Partner Login
Tenant Manager Background

La seguridad de los datos en la nube

Escrito por Hornetsecurity / 19.03.2025 /
Home » Blog » La seguridad de los datos en la nube

Este artículo explora la seguridad de los datos empresariales en la nube, con un enfoque en el ecosistema de Microsoft y los principales desafíos que enfrentan las empresas: la protección de la información, la excesiva dependencia de los proveedores y la gestión de múltiples entornos.

Se destaca la importancia de utilizar métodos de autenticación multifactor (MFA) resistentes al phishing, como Windows Hello for Business, las claves de hardware FIDO2 y las claves de acceso, para hacer frente a ataques cada vez más sofisticados. Además, se subraya la necesidad de que las empresas desarrollen sus propias estrategias de seguridad dentro del marco de responsabilidad compartida de Microsoft.

También se analizan las dificultades de gestionar múltiples entornos de Microsoft 365 y la importancia de una buena administración y gobernanza para garantizar la seguridad de los datos. 

La seguridad del almacenamiento en la nube está evolucionando

La “nube” lleva entre nosotros más de una década, pero es ahora cuando estamos viendo cómo las empresas dan el salto a gran escala, migrando sus operaciones o incluso adoptando modelos 100% en la nube. Pongamos como ejemplo el almacenamiento de datos empresariales.

Hace diez años, lo habitual era que las empresas contasen con algún servidor local para guardar sus datos más importantes. Sin embargo, cada vez es más común que se aprovechen los servicios de almacenamiento en la nube para esta tarea. Plataformas como SharePoint Online y OneDrive para Empresa están ganando terreno, convirtiéndose en los sitios clave para almacenar datos, protegidos además con herramientas como Microsoft Entra.

Por eso, la seguridad de los datos en la nube no es solo una prioridad para los usuarios de M365, sino para cualquier servicio en la nube en general. Aunque en este texto nos centraremos en Microsoft 365 y su ecosistema en la nube, muchas de las ideas que veremos también aplican a otros proveedores.  

Cybersecurity Report 2025

Las defensas básicas de la nube de Microsoft han mejorado con los años, pero no son infalibles. Cada vez más empresas están implementando medidas de seguridad avanzadas, como la autenticación multifactor (MFA) o la protección básica del correo a través de herramientas como Exchange Online Protection. Sin embargo, estas medidas a menudo se quedan cortas.

Los ciberdelincuentes no paran de perfeccionar sus métodos, como lo demuestran claramente ataques del tipo Adversary-in-the-Middle (Adversario en el medio). El panorama ha cambiado mucho, pero está claro que la ciberseguridad no se puede dar por sentada. Como se dice, “más vale prevenir que curar”, y esto aplica más que nunca en el ámbito de los datos en la nube. 

Claves de acceso y ataques de “Adversario en el Medio” (AitM) 

Donde va el defensor, va también el atacante. Desde hace años, tanto en Hornetsecurity como en otras empresas centradas en la seguridad, hemos insistido en la necesidad de utilizar la autenticación multifactor (MFA) como un sustituto más seguro del típico dúo usuario y contraseña a la hora de iniciar sesión.

Poco a poco, hemos visto cómo más personas adoptan diferentes tipos de MFA, desde mensajes SMS hasta llaves de seguridad físicas. Pero, claro, los ciberdelincuentes no iban a quedarse de brazos cruzados viendo cómo les fastidian el chiringuito. Han evolucionado para seguir sacándole partido a su “negocio”. 

Una de sus estrategias estrella es el uso de kits de phishing con proxy inverso, ya sean gratuitos o de pago. Estos kits les permiten crear señuelos muy convincentes en correos electrónicos para que la gente pique y haga clic en un enlace.

Una vez que llegas a una página de inicio de sesión que parece de lo más legítima, introducen tus credenciales, y ahí empieza la trampa. Tus datos de usuario y contraseña se envían al sitio real, pero también acaban en manos del atacante. Cuando el sistema genera el mensaje de MFA, los kits permiten que tú introduzcas el código o apruebes la notificación como siempre, mientras ellos, en segundo plano, roban el token que emite el servicio de identidad (como Entra ID).

