Remedios Moreno

La seguridad no empieza ni termina en los puntos de acceso. Las amenazas se infiltran, se adaptan y se desplazan con una facilidad alarmante en entornos tecnológicos cada vez más distribuidos, dinámicos y complejos. La adopción de arquitecturas híbridas y multicloud, junto con el auge de los microservicios y contenedores, ha multiplicado la superficie de ataque interna, dificultando su control y visibilidad. En este escenario, uno de los riesgos más críticos es el movimiento lateral de los atacantes: su capacidad para avanzar silenciosamente dentro de la red una vez han comprometido un servidor, endpoint o aplicación vulnerable. En lugar de detenerse en ese primer objetivo, aprovechan conexiones internas y permisos excesivos para escalar hasta datos sensibles, aplicaciones críticas o sistemas de negocio de alto valor. Esta dinámica ha sido determinante en ataques de ransomware, espionaje industrial y campañas persistentes avanzadas. El movimiento lateral es el arma silenciosa de los atacantes, y la microsegmentación se convierte en la barrera decisiva para frenarlo. La microsegmentación se ha consolidado como una de las medidas más eficaces para frenar este tipo de amenazas. Permite controlar el tráfico entre cargas de trabajo, limitar la propagación de incidentes y contener los impactos sin comprometer la continuidad operativa. ■ Desde Telefónica Tech entendemos este enfoque como un pilar fundamental para implementar una arquitectura de confianza mínima (Zero Trust), donde toda comunicación debe ser verificada antes de ser permitida. Gracias a la combinación de visibilidad granular, control adaptado y respuesta inmediata, la microsegmentación no solo refuerza la resiliencia, sino que ayuda a las empresas a confiar en sus capacidades digitales, mantener la continuidad del negocio y cumplir con normativas cada vez más exigentes, como el reglamento DORA o la directiva NIS2. Visibilidad: el pilar de la microsegmentación El primer paso para proteger un entorno digital es conocerlo a fondo. La microsegmentación aporta una visibilidad completa y continua de las comunicaciones entre usuarios, aplicaciones, procesos, servidores y entornos en la nube. A través de un dashboard centralizado, es posible construir un mapa dinámico de todas las interacciones dentro de la infraestructura, mostrando qué aplicaciones hablan entre sí, cómo fluyen los datos hacia las bases de datos y qué conexiones existen con el exterior. Esta radiografía precisa ayuda a descubrir dependencias ocultas, flujos innecesarios o mal configurados, y posibles brechas de seguridad. Lo que no se ve no se puede proteger: la microsegmentación ofrece una radiografía completa de las comunicaciones internas. Esta capacidad de visibilidad no es solo una ventaja técnica, sino también un requisito clave en un marco regulatorio exigente. Disponer de evidencias claras y verificables sobre cómo se gestionan las comunicaciones internas es esencial para demostrar control y gobernanza ante auditores y reguladores. Políticas granulares para bloquear movimientos no autorizados Una vez que la organización entiende con detalle su ecosistema digital, la microsegmentación permite definir políticas de seguridad extremadamente precisas. En lugar de confiar en reglas estáticas basadas en direcciones IP o en perímetros de red, se diseñan controles lógicos alineados con la función de cada aplicación o servicio. Esto significa que cada workload puede comunicarse únicamente con aquellos recursos que realmente necesita para operar. Un servidor de aplicaciones, por ejemplo, podrá acceder a su base de datos asociada, pero no a otra base de datos ni a un sistema de backup distinto. De esta forma se cierran las rutas que un atacante podría explotar para moverse lateralmente dentro del entorno. Las políticas se pueden adaptar con agilidad y escalar en entornos híbridos y multicloud, sin necesidad de rediseñar la arquitectura existente. Esto facilita su adopción progresiva y reduce el impacto en operaciones críticas. Con la microsegmentación cada carga de trabajo solo habla con lo que realmente necesita, cerrando el paso al movimiento lateral. Respuesta inmediata y cumplimiento regulatorio La microsegmentación no solo previene, sino que también mejora la capacidad de detección y respuesta. Al tener control sobre cada flujo de comunicación, cualquier