Defensa en Profundidad: Elevando el nivel de seguridad de tu infraestructura (y protegiéndote de ti mismo)

8 mayo, 2026

Dar acceso amplio es la vía más rápida para cerrar un ticket de soporte y también para protagonizar un incidente de seguridad. El principio de menor privilegio no es una sugerencia opcional; es la base de una arquitectura que no se desmorona ante el primer error humano.

Microsoft refuerza esto en su reciente enfoque sobre Azure IaaS Defense-in-Depth, priorizando el diseño seguro desde la raíz. Sin embargo, en la práctica, implementar roles granulares (RBAC) se percibe como «difícil» y muchos prefieren accesos permisivos por comodidad. Esa «facilidad» es exactamente lo que un atacante espera encontrar.

Se los digo por experiencia: una vez, en un despliegue con Terraform, dejé un parámetro de seguridad abierto por un descuido en las variables. Fue un recordatorio de que las certificaciones no eliminan la falibilidad humana. Desde entonces, no despliego nada sin Política como Código usando reglas OPA. Lo hago para protegerme de mi propia estupidez: si el código no cumple con el estándar de seguridad, el despliegue simplemente no sucede.

No se trata de cuántas capas de seguridad compras, sino de cómo automatizas la gobernanza antes de que los recursos existan.

Sigue leyendo →

¿IA empresarial brillante o un colador de datos? La diferencia está en la red.

7 mayo, 2026

¿IA empresarial brillante o un colador de datos? La diferencia está en la red.

He notado un patrón: los ingenieros de IA son magos con los modelos, pero suelen ver la infraestructura de red como un estorbo burocrático. Generalizo, claro, pero muchas veces me toca entrar como «investigador» para integrar servicios PaaS en ambientes ultra-restrictivos.

No es falta de talento; es que el modelo es el motor, pero si el chasis (la red) es de papel, el coche no sale del garaje corporativo. La realidad es que utilizar Inteligencia Artificial con redes privadas y Private Endpoints es lo más cercano a tener esos modelos en tu propio centro de datos On-Premise. Es soberanía pura aplicada a la nube.

Operacionalizar una IA Responsable en Microsoft Foundry no se trata solo de ética, sino de arquitectura técnica: asegurar que el flujo de datos no toque el internet público. Como siempre digo: «Pensar no duele», y diseñar la seguridad desde el día uno evita que luego tengamos que «poner silicón» a una infraestructura que gotea información.

Les comparto este análisis técnico de Microsoft sobre cómo bajar a tierra estas fronteras de red.

Sigue leyendo →

¿Dejarías las llaves de tu casa pegadas a la puerta? El peligro de los secretos en texto plano.

13 marzo, 2026

Subir un secreto por error a GitHub es como dejar las llaves de tu casa pegadas a la cerradura por fuera. Si además lo haces a las 2 a.m. mientras intentas automatizar un despliegue, bienvenido al club de los que no dormimos por el estrés.

En mis años como Microsoft MVP y HashiCorp Ambassador, he aprendido que la confianza ciega es el peor enemigo de la infraestructura. Hace tiempo, en una noche de café frío y ojos cansados, estuve a punto de subir una API Key en texto plano dentro de un archivo .tf. Fue mi momento «Apolo 13» técnico. La «voz en mi cabeza» gritó justo a tiempo: «¡Detente!».

La seguridad en la nube no se trata de no cometer errores, sino de diseñar sistemas que los impidan por defecto. Implementar Azure Key Vault para gestionar secretos en tus despliegues de Terraform no es un lujo, es el seguro de vida de tu infraestructura y de tu carrera profesional.
🟢Higiene de código: Los secretos nunca deben tocar el repositorio, ni siquiera en ramas privadas.
🟢Auditabilidad: Sabes exactamente quién y cuándo accedió a la llave.
🟢Paz mental: Evitas responsabilidades legales nefastas por filtración de datos sensibles.

Puedes empezar a usar GitkraKen con el enlace que te comparto en el primer comentario.

