seguridad de aplicaciones, cifrado de datos y configuración de red. El alcance de responsabilidad del usuario es el más amplio
- PaaS (Lambda, App Service, etc.): El proveedor gestiona hasta el SO y el runtime. El usuario es responsable del código de aplicación, datos y configuración de IAM. En entornos serverless, desaparece la responsabilidad de parches del SO, pero la configuración de permisos de funciones y la validación de fuentes de eventos son responsabilidad del usuario
- SaaS (Microsoft 365, Salesforce, etc.): El proveedor gestiona hasta la aplicación. El usuario es responsable de la gestión de datos, el control de acceso de usuarios y la optimización de configuración. El alcance de responsabilidad es el más estrecho, pero el riesgo de filtración de datos por errores de configuración sigue existiendo
Áreas de responsabilidad que los usuarios suelen pasar por alto
En el modelo de responsabilidad compartida, hay áreas que los usuarios suelen pasar por alto.
- Configuración de acceso del almacenamiento en la nube: La configuración de acceso público de buckets S3 o Azure Blob Storage es responsabilidad del usuario. Son frecuentes los casos de exposición involuntaria de datos por no verificar la configuración por defecto
- Habilitación y almacenamiento de registros: La habilitación de CloudTrail, VPC Flow Logs, registros de acceso, etc. la realiza el usuario. El proveedor proporciona la infraestructura de registros, pero la habilitación y configuración del período de retención son decisión del usuario
- Respaldo y recuperación: El proveedor asegura la redundancia de la infraestructura, pero el respaldo de los datos del usuario es responsabilidad del usuario. Incluso en bases de datos gestionadas, la configuración de recuperación point-in-time y respaldo cross-region las configura el usuario
- Seguridad de imágenes de contenedores: El plano de control de ECS o EKS lo gestiona el proveedor, pero las vulnerabilidades dentro de las imágenes de contenedores y la configuración de aplicaciones son responsabilidad del usuario
Cómo establecer el modelo de responsabilidad compartida en la organización
Para operar correctamente el modelo de responsabilidad compartida, se necesitan no solo medidas técnicas sino también esfuerzos organizacionales.
- Documentación de los puntos de demarcación de responsabilidad: Documentar claramente el alcance de responsabilidad del proveedor y del usuario para cada servicio utilizado. Especialmente en PaaS y SaaS donde los límites tienden a ser ambiguos, organizar a nivel de elementos de configuración específicos
- Establecimiento de línea base de seguridad: Definir la línea base de seguridad de la organización referenciando CIS Benchmarks o el pilar de seguridad del AWS Well-Architected Framework
- Implementación de auditoría automática: Detectar automáticamente desviaciones de configuración de seguridad con servicios como AWS Config, Azure Policy y Google Cloud Security Command Center
- Revisión periódica: Como los servicios de nube se actualizan frecuentemente, revisar el alcance de responsabilidad según la adición de nuevas funciones o cambios en la configuración por defecto
Conceptos erróneos comunes
- Si migras a la nube, el proveedor garantiza toda la seguridad
- El proveedor solo es responsable de la infraestructura física y la base de la plataforma. La protección de datos, el control de acceso, la configuración de aplicaciones y la habilitación del cifrado son responsabilidad del usuario, requiriendo una conciencia de seguridad igual o mayor que en entornos locales.
- Si usas servicios gestionados, la responsabilidad de seguridad del usuario prácticamente desaparece
- Los servicios gestionados reducen la carga de gestión del SO y middleware, pero la configuración de IAM, el control de acceso de red, el cifrado de datos y la habilitación de registros siguen siendo responsabilidad del usuario. El alcance de responsabilidad se reduce pero no desaparece.