La migración al cloud ya no es una tendencia: es una realidad para la inmensa mayoría de PYMEs españolas. Según datos del INE de 2025, más del 55% de las empresas de entre 10 y 49 empleados utilizan al menos un servicio en la nube, ya sea correo electrónico, almacenamiento de ficheros, software de gestión o facturación electrónica. Sin embargo, la adopción del cloud no siempre va acompañada de las medidas de seguridad adecuadas.
El error más habitual es pensar que “si está en la nube, ya está seguro”. Los proveedores como Google, Microsoft o Amazon garantizan la seguridad de su infraestructura, pero la responsabilidad de configurar correctamente los accesos, proteger las cuentas y gestionar los datos es tuya. Este modelo se conoce como responsabilidad compartida y entenderlo es fundamental para evitar incidentes.
El modelo de responsabilidad compartida
Cuando contratas un servicio cloud, la seguridad se reparte entre el proveedor y tu empresa. El proveedor se encarga de la seguridad de la nube (centros de datos, redes, hardware, hipervisores), mientras que tú eres responsable de la seguridad en la nube (datos, accesos, configuración, identidades).
| Responsabilidad | Proveedor cloud | Tu empresa |
|---|---|---|
| Seguridad física del centro de datos | Si | No |
| Mantenimiento de la infraestructura | Si | No |
| Configuración de accesos y permisos | No | Si |
| Protección de datos almacenados | Parcial | Si |
| Gestión de identidades y contraseñas | No | Si |
| Copias de seguridad de tus datos | No (salvo contrato) | Si |
| Cumplimiento normativo (RGPD) | Parcial | Si |
Esto significa que si un empleado tiene una contraseña débil y un atacante accede a tu Google Drive o OneDrive empresarial, el proveedor cloud no es responsable. La protección de las credenciales y la configuración de los permisos es tu tarea.
Principales riesgos del cloud para PYMEs
1. Cuentas comprometidas por credenciales débiles
Es el riesgo número uno. Un atacante que obtiene las credenciales de un empleado (por phishing, por reutilización de contraseñas o por fuerza bruta) tiene acceso a todo lo que esa cuenta pueda ver: correos, documentos, contactos, calendarios y en muchos casos datos financieros.
La solución más eficaz es la autenticación multifactor (MFA). Con MFA activado, incluso si el atacante obtiene la contraseña, necesita un segundo factor (código del móvil, llave hardware) para acceder. Google informa que el MFA bloquea el 99,9% de los ataques automatizados a cuentas.
2. Configuración por defecto insegura
Muchos servicios cloud vienen con configuraciones permisivas por defecto para facilitar la adopción. Por ejemplo:
- Google Drive: los enlaces compartidos pueden estar configurados como “cualquier persona con el enlace puede ver”, exponiendo documentos sensibles.
- Microsoft 365: los grupos de Teams pueden permitir que invitados externos accedan a ficheros internos.
- AWS S3: los buckets de almacenamiento mal configurados son una de las causas más frecuentes de filtraciones de datos a nivel mundial.
3. Shadow IT: servicios cloud no autorizados
Los empleados a menudo utilizan servicios cloud personales (Dropbox personal, WeTransfer, Google Drive personal) para enviar o almacenar ficheros de trabajo. Esto crea puntos ciegos de seguridad que la empresa no puede controlar ni auditar. Según Gartner, el 30-40% del gasto en IT de una empresa corresponde a shadow IT.
4. Pérdida de datos sin backup independiente
Muchas PYMEs asumen que sus datos en la nube están respaldados automáticamente. La realidad es que la mayoría de proveedores cloud ofrecen redundancia (protección contra fallos de hardware) pero no backup en el sentido tradicional. Si un empleado borra ficheros accidentalmente, o si un ransomware cifra los datos sincronizados, la papelera de reciclaje del proveedor tiene un período limitado (30 días en Google Workspace, 93 días en OneDrive).
5. Incumplimiento del RGPD
Al almacenar datos personales de clientes o empleados en la nube, debes asegurarte de que el proveedor cumple con el RGPD y que los datos no se transfieren fuera del Espacio Económico Europeo sin las garantías adecuadas. Desde la invalidación del Privacy Shield en 2020 (caso Schrems II), la transferencia de datos a EE.UU. requiere mecanismos específicos como las Cláusulas Contractuales Tipo (SCCs) o el nuevo Data Privacy Framework.
Guía de configuración segura por servicio
Google Workspace (antiguo G Suite)
Google Workspace es una de las plataformas más usadas por PYMEs españolas. Estas son las configuraciones de seguridad esenciales:
Panel de administración (admin.google.com):
Verificación en dos pasos obligatoria: Ve a Seguridad > Verificación en dos pasos > Activar para toda la organización. Establece un plazo de 7 días para que todos los usuarios la configuren.
Políticas de contraseña: Seguridad > Configuración de contraseña. Establece longitud mínima de 12 caracteres y bloquea contraseñas comprometidas conocidas.
Control de aplicaciones de terceros: Seguridad > Controles de API > Gestionar el acceso de aplicaciones de terceros. Revisa y bloquea aplicaciones que no sean necesarias para el negocio.