Sigue leyendo →

¿Dormir tranquilo o hacer un git push –force a ciegas? Tú eliges.

6 marzo, 2026

Hacer un git push –force a las 2 a.m. es lo más parecido a jugar a la ruleta rusa con tu infraestructura de producción. Si alguna vez has sentido ese frío en la espalda al ver un conflicto en tu archivo de estado, este post es para ti.

Recuerdo estar solo, con el café frío y un clúster de Kubernetes que pendía de un hilo. Tenía un rebase conflictivo que amenazaba con corromper el terraform.tfstate. Usar la terminal en ese momento era como intentar desactivar una bomba usando guantes de boxeo y en una habitación a oscuras. La visibilidad era nula y el margen de error, inexistente.

Como siempre digo en mis clases de MCT: «Pensar no duele», pero un error de sintaxis en el estado de Terraform sí que puede doler. La mayoría de los fallos en Infraestructura como Código (IaC) ocurren por falta de visibilidad. En esa madrugada, el Commit Graph de GitKraken me permitió ver exactamente dónde se bifurcaron nuestras ramas de red. Pude elegir, línea por línea, qué versión del recurso conservar sin miedo a corromper nada.

Les cuento una historia que no suelo admitir: una vez, por puro orgullo de usar solo la terminal, ignoré esa «voz en mi cabeza» que me decía que revisara el merge. Terminé borrando accidentalmente un gateway de red en producción por un carácter invisible. Fue mi propio «Apolo 13» técnico. Desde entonces, entendí que no hay mérito en soluciones que implican riesgos innecesarios.

Si eres de los que aún suda frío haciendo un rebase en sus archivos .tf, es hora de dejar de ser un «mortal» de la terminal y empezar a ver tu código con claridad.

Puedes empezar a usar GitkraKen con el enlace que te comparto en el primer comentario.

Sigue leyendo →

Novedades de Microsoft Sentinel: marzo de 2026

5 marzo, 2026

¿Recuerdan cuando configurar un conector o un playbook era casi una cirugía de corazón abierto? Pasábamos horas «peleando» con la lógica de las APIs para que, al final, un simple error de sintaxis nos arruinara el fin de semana.

Las actualizaciones de marzo de 2026 en Microsoft Sentinel traen algo que, sinceramente, parece sacado de una película de ciencia ficción: generación de playbooks con lenguaje natural. Ahora, en lugar de picar código desde cero, le describes el flujo a Sentinel y él se encarga del Python y los diagramas de flujo. Es como tener a ese equipo de ingenieros del Apolo 13 trabajando para nosotros, entendiendo exactamente qué queremos automatizar sin que perdamos la cordura en el proceso.

Pero no todo es «magia» de IA. Este mes también destaca:

Conector nativo para GKE: Expandiendo la visibilidad real sobre Google Kubernetes Engine.

CCF Push (Public Preview): Ingesta de datos en tiempo real para que la respuesta sea inmediata, no tres horas tarde.

UEBA en GA: Comportamientos de usuario transformados en insights claros para el analista.

Como siempre digo, no hay mérito en soluciones que solo implican gastar dinero; el valor real está en usar la creatividad y estas nuevas herramientas para que la tecnología trabaje por nosotros y no al revés.

Si su organización necesita modernizar su SOC o implementar estas capacidades de infraestructura como código con Terraform y Bicep, contáctenme.

El enlace con el detalle técnico completo se lo comparto en el primer comentario.

Sigue leyendo →

From Amazon API Gateway to Azure API Management: Chronicle of a Strategic Migration (and how not to die trying)

14 diciembre, 2025

Do you have one foot in AWS and the other in Azure, and is managing your APIs becoming an operational and financial nightmare? In this article, I explore the strategic migration from Amazon API Gateway to Azure API Management. Based on real-world experiences of migration and cost optimization (achieving savings of 25%!), I break down the key differences between the two platforms.