Con ese token, el atacante puede iniciar sesión como si fueras tú. A este truco se le llama “Adversario en el Medio” o AitM. 

La solución pasa por usar métodos de MFA resistentes al phishing. Aunque son más recientes y todavía no están muy extendidos, ya hay ejemplos como Windows Hello para Empresas, las llaves de hardware FIDO2 y las claves de acceso (Passkeys).

Estas tecnologías bloquean la autenticación únicamente en el sitio web legítimo. Así, aunque te engañen para que entres en una página falsa, la tecnología no funciona porque detecta que la URL no coincide. 

Eso sí, no todo es de color de rosa. Por ejemplo, Windows Hello para Empresas necesita hardware específico y solo funciona en Windows. Las llaves FIDO2, por su parte, son bastante caras, lo que limita su uso. Sin embargo, las claves de acceso tienen una ventaja importante: utilizan las mismas tecnologías que las llaves FIDO2, pero aprovechan el chip de seguridad de tu móvil, ya sea iPhone o Android.

Así te ahorras comprar hardware adicional. Aunque su adopción aún es lenta, cada vez más servicios están empezando a ofrecer soporte para claves de acceso. Si eres el encargado de la seguridad en tu empresa, este es el momento perfecto para probarlas.

Con nombres como Microsoft Entra ID, Google Workspace, AWS o incluso Facebook ya aceptándolas, estamos seguros de que en menos de un año su uso se disparará. 

Preocupaciones por la Dependencia Excesiva de Proveedores: ¿Un Riesgo para la Seguridad de los Datos en la Nube? 

La dependencia excesiva de proveedores no es otra cosa que dejar en manos de un solo proveedor buena parte o incluso todas las funciones esenciales de un negocio. El problema de este enfoque es claro: si el proveedor tiene un contratiempo, ya sea de seguridad o de cualquier otro tipo, la empresa que depende de él se lleva el golpe. 

Llevamos tiempo hablando de este tema en nuestros Informes Mensuales de Amenazas y en el podcast The Security Swarm. Una preocupación recurrente, sobre todo en lo que respecta a Microsoft, que no deja de ganar terreno en distintos sectores. Y esto, lejos de solucionarse, parece que irá a peor. 

En el último año han surgido nuevos motivos de preocupación que han vuelto a poner el foco sobre este problema. Por ejemplo, un artículo interesante publicado en junio de 2024 destacó una serie de brechas de seguridad en Microsoft que merecen atención. 

Te cuento un caso concreto: Andrew Harris, un exempleado de Microsoft, detectó una grave vulnerabilidad en Active Directory Federation Services (AD FS) y trató por todos los medios de solucionarla. Pero sus advertencias cayeron en saco roto. Mientras tanto, Microsoft estaba cerrando un contrato multimillonario con el gobierno de Estados Unidos para sus servicios en la nube, y el problema se dejó aparcado.

Cuando Harris dejó la compañía en 2020, salió a la luz el ataque de SolarWinds, posiblemente el mayor ataque a la cadena de suministro de la historia. Aunque inicialmente el foco se puso en SolarWinds y su producto Orion, los atacantes rusos aprovecharon la vulnerabilidad de AD FS para moverse por las redes tras obtener acceso inicial.

Y todo esto ocurrió mucho antes de los informes del Cyber Safety Review Board (CSRB) o de que Microsoft lanzara la Secure Future Initiative (SFI). Ahora, la gran incógnita es si el “nuevo Microsoft” será capaz de priorizar la seguridad sobre el desarrollo de nuevas funcionalidades. Algo que, seamos sinceros, no es tarea fácil para ninguna empresa que quiere mantenerse en la cresta de la ola. 

