El modelo de responsabilidad compartida es claro: el proveedor asegura la infraestructura, y tú aseguras cómo la usas. Ahí es donde aparecen los problemas. Estos son los más habituales.

1. Almacenamiento expuesto

Buckets de S3, blobs de Azure o buckets de GCS accesibles públicamente por error. Es una de las causas más frecuentes de fugas de datos, y basta un permiso mal puesto.

2. Identidades con exceso de privilegios

Roles y usuarios de IAM con muchos más permisos de los que necesitan. Cuando un atacante compromete una identidad así, hereda todo ese poder. El principio de mínimo privilegio se enuncia siempre y se aplica poco.

3. Secretos donde no deben estar

Claves de acceso y tokens en el código, en variables de entorno públicas o en repositorios. Un secreto filtrado es una llave maestra.

4. Redes demasiado abiertas

Grupos de seguridad que permiten tráfico desde cualquier origen, puertos de administración expuestos a internet, bases de datos accesibles públicamente.

5. Sin visibilidad

Registro y monitorización desactivados o sin revisar. Si no registras, no sabes qué pasa, y no puedes detectar ni investigar un incidente.

Cómo se audita

Una revisión de seguridad cloud contrasta tu configuración con estándares como los CIS Benchmarks, analiza las identidades y permisos reales, y busca exposiciones desde la perspectiva de un atacante. No es un escaneo: es entender cómo encaja todo y por dónde se rompe.