{"id":492,"date":"2026-01-23T00:03:15","date_gmt":"2026-01-23T00:03:15","guid":{"rendered":"https:\/\/womit.com.co\/?p=492"},"modified":"2026-01-23T00:03:16","modified_gmt":"2026-01-23T00:03:16","slug":"seguridad-en-aws-por-que-no-es-solo-activar-servicios-sino-disenar-correctamente","status":"publish","type":"post","link":"https:\/\/womit.com.co\/index.php\/2026\/01\/23\/seguridad-en-aws-por-que-no-es-solo-activar-servicios-sino-disenar-correctamente\/","title":{"rendered":"Seguridad en AWS: por qu\u00e9 no es solo \u201cactivar servicios\u201d, sino dise\u00f1ar correctamente"},"content":{"rendered":"\n<figure class=\"wp-block-image size-large is-resized\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"683\" src=\"https:\/\/womit.com.co\/wp-content\/uploads\/2026\/01\/AWS-1024x683.png\" alt=\"\" class=\"wp-image-494\" style=\"aspect-ratio:1.4992888417882142;width:579px;height:auto\" srcset=\"https:\/\/womit.com.co\/wp-content\/uploads\/2026\/01\/AWS-1024x683.png 1024w, https:\/\/womit.com.co\/wp-content\/uploads\/2026\/01\/AWS-300x200.png 300w, https:\/\/womit.com.co\/wp-content\/uploads\/2026\/01\/AWS-768x512.png 768w, https:\/\/womit.com.co\/wp-content\/uploads\/2026\/01\/AWS.png 1536w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/figure>\n\n\n\n<p><\/p>\n\n\n\n<p><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Cuando una organizaci\u00f3n migra o nace en AWS, suele aparecer una suposici\u00f3n peligrosa: que la seguridad es principalmente una cuesti\u00f3n de habilitar servicios suficientes en la consola.<\/font><\/font><\/p>\n\n\n\n<p><strong><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">\u201cSi activamos WAF, GuardDuty, Security Hub y algunas reglas administradas, deber\u00edamos estar cubiertos\u201d.<\/font><\/font><\/strong><\/p>\n\n\n\n<p>Esta idea es comprensible\u2026 y profundamente equivocada.<\/p>\n\n\n\n<p>AWS ofrece uno de los conjuntos de capacidades de seguridad m\u00e1s completos de la industria. Sin embargo, ninguna herramienta \u2014por avanzada que sea\u2014 puede compensar una arquitectura mal dise\u00f1ada. En la pr\u00e1ctica, la postura de seguridad de un entorno cloud est\u00e1 determinada mucho m\u00e1s por sus decisiones arquitect\u00f3nicas que por la cantidad de servicios activados.<\/p>\n\n\n\n<p>Este patr\u00f3n se repite tanto en startups como en organizaciones con plataformas complejas y cientos de aplicaciones en producci\u00f3n.<\/p>\n\n\n\n<p><strong>El problema estructural: la seguridad llega tarde<\/strong><\/p>\n\n\n\n<p>En muchos proyectos, la historia es casi siempre la misma:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Se dise\u00f1a y se construye la aplicaci\u00f3n.<\/font><\/font><\/li>\n\n\n\n<li>Se despliega a producci\u00f3n<\/li>\n\n\n\n<li>El negocio crece, la plataforma se vuelve cr\u00edtica<\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Aparece una auditor\u00eda, un incidente o un requisito de cumplimiento.<\/font><\/font><\/li>\n\n\n\n<li>Reci\u00e9n entonces se intenta \u201cendurecer\u201d la plataforma<\/li>\n<\/ul>\n\n\n\n<p><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">El resultado suele ser una superposici\u00f3n de controles reactivos sobre una base que nunca fue pensada con la seguridad como requisito fundamental. Se corrigen los s\u00edntomas visibles, pero no se elimina la causa ra\u00edz.<\/font><\/font><\/p>\n\n\n\n<p><strong>AWS no te hace seguro: te da el material para construir seguridad<\/strong><\/p>\n\n\n\n<p>AWS es, por dise\u00f1o, extraordinariamente flexible. Esa misma flexibilidad permite construir tanto arquitecturas s\u00f3lidas y bien aisladas como entornos fr\u00e1giles, dif\u00edciles de entender y a\u00fan m\u00e1s dif\u00edciles de defender.<\/p>\n\n\n\n<p>Con exactamente los mismos servicios es posible crear:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Plataformas con segmentaci\u00f3n clara, l\u00edmites de confianza bien definidos y m\u00ednimo privilegio real<\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">O entornos planos, con dependencias impl\u00edcitas, permisos excesivos y superficies de ataque innecesarias.<\/font><\/font><\/li>\n<\/ul>\n\n\n\n<p>La diferencia no est\u00e1 en qu\u00e9 servicios se usan, sino en c\u00f3mo se ensamblan y bajo qu\u00e9 principios.<\/p>\n\n\n\n<p><strong>El espejismo de la \u201cseguridad activada\u201d<\/strong><\/p>\n\n\n\n<p>Es com\u00fan encontrar entornos que cuentan con:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>AWS WAF y conjuntos de reglas administradas<\/li>\n\n\n\n<li>Servicios de detecci\u00f3n como GuardDuty y Security Hub<\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Centralizaci\u00f3n de registros en CloudWatch o S3<\/font><\/font><\/li>\n<\/ul>\n\n\n\n<p><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Y a\u00fan as\u00ed presentan cr\u00edticas de debilidades, por ejemplo:<\/font><\/font><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">API sin controles adecuados de autorizaci\u00f3n a nivel de objeto o propiedad (BOLA \/ BOPLA)<\/font><\/font><\/li>\n\n\n\n<li>Roles IAM con permisos ampliamente sobredimensionados<\/li>\n\n\n\n<li>Segmentaci\u00f3n de red deficiente o inexistente<\/li>\n\n\n\n<li>Recursos internos expuestos sin una necesidad real<\/li>\n\n\n\n<li>Ausencia de control efectivo del tr\u00e1fico de salida<\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Grandes vol\u00famenes de troncos que nadie revisa de forma sistem\u00e1tica<\/font><\/font><\/li>\n<\/ul>\n\n\n\n<p>El resultado es una percepci\u00f3n de control, no una postura de seguridad robusta.