CNAPP y CSPM 2025: Construir correctamente la seguridad nativa en la nube

1 min de lectura

Las configuraciones incorrectas son la causa más frecuente de incidentes de seguridad en la nube – no ataques sofisticados, sino un bucket S3 abierto por error o un rol IAM demasiado permisivo. Cloud Security Posture Management (CSPM) y el enfoque más amplio de CNAPP son la respuesta de la industria a este problema estructural.

En resumen

• CSPM detecta automáticamente las configuraciones incorrectas: monitorización continua del cumplimiento frente a las referencias CIS, AWS Well-Architected e ISO 27001.
• CNAPP es el término genérico: combina CSPM, CWPP (protección de cargas de trabajo) y CIEM (gestión de permisos) en una única plataforma.
• Seguridad «Shift Left»: integración de controles de seguridad en la canalización CI/CD – no únicamente en producción.
• Término de Gartner desde 2021: CNAPP se ha consolidado como categoría estándar; todos los principales proveedores de seguridad ofrecen soluciones CNAPP.
• Compatible con múltiples nubes: las plataformas CNAPP modernas cubren simultáneamente AWS, Azure y GCP.

CSPM: qué hace y por qué es necesario

Una herramienta de Cloud Security Posture Management se conecta a las APIs de la nube y verifica de forma continua la configuración de todos los recursos frente a estándares de seguridad definidos. El resultado: una visión general de todas las configuraciones incorrectas, priorizadas según su gravedad, junto con recomendaciones para su corrección.

Hallazgos típicos: buckets S3 accesibles públicamente, grupos de seguridad con accesos 0.0.0.0/0, falta de cifrado en reposo, cuentas raíz sin autenticación multifactor (MFA), cuentas de servicio con privilegios excesivos. En la mayoría de los entornos en la nube existen cientos de estos hallazgos – CSPM los hace visibles y priorizables.

CNAPP: el enfoque integral

CNAPP (Cloud-Native Application Protection Platform) es el término acuñado por Gartner para designar una plataforma integrada que combina varias disciplinas de seguridad en la nube:

CSPM: Monitorización de la configuración de la infraestructura en la nube.

CWPP (Cloud Workload Protection): Protección de máquinas virtuales, contenedores y funciones sin servidor durante su ejecución.

CIEM (Cloud Infrastructure Entitlement Management): ¿Quién tiene qué permisos en la nube? Aplicación rigurosa del principio de mínimo privilegio.

SAST/DAST en CI/CD: Pruebas de seguridad en el código y en la canalización de despliegue, antes de que cualquier elemento llegue a producción.

La ventaja: una única plataforma, un único modelo de datos y una única interfaz para el equipo de seguridad en la nube – en lugar de tener que integrar cuatro herramientas distintas.

Panorama del mercado y primeros pasos

Principales proveedores en 2025: Wiz, Palo Alto Prisma Cloud, Microsoft Defender para Cloud (ideal para entornos con fuerte dependencia de Azure), CrowdStrike Falcon Cloud Security, Sysdig y Lacework. Wiz se ha impuesto especialmente rápido gracias a su enfoque sin agentes.

Inicio sin gran inversión: Los tres principales proveedores de servicios en la nube ofrecen funciones básicas nativas de CSPM: AWS Security Hub, Azure Security Center y GCP Security Command Center. Estas son gratuitas (o están incluidas en el servicio) y constituyen un buen punto de partida.

Priorización: No intente resolver los 500 hallazgos de golpe. Comience con las configuraciones incorrectas críticas (almacenamiento público, ausencia de cifrado, seguridad de la cuenta raíz) y avance de forma sistemática.

Datos clave al instante

Causa de los incidentes de seguridad en la nube: 80 % debido a configuraciones incorrectas (Gartner)

Tamaño del mercado CNAPP en 2025: ~7.500 millones de USD (IDC)

Tasa de crecimiento: +25 % anual (segmento de seguridad en la nube de más rápido crecimiento)

Configuraciones incorrectas promedio: Los entornos empresariales presentan, de media, entre 200 y 400 hallazgos activos de CSPM

CSPM nativo sin coste adicional: AWS Security Hub, Azure Security Center y GCP SCC – todos disponibles gratuitamente

Dato: Gartner pronostica que, para 2027, aproximadamente el 80 % de las empresas utilizarán una plataforma CNAPP para proteger de forma integral sus cargas de trabajo en la nube – frente al 15 % registrado en 2023.

Dato: Según el Cloud Threat Report 2025 de CrowdStrike, las configuraciones incorrectas son la causa más frecuente de incidentes de seguridad en la nube, responsables del 36 % de los casos.

Preguntas frecuentes

¿Cuál es la diferencia entre CSPM y CNAPP?

CSPM es una subcategoría: supervisa la configuración de la infraestructura en la nube. CNAPP es el término más amplio que designa una plataforma integrada que combina CSPM, protección de cargas de trabajo, gestión de permisos y seguridad en CI/CD.

¿Necesito un agente para CNAPP?

No necesariamente. Los enfoques sin agentes (por ejemplo, Wiz) utilizan exclusivamente las APIs de la nube – sin instalación en máquinas virtuales ni contenedores. Los enfoques basados en agentes ofrecen más información sobre el comportamiento en tiempo de ejecución, pero son más complejos de gestionar. Para comenzar, las soluciones sin agentes suelen ser más pragmáticas.

¿Qué es CIEM y por qué es importante?

Cloud Infrastructure Entitlement Management analiza qué permisos tiene cada usuario o entidad en la nube – y compara dichos permisos con el uso real efectivo. El resultado: un informe de mínimo privilegio que identifica cientos de cuentas con privilegios excesivos. Justamente esto es lo que buscan los atacantes.

¿Se puede integrar CNAPP en los procesos DevOps?

Ese es precisamente el núcleo de la estrategia «Shift Left Security». Las plataformas CNAPP modernas disponen de plugins para GitHub Actions, GitLab CI, Jenkins y otras herramientas de CI/CD. La infraestructura como código (Infrastructure-as-Code) se comprueba ya antes del despliegue para detectar configuraciones incorrectas.

¿Qué herramienta recomienda para empezar?

Para comenzar: active las herramientas nativas de la nube (AWS Security Hub / Azure Security Center) – gratuitas y rápidas de implementar. Para un uso profesional más avanzado: evalúe Wiz o Palo Alto Prisma Cloud. Ambas ofrecen pruebas gratuitas y programas de prueba de concepto (POC).

Otros artículos sobre este tema

→ Seguridad multi-nube 2026: los 5 mayores riesgos

→ Zero Trust para pymes

Lecturas complementarias en la red

Seguridad en la nube actualizada: cloudmagazin.com

DevSecOps en la práctica: mybusinessfuture.com

Artículos relacionados

• Seguridad multi-nube 2026: los 5 mayores riesgos y cómo resolverlos
• Estudio de caso: migración a la nube de un proveedor de servicios financieros – seguridad desde el inicio
• Zero Trust para pymes: entrada en 5 pasos

Más contenido de la red MBF Media

cloudmagazin | MyBusinessFuture | Digital Chiefs

Fuente de imagen: Pexels / Brett Sayles

Sobre el autor: Tobias Massow

Más artículos de Tobias Massow