El multicloud dejó de ser una rareza. Muchas organizaciones distribuyen cargas entre varios proveedores para evitar dependencia excesiva, cumplir requisitos de residencia de datos, mejorar disponibilidad o aprovechar servicios especializados. Esa estrategia tiene lógica de negocio, pero cambia por completo la seguridad. Cada nube incorpora su propio modelo de identidad, sus políticas, su telemetría, sus servicios administrados y sus particularidades operativas. Cuando todo eso convive sin una visión común, la superficie de ataque crece más rápido que la capacidad de controlarla.
El problema no es solo técnico. El Microsoft Digital Defense Report 2025 advierte que los adversarios están atacando cada vez más la nube y que las campañas destructivas crecieron 87%, mientras la Cloud Security Alliance señala que en 2026 el riesgo principal está en identidades inseguras y permisos de máquina mal gobernados. En otras palabras, el multicloud ya no es solo un tema de arquitectura: es una cuestión de continuidad operativa, gobierno y resiliencia empresarial.
La buena noticia es que los desafíos son conocidos y tienen solución. Lo difícil no es descubrir qué hacer, sino ejecutar con disciplina en un entorno donde la velocidad de negocio suele ir por delante de la madurez de seguridad.
El gran problema: demasiada complejidad
El desafío más repetido en entornos multicloud es la complejidad operativa. Cuando una empresa suma proveedores, no solo agrega infraestructura; también agrega nuevos controles, nuevas APIs, nuevos flujos de despliegue, nuevas identidades y nuevas formas de configurar servicios. Fortinet describe este escenario como una “brecha de complejidad” y reporta que las barreras más fuertes para una seguridad cloud eficaz son la proliferación de herramientas y las lagunas de visibilidad.
La Cloud Security Alliance refuerza la misma idea desde otro ángulo: en 2026, el perímetro tradicional prácticamente se disolvió y fue reemplazado por un ecosistema fluido de workloads efímeros, identidades no humanas y automatización a velocidad de máquina. En ese contexto, no alcanza con revisar vulnerabilidades aisladas; hace falta entender cómo se conectan permisos, configuraciones y exposición pública para formar rutas reales de ataque.
Ese punto es crucial. Muchas empresas creen que tienen el problema “cubierto” porque compraron varias herramientas, una por cada nube o por cada necesidad. Pero cuando la información queda fragmentada, los equipos terminan con más alertas, más paneles y menos claridad. El atacante aprovecha precisamente esos espacios donde nadie ve el entorno completo.
La identidad se convirtió en el perímetro real
Si hubiera que resumir el principal riesgo multicloud en una sola palabra, sería identidad. La Cloud Security Alliance afirma que el riesgo cloud más importante en 2026 es la exposición de identidades inseguras y permisos de máquina, en un escenario donde la proporción entre identidades no humanas y humanas ya alcanza 100 a 1.
Esto cambia la forma de defenderse. Ya no basta con proteger a los usuarios humanos. También hay que gobernar cuentas de servicio, secretos, tokens, workloads automatizados, agentes de IA y permisos entre sistemas. La CSA advierte que estos agentes y cuentas no humanas pueden actuar como una nueva amenaza interna si están sobredimensionados o mal controlados, permitiendo exfiltración de datos a velocidad de máquina sin necesidad de robar una credencial humana.
Microsoft llega a una conclusión parecida desde el lado del ataque. Su informe señala que la identidad sigue siendo el principal vector ofensivo y recomienda fortalecerla con MFA resistente al phishing, controles Zero Trust y continuidad diseñada bajo el principio de asumir brecha. En un entorno multicloud, eso implica identidad centralizada, acceso condicional, privilegios mínimos y eliminación de credenciales persistentes siempre que sea posible.
Configuraciones inconsistentes, riesgo consistente
Otro desafío crítico del multicloud es la inconsistencia. Una organización puede tener controles razonables en una nube y malas prácticas en otra, no por negligencia, sino porque los modelos no son idénticos y los equipos no siempre traducen bien una política entre plataformas. Esa brecha de consistencia es una de las principales fuentes de exposición real.
