API Security Reviews en Azure: del “checklist” al código (con Defender for APIs y Terraform)

20 agosto, 2025

🔐 Tus APIs son puertas. Si no sabes cuáles están abiertas, alguien más lo sabrá.

Este es un artículo para CISOs y líderes de seguridad sobre cómo pasar de “checklists” a reviews as code en Azure.

¿Qué encontrarás?
• Un mapa de OWASP API Top 10 → controles en Azure (APIM, WAF, Defender for APIs, Sentinel).
• Dos historias reales: el endpoint “interno” que terminó en la calle y el WAF celoso con id_token (sí, pasa).
• Snippets Terraform (políticas APIM) y KQL (detecciones en Sentinel).
• Métricas que mueven al board: cobertura, JWT efectivo, rate limiting por identidad, MTTD/MTTR.

💬 Me interesa tu opinión: ¿qué métrica moverías primero en tu organización para reducir riesgo real y costo total?

🔗 Enlace al artículo en el primer comentario.

Sigue leyendo →

¿Tu programa de seguridad está sano? Hablemos de madurez… en la nube

13 agosto, 2025

¿Qué tan maduro es tu programa de seguridad en la nube?

En el sector salud, no basta con estar en Azure: hay que estar seguros en Azure. En este artículo, te comparto cómo evaluar y fortalecer tu postura de seguridad con herramientas nativas de Microsoft, y cómo una historia real de un cliente nos muestra que la madurez en seguridad no se improvisa, se construye.

Lee más en el post en el primer comentario

Sigue leyendo →

Identidades Multinube: El caos que evitamos con Terraform y Entra ID

30 julio, 2025

🔄 ¿Gestión de identidades en múltiples nubes? Fácil… hasta que no lo es.

Hace poco trabajé en un proyecto donde un cliente tenía Azure, AWS y GCP… y un desastre de identidades.
Permisos duplicados, claves sin rotar, grupos sin dueño y accesos que nadie se atrevía a borrar por miedo a romper todo 😅

¿La solución?
🛠️ Centralizar con Microsoft Entra ID
🧱 Automatizar con Terraform
🛡️ Supervisar con Defender for Cloud

En mi nuevo artículo te cuento:
✅ Cómo estructuramos las identidades como código
✅ Qué módulos y herramientas usamos
✅ Qué errores evitamos (y qué errores encontramos)
✅ Y cómo sobrevivimos al caos con algo de IaC, algo de estrategia… y mucha paciencia.

💬 ¿Te ha tocado lidiar con el caos IAM en entornos multinube? Cuéntame tu historia en los comentarios

Sigue leyendo →

Afinando Azure WAF para flujos de AD B2C y Entra External ID con Terraform: rendimiento y fiabilidad para arquitectos cloud

23 julio, 2025

🔐💥 ¿Tu WAF bloquea el id_token como si fuera un villano y tus usuarios no pueden autenticarse?

Hace poco me tocó enfrentar un caso (sí, con energía de Dragon Ball Z 🌀) donde Azure WAF detenía flujos legítimos de autenticación en apps con AD B2C y Entra External ID. ¿La causa? Parámetros OIDC como code y id_token activando reglas SQLi.

👉 En este artículo te comparto:
✅ Cómo detectar y entender los false positives
✅ Cómo aplicar exclusiones con Terraform
✅ Reglas personalizadas por URI
✅ Análisis de impacto en latencia, throughput y costos
✅ Y una anécdota técnica (con humor incluido)

🔎 Si eres arquitecto cloud y trabajas con Azure Front Door, App Gateway o WAF, este artículo puede ayudarte a ganar precisión, rendimiento y tranquilidad.

Sigue leyendo →

¿Por qué gastar más en ciberseguridad en la nube no siempre significa estar más seguro?

16 julio, 2025

El gasto en ciberseguridad en la nube superará los 27 mil millones de dólares en 2025.

Pero… ¿realmente estamos invirtiendo mejor o simplemente apagando fuegos con billetes?

