API Security Reviews en Azure: del “checklist” al código (con Defender for APIs y Terraform)

20 agosto, 2025

🔐 Tus APIs son puertas. Si no sabes cuáles están abiertas, alguien más lo sabrá.

Este es un artículo para CISOs y líderes de seguridad sobre cómo pasar de “checklists” a reviews as code en Azure.

¿Qué encontrarás?
• Un mapa de OWASP API Top 10 → controles en Azure (APIM, WAF, Defender for APIs, Sentinel).
• Dos historias reales: el endpoint “interno” que terminó en la calle y el WAF celoso con id_token (sí, pasa).
• Snippets Terraform (políticas APIM) y KQL (detecciones en Sentinel).
• Métricas que mueven al board: cobertura, JWT efectivo, rate limiting por identidad, MTTD/MTTR.

💬 Me interesa tu opinión: ¿qué métrica moverías primero en tu organización para reducir riesgo real y costo total?

🔗 Enlace al artículo en el primer comentario.

Sigue leyendo →

¿Tu programa de seguridad está sano? Hablemos de madurez… en la nube

13 agosto, 2025

¿Qué tan maduro es tu programa de seguridad en la nube?

En el sector salud, no basta con estar en Azure: hay que estar seguros en Azure. En este artículo, te comparto cómo evaluar y fortalecer tu postura de seguridad con herramientas nativas de Microsoft, y cómo una historia real de un cliente nos muestra que la madurez en seguridad no se improvisa, se construye.

Lee más en el post en el primer comentario

Sigue leyendo →

Identidades Multinube: El caos que evitamos con Terraform y Entra ID

30 julio, 2025

🔄 ¿Gestión de identidades en múltiples nubes? Fácil… hasta que no lo es.

Hace poco trabajé en un proyecto donde un cliente tenía Azure, AWS y GCP… y un desastre de identidades.
Permisos duplicados, claves sin rotar, grupos sin dueño y accesos que nadie se atrevía a borrar por miedo a romper todo 😅

¿La solución?
🛠️ Centralizar con Microsoft Entra ID
🧱 Automatizar con Terraform
🛡️ Supervisar con Defender for Cloud

En mi nuevo artículo te cuento:
✅ Cómo estructuramos las identidades como código
✅ Qué módulos y herramientas usamos
✅ Qué errores evitamos (y qué errores encontramos)
✅ Y cómo sobrevivimos al caos con algo de IaC, algo de estrategia… y mucha paciencia.

💬 ¿Te ha tocado lidiar con el caos IAM en entornos multinube? Cuéntame tu historia en los comentarios

Sigue leyendo →

Afinando Azure WAF para flujos de AD B2C y Entra External ID con Terraform: rendimiento y fiabilidad para arquitectos cloud

23 julio, 2025

🔐💥 ¿Tu WAF bloquea el id_token como si fuera un villano y tus usuarios no pueden autenticarse?

Hace poco me tocó enfrentar un caso (sí, con energía de Dragon Ball Z 🌀) donde Azure WAF detenía flujos legítimos de autenticación en apps con AD B2C y Entra External ID. ¿La causa? Parámetros OIDC como code y id_token activando reglas SQLi.

👉 En este artículo te comparto:
✅ Cómo detectar y entender los false positives
✅ Cómo aplicar exclusiones con Terraform
✅ Reglas personalizadas por URI
✅ Análisis de impacto en latencia, throughput y costos
✅ Y una anécdota técnica (con humor incluido)

🔎 Si eres arquitecto cloud y trabajas con Azure Front Door, App Gateway o WAF, este artículo puede ayudarte a ganar precisión, rendimiento y tranquilidad.

Sigue leyendo →

¿Por qué gastar más en ciberseguridad en la nube no siempre significa estar más seguro?

16 julio, 2025

El gasto en ciberseguridad en la nube superará los 27 mil millones de dólares en 2025.

Pero… ¿realmente estamos invirtiendo mejor o simplemente apagando fuegos con billetes?

En este artículo te comparto el caso de un cliente que aprendió por las malas que ahorrar en seguridad cloud puede costarte 30 veces más, y te doy una reflexión estratégica como CISO sobre cómo invertir inteligentemente, no simplemente gastar más.

Sigue leyendo →

Cómo Mejorar la Implementación de MFA en Microsoft 365 con Azure: Guía Técnica y Divertida

9 abril, 2025

🛠️ ¿𝐓𝐮 𝐌𝐅𝐀 𝐞𝐬 𝐭𝐚𝐧 𝐜𝐨𝐦𝐩𝐥𝐢𝐜𝐚𝐝𝐨 𝐜𝐨𝐦𝐨 𝐚𝐫𝐦𝐚𝐫 𝐮𝐧 𝐦𝐮𝐞𝐛𝐥𝐞 𝐝𝐞 𝐈𝐊𝐄𝐀 𝐬𝐢𝐧 𝐦𝐚𝐧𝐮𝐚𝐥?