La Cloud Security Alliance subraya que la gestión eficaz de la exposición debe conectar identidad, configuración y vulnerabilidad, precisamente porque el riesgo no suele estar en un error único, sino en combinaciones peligrosas. Uno de sus conceptos más útiles es la “toxic cloud trilogy”: una carga de trabajo expuesta públicamente, con una vulnerabilidad crítica y además con privilegios altos. Cuando esos tres factores se juntan, el camino hacia los datos sensibles se vuelve directo.
Ese enfoque es valioso porque obliga a dejar de mirar problemas de forma aislada. Una mala configuración por sí sola puede no parecer catastrófica, pero si afecta una carga crítica, con permisos amplios y sin segmentación suficiente, entonces sí se convierte en una vía de ataque prioritaria. La seguridad multicloud madura se basa justamente en detectar esas combinaciones antes de que lo haga el atacante.
El peligro invisible: secretos, automatización y archivos de estado
Muchas organizaciones ya automatizan despliegues en la nube con infraestructura como código. Eso mejora consistencia, pero también crea riesgos específicos. La CSA advierte que los archivos de estado de IaC actúan como el “cerebro” de la orquestación y pueden almacenar secretos en texto plano si ciertos atributos no están marcados correctamente como sensibles.
Este problema suele pasar desapercibido porque no vive en la interfaz visible de la nube, sino en buckets compartidos, repositorios, pipelines y artefactos que los equipos usan diariamente. Si un atacante accede a esos archivos, puede recolectar credenciales, claves API y configuraciones críticas en bloque, sin necesidad de explotar una vulnerabilidad compleja.
Por eso una solución real no consiste solo en escanear código, sino en descubrir secretos en almacenamiento cloud, archivos no estructurados y sistemas de orquestación. La CSA recomienda justamente moverse hacia una gestión continua de exposición que detecte estos riesgos más allá del escaneo clásico de vulnerabilidades.
Multi-cloud no significa visibilidad unificada
Uno de los mayores problemas operativos en seguridad multicloud es asumir que sumar herramientas equivale a ganar control. En realidad, muchas empresas terminan con paneles separados por proveedor, alertas sin contexto y flujos de investigación distintos para cada entorno. Microsoft recomienda inventariar cada workload, API e identidad cloud y monitorizar continuamente configuraciones erróneas o accesos no autorizados, precisamente para evitar que la nube se convierta en un conjunto de silos defensivos.
Ese enfoque es decisivo porque el multicloud rara vez falla por falta total de herramientas. Falla porque no existe una vista integrada del riesgo. Cuando los activos, identidades y configuraciones quedan repartidos en varias consolas sin correlación suficiente, los equipos no logran priorizar qué importa más ni responder con rapidez cuando ocurre una anomalía.
La solución real pasa por consolidar visibilidad, no necesariamente consolidar proveedores. Lo importante es contar con un modelo operativo que permita ver de forma cruzada qué recursos existen, quién accede a ellos, qué workloads están expuestos, qué combinaciones de riesgo son críticas y dónde debe actuar primero el equipo.
La nube ya es objetivo prioritario de ataque
El multicloud no solo amplía complejidad; también atrae más interés ofensivo. Microsoft afirma que los adversarios están atacando la nube con más intensidad y que la resiliencia exige seguridad integrada en sistemas, cadenas de suministro y gobernanza. El informe también conecta el auge de ataques a la nube con la industrialización del cibercrimen, el uso de IA ofensiva y el crecimiento de brokers de acceso que venden puertas de entrada listas para explotar.
IBM X-Force, por su parte, señala que los atacantes están dirigiéndose al ecosistema cloud, no tanto por fallas exóticas, sino por controles débiles sobre identidades, configuraciones de workloads e integraciones híbridas. Eso coincide con un patrón que se repite: muchas intrusiones cloud no entran por una nube “rota”, sino por una nube mal gobernada.
La conclusión para empresas con entornos multicloud es clara: no basta con elegir proveedores sólidos. Hace falta operar bien sobre ellos. La fortaleza de la plataforma no compensa identidades sobredimensionadas, cargas públicas innecesarias, secretos expuestos o ausencia de monitoreo coherente.
Soluciones reales: menos teoría, más disciplina
La primera solución real es centralizar la gobernanza de identidad. En la práctica, eso implica proveedores de identidad centralizados, acceso condicional, MFA resistente al phishing, privilegios mínimos, credenciales efímeras para workloads y revisión continua de cuentas humanas y no humanas. La CSA destaca que más del 83% de las organizaciones ya utiliza proveedores centralizados de identidad para aplicar acceso condicional, y asocia esta práctica con una mejora visible en la madurez de seguridad cloud.