En este artículo te comparto el caso de un cliente que aprendió por las malas que ahorrar en seguridad cloud puede costarte 30 veces más, y te doy una reflexión estratégica como CISO sobre cómo invertir inteligentemente, no simplemente gastar más.

Sigue leyendo →

MCP en Azure: ¿Estamos listos para gestionar sus riesgos de seguridad?

23 abril, 2025

🔐 ¿𝐄𝐬𝐭á𝐬 𝐢𝐧𝐭𝐞𝐠𝐫𝐚𝐧𝐝𝐨 𝐈𝐀 𝐞𝐧 𝐭𝐮𝐬 𝐬𝐨𝐥𝐮𝐜𝐢𝐨𝐧𝐞𝐬… 𝐩𝐞𝐫𝐨 𝐭𝐚𝐦𝐛𝐢é𝐧 𝐞𝐬𝐭á𝐬 𝐩𝐫𝐨𝐭𝐞𝐠𝐢é𝐧𝐝𝐨𝐥𝐚?

La Inteligencia Artificial está en todas partes, y tecnologías como el 𝐌𝐨𝐝𝐞𝐥 𝐂𝐨𝐧𝐭𝐞𝐱𝐭 𝐏𝐫𝐨𝐭𝐨𝐜𝐨𝐥 (𝐌𝐂𝐏) prometen llevar nuestras capacidades al siguiente nivel. Pero mientras todos hablan de prompts y modelos generativos, pocos están pensando en lo que realmente importa: 𝐥𝐚 𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝 𝐲 𝐥𝐚 𝐢𝐧𝐟𝐫𝐚𝐞𝐬𝐭𝐫𝐮𝐜𝐭𝐮𝐫𝐚 𝐝𝐞𝐭𝐫á𝐬 𝐝𝐞𝐥 𝐬𝐡𝐨𝐰.

Como profesionales de seguridad e infraestructura, 𝐬𝐞𝐠𝐮𝐢𝐦𝐨𝐬 𝐬𝐢𝐞𝐧𝐝𝐨 𝐜𝐥𝐚𝐯𝐞. Nuestra responsabilidad ahora es blindar estos nuevos modelos para evitar que una innovación se convierta en un vector de ataque.

🧠 En este nuevo artículo, reflexiono sobre los riesgos actuales en entornos Azure con MCP y te comparto buenas prácticas reales que pueden ayudarte a implementar soluciones de IA 𝐬𝐢𝐧 𝐬𝐚𝐜𝐫𝐢𝐟𝐢𝐜𝐚𝐫 𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝.

👉 ¿𝘌𝘴𝘵𝘢𝘮𝘰𝘴 𝘭𝘪𝘴𝘵𝘰𝘴 𝘱𝘢𝘳𝘢 𝘢𝘴𝘦𝘨𝘶𝘳𝘢𝘳 𝘦𝘴𝘵𝘢𝘴 𝘯𝘶𝘦𝘷𝘢𝘴 𝘢𝘳𝘲𝘶𝘪𝘵𝘦𝘤𝘵𝘶𝘳𝘢𝘴?

📖 Lee el artículo completo aquí y únete a la conversación

Sigue leyendo →

¿Dónde están tus datos realmente? Reflexiones sobre soberanía digital y confianza en la nube

16 abril, 2025

🔐 ¿𝐓𝐮𝐬 𝐝𝐚𝐭𝐨𝐬 𝐞𝐬𝐭á𝐧 𝐫𝐞𝐚𝐥𝐦𝐞𝐧𝐭𝐞 𝐝𝐨𝐧𝐝𝐞 𝐜𝐫𝐞𝐞𝐬?

En un mundo cada vez más multipolar, la soberanía digital y la confianza en la nube se han convertido en temas críticos para los líderes de seguridad.

📍Una vez trabajé con una institución financiera en un paraíso fiscal. Nada más ver su región de Azure, entendí por qué no era EE.UU. La ubicación de los datos no fue un accidente, fue una decisión estratégica.

💬 En mi nuevo artículo reflexiono sobre cómo la geopolítica está impactando nuestras decisiones técnicas.