Alertas de seguridad: Configura alertas para inicios de sesión sospechosos, cambios de contraseña de administrador y concesión de permisos a aplicaciones externas.
Reglas de compartición de Drive: Apps > Google Drive > Configuración de compartición. Limita la compartición externa a dominios autorizados y desactiva la opción de compartir con “cualquier persona con el enlace” para ficheros sensibles.
Microsoft 365
Centro de administración (admin.microsoft.com):
MFA obligatorio: Azure Active Directory > Seguridad > Valores predeterminados de seguridad. Activa los Security Defaults, que fuerzan el MFA para todos los usuarios sin coste adicional.
Políticas de acceso condicional: Si tienes licencia Business Premium o superior, configura políticas que bloqueen el acceso desde ubicaciones geográficas inusuales o dispositivos no gestionados.
Protección anti-phishing: Seguridad > Anti-phishing > Configura políticas que detecten suplantación de identidad del dominio corporativo.
Retención de datos: Centro de cumplimiento > Retención. Configura políticas de retención para correos y ficheros según tus necesidades legales.
Etiquetas de confidencialidad: Clasifica los documentos por nivel de sensibilidad (público, interno, confidencial) para controlar automáticamente quién puede acceder a ellos.
Amazon Web Services (AWS) para PYMEs
Si tu PYME usa AWS para alojar una web, una aplicación o almacenar datos, estas son las configuraciones prioritarias:
No uses la cuenta root: Crea usuarios IAM individuales con los permisos mínimos necesarios (principio de mínimo privilegio).
Activa CloudTrail: Registra todas las acciones realizadas en tu cuenta AWS para auditoría y detección de actividad sospechosa.
Revisa los buckets S3: Usa el panel de S3 para verificar que ningún bucket es público. AWS ofrece la opción “Block Public Access” a nivel de cuenta.
Configura alertas de facturación: Un atacante que compromete tu cuenta AWS puede lanzar instancias de alto coste. Configura alertas en CloudWatch para detectar gastos anómalos.
Usa AWS Organizations: Si tienes varios proyectos, sepáralos en cuentas diferentes para limitar el impacto de una brecha.
Backup independiente del cloud
No confíes únicamente en la papelera de reciclaje del proveedor. Implementa un backup independiente:
| Servicio cloud | Solución de backup recomendada | Coste aproximado |
|---|---|---|
| Google Workspace | Backupify, SpinBackup, AFI Backup | 3-5 EUR/usuario/mes |
| Microsoft 365 | Veeam for M365, Acronis, Backupify | 2-4 EUR/usuario/mes |
| AWS S3 | AWS Backup, copias a otro bucket/región | Variable según volumen |
| Ficheros en general | Duplicati (gratuito, open source) + almacenamiento externo | Gratuito + coste almacenamiento |
La regla de oro: tus datos cloud deben tener al menos una copia fuera del proveedor principal, en un servicio o soporte diferente.
Checklist de seguridad cloud para PYMEs
Usa esta lista para verificar el estado de seguridad de tus servicios cloud:
- MFA activado para todos los usuarios, sin excepciones
- Contraseñas de mínimo 12 caracteres, únicas por servicio
- Revisión de permisos de compartición de ficheros (sin enlaces públicos innecesarios)
- Usuarios de ex-empleados eliminados o desactivados
- Aplicaciones de terceros revisadas y las innecesarias bloqueadas
- Backup independiente configurado y probado
- Alertas de seguridad activadas (inicios de sesión, cambios de permisos)
- Política de uso aceptable comunicada a los empleados (qué servicios cloud pueden usar)
- Verificación de cumplimiento RGPD del proveedor (DPA firmado)
- Registros de auditoría activados y revisados periódicamente
Cuánto invertir en seguridad cloud
Para una PYME de 10 empleados con Google Workspace o Microsoft 365, el coste de asegurar correctamente el entorno cloud puede desglosarse así:
| Medida | Coste |
|---|---|
| MFA (incluido en la licencia) | 0 EUR |
| Gestor de contraseñas (Bitwarden Teams) | 30 EUR/mes |
| Backup cloud independiente | 30-50 EUR/mes |
| Formación anual en seguridad cloud | 200-500 EUR (puntual) |
| Total anual aproximado | 920-1.460 EUR/año |
Comparado con el coste medio de una brecha de datos para una PYME (35.000-75.000 EUR según Hiscox), la inversión es mínima.
Conclusión
La nube no es intrínsecamente insegura, pero tampoco es automáticamente segura. La responsabilidad de proteger tus datos, identidades y configuraciones recae en tu empresa, no en el proveedor. Las medidas descritas en este artículo no requieren conocimientos técnicos avanzados y pueden implementarse en pocos días.
El primer paso es activar la autenticación multifactor en todos los servicios cloud. Es la medida con mayor impacto y menor coste. A partir de ahí, revisa las configuraciones de compartición, implementa un backup independiente y forma a tus empleados.
Este artículo es de carácter educativo y no constituye un servicio profesional de ciberseguridad. Consulte a un especialista certificado para soluciones específicas a su empresa.