intento de acceso no autorizado puede ser identificado y bloqueado en tiempo real. Esto reduce drásticamente el tiempo de contención en caso de incidente y evita que un ataque se convierta en una crisis mayor. Además, la posibilidad de generar informes claros y exportables facilita el cumplimiento de regulaciones como DORA o NIS2, que exigen a las organizaciones demostrar resiliencia operativa, trazabilidad de incidentes y aplicación de principios de mínimo privilegio. Con la microsegmentación, los equipos de seguridad pueden proporcionar evidencias verificables de que los riesgos están gestionados de forma efectiva. Controlar cada flujo de comunicación permite bloquear intrusiones en tiempo real y demostrar resiliencia frente a auditores y reguladores. Casos de uso de la microsegmentación El valor de la microsegmentación se materializa en múltiples escenarios de negocio. En el sector financiero, por ejemplo, los bancos y aseguradoras cuentan con sistemas core que requieren la máxima protección. Con microsegmentación, aplicaciones críticas como los motores de pagos pueden aislarse de entornos menos sensibles, evitando que una intrusión en un sistema periférico comprometa el núcleo del negocio. Además, este control granular facilita cumplir con DORA, que exige evidencias de resiliencia operativa y gobierno de riesgos. En el ámbito de la sanidad digital, los hospitales manejan dispositivos médicos conectados y aplicaciones de historia clínica, a menudo soportados sobre sistemas legacy difíciles de parchear. Mediante microsegmentación, estos dispositivos se aíslan y solo pueden comunicarse con los servidores estrictamente autorizados, evitando que se conviertan en puertas de entrada para un atacante y garantizando la disponibilidad de servicios médicos críticos. En la industria manufacturera, donde conviven sistemas de control industrial (OT) y redes de TI, la microsegmentación permite separar claramente ambos mundos. Así, un ataque en la red corporativa no puede propagarse a la planta de producción, asegurando la continuidad del proceso industrial incluso en caso de incidente. En entornos multicloud, la microsegmentación ofrece una capa unificada de control sobre cargas distribuidas en hiperescalares o datacenters propios. Esto evita incoherencias de seguridad entre plataformas y aporta visibilidad sobre dependencias ocultas entre servicios distribuidos, optimizando tanto la protección como la arquitectura. En escenarios de contención de ransomware, la microsegmentación es crítica. Si un servidor resulta comprometido, el ataque queda aislado al no poder expandirse a otros sistemas ni a los backups. El impacto se reduce de forma drástica y la recuperación es mucho más rápida. Controlar cada flujo de comunicación permite bloquear intrusiones en tiempo real y demostrar resiliencia frente a auditores y reguladores. La microsegmentación como inversión estratégica Más allá de su función como tecnología de ciberseguridad, la microsegmentación se está consolidando como una inversión estratégica clave para las organizaciones que desean fortalecer sus capacidades digitales. Permite reforzar la continuidad de negocio, adaptarse con agilidad a los requisitos regulatorios y generar un entorno de confianza en un panorama cada vez más distribuido y complejo. La microsegmentación no es solo una defensa técnica, es una inversión estratégica alineada con Zero Trust y la continuidad de negocio. Este enfoque se alinea de forma natural con los principios de Zero Trust, al establecer controles granulares que aseguran que ninguna comunicación o flujo de tráfico se considere confiable sin una verificación previa. Su implementación permite detener el movimiento lateral dentro de la red, bloquear ataques antes de que escalen y actuar de forma proactiva frente a amenazas cada vez más sofisticadas, como el ransomware. ■ La microsegmentación no es una moda tecnológica, sino un componente estructural de la ciberresiliencia de infraestructuras y aplicaciones. Desde Telefónica Tech, acompañamos a las empresas en este camino con soluciones que convierten la seguridad en una ventaja competitiva sostenible y refuerzan la confianza digital a largo plazo. Más información → Ciberseguridad El papel estratégico del SOC en la gestión de la Ciberseguridad empresarial 20 de agosto de 2025 Foto: cookie_studio / Freepik.