La segunda es estandarizar políticas entre nubes. No significa que todo deba configurarse idéntico, porque las plataformas no funcionan igual, pero sí que los principios sean uniformes: cifrado por defecto, exposición pública justificada, logging activo, etiquetado obligatorio, segmentación, inventario y revisión de cambios mediante IaC.
La tercera es adoptar gestión continua de exposición. La CSA insiste en pasar de un enfoque reactivo y basado en parches aislados a una estrategia que priorice riesgo real según impacto de negocio, contexto de activos y rutas de ataque posibles. Ese cambio importa porque el problema del multicloud no es la falta de hallazgos, sino la incapacidad de priorizar los que realmente comprometen datos o continuidad.
Soluciones reales: resiliencia y continuidad
Una arquitectura multicloud suele justificarse por resiliencia, pero esa promesa solo se cumple si la seguridad acompaña. Microsoft insiste en que resiliencia significa operar a través de ataques y diseñar continuidad bajo el principio de asumir brecha. Eso exige probar backups, aislar sistemas y preparar procedimientos limpios de reconstrucción para identidad y nube.
Aquí muchas organizaciones descubren una contradicción incómoda: distribuyeron cargas entre varias nubes para ganar disponibilidad, pero no tienen playbooks comunes de incidente, ni procesos de recuperación consistentes, ni claridad sobre qué depende de qué. En otras palabras, tienen diversificación técnica, pero no resiliencia operativa.
La solución real consiste en diseñar recuperación cruzada entre entornos, definir qué servicios deben sobrevivir incluso si una nube se ve afectada, ensayar reconstrucción de identidades y evitar que las copias de respaldo dependan del mismo dominio de confianza comprometible. Multicloud no protege por sí mismo; protege solo cuando se planifica para resistir.
Soluciones reales: proteger la cadena de suministro cloud
La seguridad multicloud también exige revisar lo que se construye sobre la nube, no solo la nube misma. La CSA advierte sobre el riesgo del “vibe coding” y recomienda tratar todo código generado por IA o tomado de terceros como componente no confiable hasta ser validado. Eso es especialmente relevante en pipelines multicloud, donde integraciones rápidas y automatización pueden propagar errores inseguros a varios entornos al mismo tiempo.
A nivel práctico, esto implica análisis automatizado de dependencias, revisión de paquetes, control de secretos, validación de IaC y políticas de aprobación en los pipelines que despliegan a múltiples nubes. Cuanto más automática es la entrega, más importante es que la seguridad esté integrada desde el desarrollo y no solo al final del proceso.
En otras palabras, la seguridad multicloud no se resuelve solo en el equipo de infraestructura. Requiere coordinación entre desarrollo, operaciones, seguridad y negocio para evitar que la velocidad de despliegue introduzca riesgo sistémico.
Qué debería hacer una empresa mañana mismo
Una empresa con entorno multicloud no necesita rehacer todo desde cero para mejorar rápido. Puede empezar por cinco acciones concretas:
- Inventariar cargas, APIs, identidades humanas y no humanas en todas las nubes.
- Revisar privilegios excesivos, credenciales persistentes y secretos expuestos.
- Detectar configuraciones críticas combinadas con exposición pública y altos privilegios.
- Consolidar visibilidad operativa y reducir silos entre herramientas y equipos.
- Ensayar continuidad y reconstrucción limpia para identidad y servicios cloud críticos.
Estas medidas no eliminan toda complejidad, pero sí reducen los riesgos que más frecuentemente se convierten en brechas reales. También ayudan a pasar de una seguridad reactiva y fragmentada a una postura más coherente.
La seguridad en entornos multicloud no fracasa porque falten productos, sino porque sobran diferencias, puntos ciegos y decisiones aisladas. Las organizaciones que mejor se protegen no son necesariamente las que menos nubes usan, sino las que logran gobernarlas como un solo sistema de riesgo, identidad y resiliencia. En 2026, esa capacidad ya no es una mejora deseable: es una condición básica para operar con seguridad en un negocio distribuido.