theNet by CLOUDFLARE

Seguridad por diseño

Integración de la seguridad en cada fase del desarrollo

Si hoy estuvieras creando tu empresa desde cero, no dejarías la seguridad para el final. La integrarías desde el principio. El desafío es que la mayoría de las organizaciones no empiezan desde cero.

Ya están funcionando. Están enviando más código a producción a un ritmo acelerado impulsado por el desarrollo basado en la IA, se están expandiendo a nuevas regiones, están integrando servicios de IA y están operando a través de un entramado de equipos, herramientas y prioridades. Los equipos de seguridad simplemente no pueden escalar al mismo ritmo. Como resultado, la seguridad se vuelve con demasiada frecuencia reactiva, ya que intenta seguir el ritmo de los cambios en lugar de facilitarlos.

¿Sabes cuál es la buena noticia? Eso está cambiando.

Como vicepresidente de producto, extensibilidad y asociaciones de Wiz, he hablado con un número cada vez mayor de líderes que ahora ven la seguridad como un facilitador de la innovación, no como un obstáculo. La están integrando en los canales de desarrollo, alineando a los equipos interdisciplinarios en torno al riesgo compartido y adoptando arquitecturas que admiten la autonomía sin afectar al control.

Y no lo hacen porque esté de moda, sino porque el negocio lo exige. De hecho, el 85 % de las organizaciones que han alineado los esfuerzos en materia de seguridad y aplicaciones ya ha desarrollado nuevas aplicaciones diseñadas para utilizar la IA, según el Informe de Cloudflare 2026 | Innovación en aplicaciones. Es una señal clara de que la alineación de la seguridad no se trata solo de reducir el riesgo, sino que es un catalizador para el desarrollo de aplicaciones modernas.

Las decisiones de diseño son ahora decisiones de seguridad

La "seguridad por diseño" es más que un principio técnico — es uno estratégico. Si se aplica correctamente, permite a las organizaciones avanzar más rápido sin afectar la seguridad. Permite a los equipos de seguridad centrarse en tareas de gran impacto en lugar de dedicarse a tareas de reparación interminables. Los desarrolladores pueden asumir la responsabilidad con el contexto adecuado y los controles integrados en sus flujos de trabajo. Y la organización en su conjunto se vuelve más resiliente, con menos impacto cuando algo sale mal, como es inevitable que ocurra.

La realidad es que las arquitecturas modernas — ya se basen en infraestructuras efímeras, funciones sin servidor, o canalizaciones de IA — han cambiado radicalmente la forma del riesgo. La seguridad ya no puede ser una barrera al final. Los equipos que integran la seguridad en una fase temprana y la refuerzan a lo largo del ciclo de vida observan menos sorpresas y mejores resultados.

Pero este cambio requiere más que herramientas. Se necesita intención y liderazgo.


Redefinición de la responsabilidad entre equipos

Uno de los cambios más significativos que estamos observando es una redefinición de la responsabilidad en materia de seguridad. En las organizaciones con visión de futuro, los desarrolladores y los ingenieros de la nube ya no son solo un "complemento de la seguridad". Están en primera línea. Son responsables de lo que desarrollan y están facultados para tomar decisiones inteligentes y seguras. Como me gusta decir, la seguridad es un deporte de equipo.

Este tipo de modelo no surge de forma orgánica. Requiere que los líderes eliminen las tensiones entre los equipos, establezcan expectativas claras y garanticen que el contexto de riesgo sea accesible cuando y donde sea necesario. Esto podría significar replantearse la visibilidad en todos los entornos, adaptar las políticas para que se ajusten al modo de trabajar real de los equipos o alinear los incentivos en torno a la innovación segura, en lugar de solo a la velocidad.

Se trata de algo más que mejoras técnicas. Son cambios culturales, y no se producen de la noche a la mañana.

¿Qué sucede cuando la seguridad es un concepto complementario?

Cuando la seguridad se añade a posteriori, el coste no se limita a la deuda técnica. También va en detrimento de la velocidad, la alineación y la confianza.

Los equipos pierden tiempo clasificando alertas no alineadas. La respuesta a incidentes se ralentiza debido a la información aislada. Los riesgos de gravedad alta pasan desapercibidos. Y quizás lo más perjudicial de todo es que la relación entre seguridad e ingeniería se ve afectada, lo que dificulta aún más la colaboración futura.

Las conclusiones del equipo de investigación de amenazas de Wiz, que analiza cientos de miles de entornos en la nube, muestran lo comunes que son realmente las deficiencias de diseño. Nuestros investigadores descubrieron que más de la mitad (54 %) de los entornos de nube habían expuesto máquinas virtuales o instancias sin servidor que contenían datos confidenciales, como información de identificación personal (PII) o información de pago. Y el 35 % de esos entornos tenía datos expuestos y vulnerabilidades de gravedad alta o crítica, lo que los hacía susceptibles de ser explotados. La seguridad por diseño ayuda a prevenir estas vulnerabilidades, ya que hace que la visibilidad y el contexto de riesgo sean fundamentales para el desarrollo de los sistemas.