La digitalización ha transformado todos los sectores. En la banca y los seguros, las aplicaciones permiten transacciones en segundos, operaciones móviles y servicios 24/7, pero requieren una seguridad férrea contra fraudes y ataques a las API. En la sanidad, los sistemas de historia clínica electrónica y telemedicina ofrecen agilidad en la atención, aunque exigen proteger información extremadamente sensible y cumplir regulaciones estrictas de privacidad. En el retail y el e-commerce, las aplicaciones se han convertido en la cara visible del negocio, con picos de tráfico masivo que deben gestionarse sin caídas y con la garantía de que los datos de pago de los clientes están seguros. En la administración pública, la transformación digital acerca servicios al ciudadano, pero a cambio expone infraestructuras críticas a amenazas constantes. En todos estos sectores, las aplicaciones se han vuelto el núcleo de la operación. Son motor de innovación, competitividad y crecimiento, pero también un objetivo prioritario para atacantes que buscan vulnerar la cadena de suministro, explotar configuraciones débiles o comprometer infraestructuras subyacentes. Asegurarlas es una necesidad estratégica. Asegurar aplicaciones e infraestructuras no es opcional: es una necesidad estratégica Visibilidad: el punto de partida Uno de los grandes problemas de la seguridad moderna es la falta de visibilidad real. Muchas empresas y organizaciones ni siquiera saben cuántas aplicaciones están expuestas a Internet, qué dependencias de código abierto arrastran vulnerabilidades o qué configuraciones de red y permisos están activas en sus entornos cloud. Este desconocimiento genera zonas oscuras —“shadow IT”— donde proliferan servicios no controlados que se convierten en puertas abiertas para un atacante. La visibilidad no es solo un inventario; implica también poder relacionar activos con criticidad, entender dependencias y evaluar en tiempo real el riesgo asociado a cada sistema. Sin un mapa completo del entorno, cualquier estrategia de seguridad se convierte en una reacción tardía, siempre por detrás de la amenaza. No se puede proteger lo que no se ve: la visibilidad es el punto de partida. Escaneo continuo: más allá de las fotos estáticas Durante años, la seguridad se apoyó en auditorías puntuales o revisiones de código ocasionales. Pero en el mundo actual, donde los entornos cambian cada hora, eso ya no sirve. Las aplicaciones incorporan nuevas dependencias de terceros de manera constante, las configuraciones en cloud se modifican a diario y las vulnerabilidades (CVE) aparecen a un ritmo frenético. Un entorno que era seguro ayer puede ser explotable mañana. Por eso la tendencia hoy es hacia el escaneo continuo. Herramientas de análisis estático y dinámico (SAST/DAST), escáner de vulnerabilidades de dependencias y revisiones de infraestructura como código (IaC) se integran directamente en los pipelines de CI/CD. Esto permite detectar problemas antes de desplegar, pero también seguir monitorizando lo que ya está en producción. La seguridad deja de ser una fotografía puntual y se convierte en un flujo de vigilancia permanente. Un entorno seguro ayer puede ser explotable mañana. Hardening: reforzar desde la base El hardening es el arte de reducir al mínimo la superficie de ataque. No se trata de instalar más herramientas, sino de configurar correctamente lo que ya existe. En el plano de aplicaciones, significa aplicar el principio de mínimo privilegio, proteger secretos con gestores dedicados, cifrar datos tanto en tránsito como en reposo y deshabilitar cualquier función o puerto que no sea estrictamente necesario. En infraestructura, el hardening pasa por reforzar sistemas operativos, contenedores y servicios de red. Implica configurar de manera estricta las políticas de acceso en Kubernetes, segmentar entornos de producción y desarrollo, y asegurarse de que el software desplegado cumple con benchmarks reconocidos como CIS. El hardening no es instalar más, sino configurar mejor. El reto aquí es cultural: en la carrera por entregar más rápido, muchas organizaciones sacrifican la seguridad básica, lo que deja grietas que luego resultan mucho más costosas de reparar. Seguridad en tiempo de ejecución: defender lo inesperado Aunque se apliquen buenas prácticas de hardening y se escanee todo de forma continua, siempre quedará la incertidumbre de lo que ocurre en tiempo de ejecución. Es aquí donde entra la seguridad en tiempo de ejecución, que busca detectar y detener comportamientos maliciosos en vivo, antes de que el impacto sea crítico. La seguridad en runtime