Tranqui, no eres el único. A veces pareciera que habilitar la autenticación multifactor en Microsoft 365 es una misión imposible… pero no tiene por qué ser así.

🎯 En mi nuevo artículo te cuento 9 formas prácticas (y sin tanto drama) para mejorar tu implementación de MFA usando Microsoft Entra ID, FIDO2, Windows Hello for Business y otras maravillas del ecosistema Microsoft.

Algunos spoilers técnicos:
✅ Qué cuentas no deberías excluir (sí, incluso las de emergencia)
✅ Qué métodos de autenticación deberías eliminar antes de que te exploten en la cara
✅ Cómo modernizar esas apps legadas que aún viven en el 2010
✅ Y por qué irte al mundo sin contraseñas es más fácil de lo que crees

Y si después de leerlo no te dan ganas de revisar tus políticas de autenticación… te invito un café ☕️ (virtual, por supuesto).

🔗El enlace al artículo está en el primer comentario 👇

¿Tienes una historia de horror con MFA? Te leo en los comentarios 👇

Sigue leyendo →

¿Permisos en Azure? El verdadero enemigo no siempre es el atacante externo

2 abril, 2025

🎯 ¿Sabías que uno de los mayores riesgos en Azure no es técnico, sino humano?

En muchos proyectos me he encontrado con lo mismo:
«¡Dale Owner y listo!»
«Es solo acceso temporal…»
«Es ambiente de pruebas, no pasa nada…»

Sí pasa.
Y pasa más de lo que crees.

En mi nuevo artículo hablo sobre un enemigo silencioso en la nube: los permisos excesivos.
No se trata de decirle que no a tu equipo, sino de decirle sí, pero con control.

✅ ¿Cómo evitar sobrepermisos en Azure?
✅ ¿Qué rol juega PIM, Azure Policy y Defender for Cloud en esto?
✅ ¿Y qué decisiones deben tomar los CISOs para evitar sustos mayores?

🧨 Te lo cuento con una historia real que he vivido más de una vez.
El artículo completo está en el primer comentario 👇
¡Y quiero conocer tu opinión!

Sigue leyendo →

Desplegando Infraestructura en Azure como un Pro: Infrastructure as Code al Rescate

26 marzo, 2025

¿Listo para simplificar tus despliegues en Azure? 🚀

En el mundo de la nube, la agilidad es clave. Infrastructure as Code (IaC) te permite definir y desplegar tu infraestructura utilizando código, lo que agiliza procesos y minimiza errores humanos. Herramientas como Azure Resource Manager (ARM) Templates, Terraform y Azure Bicep garantizan consistencia, automatización eficiente, escalabilidad fácil y control de versiones.

Adoptar IaC en Azure no es solo una moda, es una necesidad para mantenerse competitivo y eficiente. Te permitirá enfocarte en soluciones estratégicas en lugar de tareas repetitivas. ¿Listo para dar el salto y transformar tus operaciones en la nube?

Lee el artículo completo aquí 👇

Sigue leyendo →

Optimizando Infraestructura en Azure con IA y Terraform: Más Allá del Ahorro de Costos

19 marzo, 2025

💡 ¿Tu infraestructura en Azure es eficiente o solo estás gastando dinero sin darte cuenta?

Optimizar la nube no se trata solo de recortar costos, sino de mejorar rendimiento, seguridad y sostenibilidad. Gracias a Terraform, Azure AI y Cost Management, puedes identificar desperdicio, automatizar despliegues y ajustar recursos sin comprometer operaciones críticas.

En este artículo, exploramos cómo Azure Advisor, Defender for Cloud y OpenAI pueden ayudarte a hacer que tu infraestructura sea más inteligente y rentable. Además, te mostramos cómo integrar IA en Terraform para escribir código más eficiente y optimizado. Si aún gestionas tu infraestructura en la nube de manera manual y sin IA, te estás perdiendo una revolución en eficiencia y seguridad. ¡Descubre cómo transformar tu nube con inteligencia! 🚀

Sigue leyendo →

Errores de novato en Kubernetes que aprendí a la mala (y cómo evitarlos)

12 marzo, 2025

La primera vez que desplegué un clúster de Kubernetes en Azure (AKS), mi único objetivo era hacer que funcionara. Y lo logré… pero a qué precio. 😅

Pensé: «Si funciona en desarrollo, funciona en producción». Spoiler: No. No funciona.

La administración se convirtió en un infierno: configuraciones inconsistentes, problemas de seguridad por todos lados y una pesadilla operativa que me dejó claro que un AKS sin estándares ni seguridad es como un castillo de naipes esperando colapsar.

Hoy quiero compartir contigo las mejores prácticas de seguridad para Kubernetes, aprendidas a las malas, y cómo evitar que tu AKS sea una bomba de tiempo gracias a Terraform.

Sigue leyendo →