We discuss how to shift from a “Stages” to a “Products” mindset, the challenges of network connectivity (VNet vs. VPC), and why automation is your best friend in avoiding failure. Discover how to simplify your security by using native Azure policies instead of complex code, and turn your infrastructure into a more robust and cost-effective environment. If you’re interested in cloud architecture and efficiency, this post is for you.

Sigue leyendo →

API Security Reviews en Azure: del “checklist” al código (con Defender for APIs y Terraform)

20 agosto, 2025

🔐 Tus APIs son puertas. Si no sabes cuáles están abiertas, alguien más lo sabrá.

Este es un artículo para CISOs y líderes de seguridad sobre cómo pasar de “checklists” a reviews as code en Azure.

¿Qué encontrarás?
• Un mapa de OWASP API Top 10 → controles en Azure (APIM, WAF, Defender for APIs, Sentinel).
• Dos historias reales: el endpoint “interno” que terminó en la calle y el WAF celoso con id_token (sí, pasa).
• Snippets Terraform (políticas APIM) y KQL (detecciones en Sentinel).
• Métricas que mueven al board: cobertura, JWT efectivo, rate limiting por identidad, MTTD/MTTR.

💬 Me interesa tu opinión: ¿qué métrica moverías primero en tu organización para reducir riesgo real y costo total?

🔗 Enlace al artículo en el primer comentario.

Sigue leyendo →

¿Tu programa de seguridad está sano? Hablemos de madurez… en la nube

13 agosto, 2025

¿Qué tan maduro es tu programa de seguridad en la nube?

En el sector salud, no basta con estar en Azure: hay que estar seguros en Azure. En este artículo, te comparto cómo evaluar y fortalecer tu postura de seguridad con herramientas nativas de Microsoft, y cómo una historia real de un cliente nos muestra que la madurez en seguridad no se improvisa, se construye.

Lee más en el post en el primer comentario

Sigue leyendo →

Identidades Multinube: El caos que evitamos con Terraform y Entra ID

30 julio, 2025

🔄 ¿Gestión de identidades en múltiples nubes? Fácil… hasta que no lo es.

Hace poco trabajé en un proyecto donde un cliente tenía Azure, AWS y GCP… y un desastre de identidades.
Permisos duplicados, claves sin rotar, grupos sin dueño y accesos que nadie se atrevía a borrar por miedo a romper todo 😅

¿La solución?
🛠️ Centralizar con Microsoft Entra ID
🧱 Automatizar con Terraform
🛡️ Supervisar con Defender for Cloud

En mi nuevo artículo te cuento:
✅ Cómo estructuramos las identidades como código
✅ Qué módulos y herramientas usamos
✅ Qué errores evitamos (y qué errores encontramos)
✅ Y cómo sobrevivimos al caos con algo de IaC, algo de estrategia… y mucha paciencia.

💬 ¿Te ha tocado lidiar con el caos IAM en entornos multinube? Cuéntame tu historia en los comentarios

Sigue leyendo →

Afinando Azure WAF para flujos de AD B2C y Entra External ID con Terraform: rendimiento y fiabilidad para arquitectos cloud

23 julio, 2025

🔐💥 ¿Tu WAF bloquea el id_token como si fuera un villano y tus usuarios no pueden autenticarse?

Hace poco me tocó enfrentar un caso (sí, con energía de Dragon Ball Z 🌀) donde Azure WAF detenía flujos legítimos de autenticación en apps con AD B2C y Entra External ID. ¿La causa? Parámetros OIDC como code y id_token activando reglas SQLi.

👉 En este artículo te comparto:
✅ Cómo detectar y entender los false positives
✅ Cómo aplicar exclusiones con Terraform
✅ Reglas personalizadas por URI
✅ Análisis de impacto en latencia, throughput y costos
✅ Y una anécdota técnica (con humor incluido)

🔎 Si eres arquitecto cloud y trabajas con Azure Front Door, App Gateway o WAF, este artículo puede ayudarte a ganar precisión, rendimiento y tranquilidad.

Sigue leyendo →