abarca múltiples tecnologías: Un WAAP (Web Application & API Protection) puede frenar ataques a aplicaciones y APIs en tiempo real, mitigando inyecciones, abusos de bots o accesos indebidos. Un CNAPP (Cloud Native Application Protection Platform) combina capacidades de CSPM, workload protection y compliance para ofrecer visibilidad y defensa continua sobre aplicaciones nativas de cloud. La gestión de vulnerabilidades en runtime permite identificar qué fallos realmente son explotables en un entorno determinado y priorizarlos según su criticidad real. Y la microsegmentación aporta un control granular sobre el tráfico de red, impidiendo movimientos laterales de un atacante entre sistemas. El reto no es solo disponer de estas tecnologías, sino integrarlas de manera que generen alertas útiles y accionables. Los equipos de seguridad no pueden lidiar con miles de falsos positivos: necesitan inteligencia contextual que les ayude a distinguir el ruido del peligro real. La clave no es generar más alertas, sino más inteligencia contextual. Cumplimiento normativo: de checklist a práctica continua La presión regulatoria no es uniforme: varía según el sector y el tipo de datos que maneja cada empresa. En el sector financiero, normativas como DORA en Europa obligan a demostrar resiliencia digital, capacidad de recuperación ante incidentes y gobernanza estricta sobre terceros. Además, marcos como PCI-DSS son esenciales para proteger datos de tarjetas en bancos y comercios. En la sanidad, regulaciones como HIPAA en EE.UU. o GDPR en Europa ponen el foco en la confidencialidad y trazabilidad de los datos médicos. El sector público en España y la UE debe cumplir con el Esquema Nacional de Seguridad (ENS) o directivas como NIS2, que buscan garantizar la seguridad en servicios esenciales e infraestructuras críticas.El cumplimiento ya no es un checklist, es una práctica continua. El reto no es solo cumplir con estas normas en auditorías puntuales: preparar papeles, mostrar reportes y “pasar el examen”, sino transformar el cumplimiento en una práctica operativa continua. Esto implica automatizar la recopilación de evidencias, integrar controles de seguridad directamente en los procesos de desarrollo y operación, y generar reportes en tiempo real para auditores y responsables de negocio. El cumplimiento ya no es un checklist, es una práctica continua. Una empresa que gestiona miles de transacciones financieras no puede depender de revisiones trimestrales: necesita seguridad viva, capaz de demostrar en cualquier momento que sus aplicaciones e infraestructuras cumplen con el marco regulatorio aplicable. Solo así se consigue que el cumplimiento no sea un lastre, sino un habilitador de confianza frente a clientes y partners. Cultura DevSecOps: seguridad como responsabilidad compartida Ningún reto técnico tendrá éxito sin un cambio cultural. En muchas empresas, la seguridad sigue siendo un equipo aislado que actúa como auditor al final del ciclo. En un mundo de despliegues continuos, eso es inviable: se convierte en cuello de botella y frena la innovación. La responsabilidad de la seguridad es compartida y no exclusiva de un equipo aislado. El enfoque DevSecOps plantea integrar la seguridad desde el principio, como parte natural del ciclo de vida del software. Los desarrolladores deben tener herramientas sencillas para detectar fallos en su propio código, los equipos de SRE y DevOps deben contar con visibilidad sobre la infraestructura y los analistas de seguridad deben colaborar en lugar de fiscalizar. La clave es pasar de ver la seguridad como un freno a verla como un acelerador: cuanto antes se detecta y corrige un fallo, menos coste y menos riesgo genera. Conclusión La seguridad de aplicaciones e infraestructuras modernas ya no es cuestión de perímetros, sino de resiliencia integral. Las organizaciones que quieran mantenerse seguras deben apostar por la visibilidad completa, el escaneo continuo, el hardening de aplicaciones e infraestructura, la protección en tiempo de ejecución con tecnologías avanzadas, un cumplimiento de normativas integrado en la operativa diaria y una cultura DevSecOps madura. En un escenario donde los ciberataques son inevitables, la diferencia entre una empresa vulnerable y una resiliente no está en si será atacada, sino en su capacidad de detectar, contener y responder a tiempo. ■ ¿Quieres saber más sobre cómo proteger no solo tus aplicaciones, sino también la infraestructura que las sustenta? Más información → Ciberseguridad DevSecOps vs SSDLC: ¿Cuál es la mejor estrategia para desarrollo seguro? 25 de febrero de 2025