👉 ¿Estás considerando estos factores en tu arquitectura cloud?

🔽 𝘓𝘦𝘦 𝘦𝘭 𝘢𝘳𝘵í𝘤𝘶𝘭𝘰 𝘤𝘰𝘮𝘱𝘭𝘦𝘵𝘰 𝘢𝘲𝘶í 👇

Sigue leyendo →

Cómo Mejorar la Implementación de MFA en Microsoft 365 con Azure: Guía Técnica y Divertida

9 abril, 2025

🛠️ ¿𝐓𝐮 𝐌𝐅𝐀 𝐞𝐬 𝐭𝐚𝐧 𝐜𝐨𝐦𝐩𝐥𝐢𝐜𝐚𝐝𝐨 𝐜𝐨𝐦𝐨 𝐚𝐫𝐦𝐚𝐫 𝐮𝐧 𝐦𝐮𝐞𝐛𝐥𝐞 𝐝𝐞 𝐈𝐊𝐄𝐀 𝐬𝐢𝐧 𝐦𝐚𝐧𝐮𝐚𝐥?

Tranqui, no eres el único. A veces pareciera que habilitar la autenticación multifactor en Microsoft 365 es una misión imposible… pero no tiene por qué ser así.

🎯 En mi nuevo artículo te cuento 9 formas prácticas (y sin tanto drama) para mejorar tu implementación de MFA usando Microsoft Entra ID, FIDO2, Windows Hello for Business y otras maravillas del ecosistema Microsoft.

Algunos spoilers técnicos:
✅ Qué cuentas no deberías excluir (sí, incluso las de emergencia)
✅ Qué métodos de autenticación deberías eliminar antes de que te exploten en la cara
✅ Cómo modernizar esas apps legadas que aún viven en el 2010
✅ Y por qué irte al mundo sin contraseñas es más fácil de lo que crees

Y si después de leerlo no te dan ganas de revisar tus políticas de autenticación… te invito un café ☕️ (virtual, por supuesto).

🔗El enlace al artículo está en el primer comentario 👇

¿Tienes una historia de horror con MFA? Te leo en los comentarios 👇

Sigue leyendo →

¿Permisos en Azure? El verdadero enemigo no siempre es el atacante externo

2 abril, 2025

🎯 ¿Sabías que uno de los mayores riesgos en Azure no es técnico, sino humano?

En muchos proyectos me he encontrado con lo mismo:
«¡Dale Owner y listo!»
«Es solo acceso temporal…»
«Es ambiente de pruebas, no pasa nada…»

Sí pasa.
Y pasa más de lo que crees.

En mi nuevo artículo hablo sobre un enemigo silencioso en la nube: los permisos excesivos.
No se trata de decirle que no a tu equipo, sino de decirle sí, pero con control.

✅ ¿Cómo evitar sobrepermisos en Azure?
✅ ¿Qué rol juega PIM, Azure Policy y Defender for Cloud en esto?
✅ ¿Y qué decisiones deben tomar los CISOs para evitar sustos mayores?

🧨 Te lo cuento con una historia real que he vivido más de una vez.
El artículo completo está en el primer comentario 👇
¡Y quiero conocer tu opinión!

Sigue leyendo →

Errores de novato en Kubernetes que aprendí a la mala (y cómo evitarlos)

12 marzo, 2025

La primera vez que desplegué un clúster de Kubernetes en Azure (AKS), mi único objetivo era hacer que funcionara. Y lo logré… pero a qué precio. 😅

Pensé: «Si funciona en desarrollo, funciona en producción». Spoiler: No. No funciona.

La administración se convirtió en un infierno: configuraciones inconsistentes, problemas de seguridad por todos lados y una pesadilla operativa que me dejó claro que un AKS sin estándares ni seguridad es como un castillo de naipes esperando colapsar.

Hoy quiero compartir contigo las mejores prácticas de seguridad para Kubernetes, aprendidas a las malas, y cómo evitar que tu AKS sea una bomba de tiempo gracias a Terraform.

Sigue leyendo →