Al final, cada organización debe decidir hasta qué punto quiere depender de un solo proveedor. Pero si tenemos en cuenta años de problemas de seguridad y el limitado alcance de la responsabilidad que Microsoft asume sobre los datos de sus clientes, la elección parece bastante clara. 

¿De qué es responsable Microsoft? 

Muchos se hacen esta pregunta: “Si Microsoft no se ocupa de mis datos ni de mi seguridad, ¿entonces de qué es responsable realmente?”. Pues bien, la postura de Microsoft sobre este tema no ha cambiado en 2024. Para entenderlo bien, hay que echar un vistazo al famoso Modelo de Responsabilidad Compartida de Microsoft. 

Lo esencial de este modelo es que deja claro que “la responsabilidad siempre recae en el cliente para”

  • Información y datos. 
  • Dispositivos (ya sean móviles o PC). 
  • Cuentas e identidades. 

Vamos, que te toca a ti garantizar la seguridad y protección de tu información. Microsoft, en este caso, se lava las manos. Por eso, a medida que más empresas migran a la nube, es clave que lo tengan en mente cuando diseñen sus estrategias de protección. 

Hay otro tema importante que no podemos dejar pasar. Ya lo mencionamos en nuestro informe del año pasado, pero sigue sorprendiendo a muchos usuarios de Microsoft 365 (M365), así que merece la pena repetirlo. En 2023, Microsoft dio un giro importante sobre su postura respecto al uso de aplicaciones de respaldo con M365.

En una conferencia, anunciaron Microsoft 365 Backup, un servicio para hacer copias básicas de seguridad en M365. Pero, ojo, lo relevante no es tanto el servicio en sí, sino el cambio de discurso. Antes solían decir: “No necesitas respaldar los datos en M365”. Este cambio de rumbo ha dado que hablar, y muchos en la industria creen que hay dos motivos detrás: 

  • Microsoft ha reconocido, al fin, que depender solo de la retención de datos no basta para garantizar la seguridad en M365. 
  • Microsoft también ha visto el filón en el mercado de los respaldos y quieren llevarse su trozo del pastel. 

Ambas razones tienen sentido, pero la segunda cobra fuerza al ver que también han lanzado una API de respaldo para proveedores… eso sí, de pago, como era de esperar. En cualquier caso, el mensaje está más claro que nunca: las empresas SON las responsables de proteger los datos que alojan en los servicios en la nube de Microsoft. 

Las dificultades de gestionar múltiples tenants en la nube de Microsoft 

Con el paso de los años, los servicios principales de la nube de Microsoft se han convertido en algo casi imprescindible, y muchas organizaciones se encuentran ahora con el reto de manejar varios entornos de Microsoft 365 al mismo tiempo.

Esto es algo bastante común, sobre todo en empresas que han pasado por fusiones y adquisiciones, o si eres un proveedor de servicios gestionados (MSP) que lleva varios clientes. En cualquier caso, gestionar múltiples tenants de Microsoft 365 puede acabar siendo un auténtico dolor de cabeza. 

El problema principal viene cuando esta carga de trabajo adicional empieza a afectar directamente a la seguridad de los datos en la nube.

Seguro que tu organización tiene definidos unos estándares para mantener las mejores prácticas de seguridad y activar las funciones necesarias en los entornos de Microsoft 365 que administra. Pero, siendo realistas, muchos administradores se las ven y se las desean para imponer esos estándares y evitar errores o configuraciones incorrectas cuando se trata de varios tenants.

Por la propia naturaleza de los servicios en la nube, una mala configuración puede ser la línea que separa una organización segura de un desastre de seguridad. 

Por eso, la gestión de tenants se está volviendo cada vez más crucial para mantener a salvo los datos en Microsoft 365. Es verdad que Microsoft tiene una herramienta llamada Lighthouse, pero no es perfecta. Muchos MSPs opinan que se queda corta en funciones y escalabilidad.