<\/p>\n\n\n\n<p>Donde realmente se decide la seguridad: en el dise\u00f1o<\/p>\n\n\n\n<p>La seguridad de una plataforma en AWS se define mucho antes del primer despliegue, al responder preguntas como:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>\u00bfQu\u00e9 ocurre si este componente se ve comprometido?<\/li>\n\n\n\n<li>\u00bfHasta d\u00f3nde puede propagarse ese compromiso?<\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">\u00bfQu\u00e9 relaciones de confianza existen entre servicios y son realmente necesarios?<\/font><\/font><\/li>\n\n\n\n<li>\u00bfD\u00f3nde se valida la autorizaci\u00f3n: en el per\u00edmetro, en la API, en la capa de negocio?<\/li>\n\n\n\n<li>\u00bfCu\u00e1l es el impacto m\u00e1ximo aceptable de un fallo o una intrusi\u00f3n?<\/li>\n<\/ul>\n\n\n\n<p>Si estas preguntas no forman parte del proceso de dise\u00f1o, los controles a\u00f1adidos despu\u00e9s siempre ser\u00e1n paliativos.<\/p>\n\n\n\n<p><strong><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Seguridad como propiedad intr\u00ednseca de la arquitectura.<\/font><\/font><\/strong><\/p>\n\n\n\n<p>Una arquitectura bien dise\u00f1ada:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Contiene los incidentes en lugar de amplificarlos.<\/font><\/font><\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Reducir la superficie de ataque de manera estructural.<\/font><\/font><\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Aplicar el principio de m\u00ednimo privilegio de forma coherente<\/font><\/font><\/li>\n\n\n\n<li><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Segmentas funciones, redes y responsabilidades<\/font><\/font><\/li>\n\n\n\n<li>Asume que los fallos ocurrir\u00e1n\u2026 y los a\u00edsla por dise\u00f1o<\/li>\n<\/ul>\n\n\n\n<p>En este contexto, los servicios de seguridad de AWS dejan de ser un intento de compensaci\u00f3n y pasan a ser aceleradores de una buena arquitectura.<\/p>\n\n\n\n<p><strong><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">El cambio de mentalidad que separa equipos maduros de equipos reactivos<\/font><\/font><br><\/strong><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\"> \u274c \u201c\u00bfQu\u00e9 servicio de seguridad nos falta activar?\u201d <\/font><\/font><br><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">\u2705 \u201c\u00bfQu\u00e9 sucede si este componente falla o est\u00e1 comprometido?\u201d<\/font><\/font><\/p>\n\n\n\n<p><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Esta diferencia de enfoque separa a los equipos que simplemente operan infraestructura de los que dise\u00f1an plataformas resilientes y seguras para la construcci\u00f3n.<\/font><\/font><\/p>\n\n\n\n<p><strong>Conclusi\u00f3n<\/strong><\/p>\n\n\n\n<p><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">AWS no es inseguro. <\/font><\/font><br><font dir=\"auto\" style=\"vertical-align: inherit;\"><font dir=\"auto\" style=\"vertical-align: inherit;\">Pero ninguna plataforma es m\u00e1s segura que su arquitectura.<\/font><\/font><\/p>\n\n\n\n<p>En la nube, la seguridad:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>No se compra<\/li>\n\n\n\n<li>No se activa<\/li>\n\n\n\n<li>Se dise\u00f1a<\/li>\n<\/ul>\n\n\n\n<p>Y cuanto antes forme parte del dise\u00f1o, menor ser\u00e1 el costo \u2014t\u00e9cnico, operativo y reputacional\u2014 de operar la plataforma en el futuro.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Cuando una organizaci\u00f3n migra o nace en AWS, suele aparecer una suposici\u00f3n peligrosa: que la seguridad es principalmente una cuesti\u00f3n de habilitar servicios suficientes en la consola. \u201cSi activamos WAF, GuardDuty, Security Hub y algunas reglas administradas, deber\u00edamos estar cubiertos\u201d. Esta idea es comprensible\u2026 y profundamente equivocada. AWS ofrece uno de los conjuntos de capacidades [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-492","post","type-post","status-publish","format-standard","hentry","category-seguridad-informatica"],"_links":{"self":[{"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/posts\/492","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/comments?post=492"}],"version-history":[{"count":1,"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/posts\/492\/revisions"}],"predecessor-version":[{"id":495,"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/posts\/492\/revisions\/495"}],"wp:attachment":[{"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/media?parent=492"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/categories?post=492"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/womit.com.co\/index.php\/wp-json\/wp\/v2\/tags?post=492"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}