Todavía pueden producirse errores de configuración, exposición y cuentas con permisos excesivos. Pero hemos trabajado con docenas de empresas globales que se han topado con estos y otros desafíos de frente. Además, más de la mitad de nuestros clientes de Wiz no forman parte del equipo de seguridad. Es una señal de que la responsabilidad compartida no solo es posible, sino también eficaz. Cuando los equipos adoptan un modelo de seguridad por diseño, reducen el tiempo de corrección, mejoran la priorización y se alinean más estrechamente en torno a lo que más importa.

¿Tu modelo actual te está frenando?

No existe un modelo único. Sin embargo, hay señales que pueden ayudar a los responsables a evaluar si su modelo actual es realmente compatible con el diseño seguro.

¿Pueden los desarrolladores identificar y corregir los riesgos sin tener que esperar a las revisiones de seguridad? ¿Tienen los equipos de seguridad la visibilidad y el contexto para centrarse en lo más importante? ¿Los flujos de trabajo de corrección son rápidos, están automatizados y se basan en datos compartidos? Y, ¿puede la organización innovar sin ralentizar o plantear más riesgos?

Si la respuesta a cualquiera de estas preguntas es "no" (o incluso "a veces"), puede que sea el momento de revisar cómo la seguridad está integrada tanto en tu arquitectura como en tu cultura.

La seguridad por diseño va más allá de tus límites

El diseño de sistemas seguros no es solo un trabajo interno. Es una contribución al ecosistema de nube más amplio. Las amenazas rara vez se quedan aisladas. Una configuración incorrecta detectada hoy en un entorno puede ser objeto de explotación mañana en otro. Por eso, las organizaciones más resilientes no solo protegen su propia infraestructura, sino que comparten lo que aprenden.

Ya sea que eso signifique publicar investigaciones, contribuir a bases de datos abiertas de vulnerabilidades como cloudvulndb.org, o asociándose con colegas del sector para mejorar las defensas compartidas, estas iniciativas ayudan a elevar la línea de base para todos.

También es eficiente. Los equipos de seguridad de todos los sectores suelen dedicar tiempo a evaluar de forma independiente los mismos errores de configuración o patrones de exposición. Si detectamos los riesgos de forma temprana y abierta, reducimos la duplicación de tareas y mejoramos el tiempo de respuesta en todos los ámbitos. La seguridad por diseño significa diseñar pensando también en los demás.


La seguridad integrada ya no es opcional

Estamos entrando en una nueva era de innovación en aplicaciones, impulsada por la IA, que acelera drásticamente el ciclo de vida del desarrollo. Las arquitecturas nativas de nube, las canalizaciones basadas en IA y los equipos distribuidos globalmente requieren un enfoque de seguridad que sea igual de dinámico. Uno en el que la protección no sea un punto de control final, sino un estado por defecto, integrado en cada fase del desarrollo.

Esto no solo es posible. Ya está ocurriendo.

El compromiso de Wiz y Cloudflare con la seguridad por diseño ayuda a tu organización a dedicar menos tiempo a solucionar problemas y más tiempo a desarrollar la próxima innovación. Juntos, Cloudflare y Wiz mostrarán los riesgos de la nube y el perímetro en una sola ventana: Con los registros de Cloudflare DNS y del firewall de aplicaciones web (WAF) en la plataforma Wiz, los equipos podrán detectar rápidamente las configuraciones incorrectas, reducir los riesgos ocultos y centrarse en solucionar los problemas antes de que se conviertan en algo más grave.

Este artículo forma parte de un conjunto de publicaciones sobre las últimas tendencias y temas que afectan a los responsables de la toma de decisiones sobre tecnología en la actualidad.

Autor

Oron Noah,
vicepresidente de producto, extensibilidad y asociaciones, Wiz

CONCLUSIONES CLAVE

Después de leer este artículo podrás entender:

  • Por qué la "seguridad por diseño" es fundamental para el desarrollo de aplicaciones

  • Cómo la colaboración acelera el desarrollo y mejora la seguridad

  • ¿Qué sucede cuando la seguridad es un concepto complementario?

Recursos relacionados

Más información sobre este tema

Más información sobre cómo la infraestructura moderna facilita el éxito de la IA en: Informe de Cloudflare 2026 | Innovación en aplicaciones.


¿Quieres recibir un resumen mensual de la información más solicitada de Internet?

Suscríbete a theNET

CÓMO EMPEZAR

SOLUCIONES

SOPORTE

CONFORMIDAD

INTERÉS PÚBLICO

EMPRESA

© 2026 Cloudflare, Inc.Política de privacidadCondiciones de usoInformar sobre problemas de seguridadConfianza y seguridadMarca