Por suerte, algunas empresas han sacado soluciones más completas para cubrir esta necesidad, como 365 Multi-Tenant Manager para MSPs de Hornetsecurity. En un mundo cada vez más enfocado en la nube, la gestión y la gobernanza adecuadas son más importantes que nunca.

Los equipos de liderazgo deben tener claro que estos desafíos no son tonterías, porque una mala gestión puede poner en jaque la seguridad de los datos en la nube. ¡Más vale prevenir que curar! 

¿Por qué elegir 365 Multi-Tenant Manager? 

  • Ahorro de tiempo real: Olvídate de tareas manuales repetitivas gracias a la automatización. Podrás reducir más de 2800 horas al año, el equivalente a casi 1,5 empleados a tiempo completo. 
  • Cumplimiento sin complicaciones: Mantén la seguridad y el cumplimiento normativo en todos tus tenants con análisis automatizados y corrección en tiempo real. 
  • Soluciones a medida: Define y aplica políticas personalizadas sin esfuerzo, asegurándote de que cada cliente cumple con sus requisitos específicos. 

Gestiona de forma inteligente y no te quedes atrás; el futuro ya está aquí. Solicita una demo y descubre cómo 365 Multi-Tenant Manager para MSP optimizará tu operativa, te ahorrará tiempo y reforzará la seguridad de tus clientes. 

365 Multi Tenant Manager icon

Características principales de 365 Multi-Tenant Manager 

  • Onboarding sin complicaciones: Añade nuevos tenants de forma sencilla con detección y onboarding automáticos, aprovechando la conexión con el Centro de Partners de Microsoft. 
  • Gestión centralizada: Supervisa y administra todos tus tenants de Microsoft 365 desde un único panel, con análisis recurrentes de cumplimiento y corrección automática de posibles problemas. 
  • Automatización intuitiva: Los asistentes guían a los proveedores de servicios en cada paso del proceso: onboarding, configuración y supervisión. Menos errores, más eficiencia. 
  • Configuración estandarizada y flexible: Aplica rápidamente las configuraciones recomendadas de Microsoft 365 con plantillas listas para usar o personaliza las políticas según las necesidades de cada cliente. 
  • Mayor eficiencia: Optimiza tiempo y recursos, permitiendo que tu equipo se enfoque en innovar, mejorar y vender, en lugar de perder tiempo en configuraciones manuales. 
Manual MSP para trabajar de forma inteligente, no más dura

¡Descubre los secretos para que tu MSP crezca de manera sencilla!

¿Estás listo para superar los desafíos de escalar tu MSP? Descarga nuestro MSP Playbook y descubre las estrategias para optimizar el onboarding, automatizar tareas, mejorar la seguridad y estandarizar las operaciones. No dejes que los procesos manuales y el estrés por el cumplimiento te detengan: ¡empieza a trabajar de manera más inteligente!

¡Descargar la copia gratuita!

Conclusión 

La seguridad de los datos en la nube sigue siendo un tema clave a medida que más organizaciones trasladan sus servicios a este entorno. Aunque las defensas básicas de Microsoft Cloud han mejorado, no son infalibles, especialmente frente a amenazas en constante evolución, como los ataques Adversario en el Medio (AitM). Para reforzar la protección, es fundamental implementar métodos de autenticación multifactor (MFA) resistentes al phishing, como las claves de acceso. 

Pero con el crecimiento del uso de la nube, también aumenta la complejidad de gestionar múltiples tenants, un reto aún mayor para empresas que han pasado por fusiones o para los proveedores de servicios gestionados (MSP). Administrar y gobernar correctamente estos entornos es clave para evitar configuraciones incorrectas que puedan derivar en filtraciones de datos. 

Para facilitar la gestión, 365 Multi-Tenant Manager para MSP de Hornetsecurity ofrece una solución que optimiza la administración de múltiples tenants de Microsoft 365. Con esta herramienta, se mantiene la coherencia en la configuración, se establecen estándares y se minimiza el riesgo de errores que comprometan la seguridad. 

También le puede interesar