El estado de la seguridad nativa en la nube 2026: brechas de madurez y el imperativo de la automatización

Written by on 21/04/2026

 

La seguridad en la nube híbrida no solo se está volviendo más difícil, sino que está
llegando a un punto crítico. Si bien siempre ha sido una carrera sin línea de meta,
el informe El estado de la seguridad nativa en la nube 2026 de Red Hat revela que
muchas organizaciones están atrapadas en un ciclo de caos controlado. Para
romperlo, los equipos deben ir más allá de la resolución relativa de problemas y
anclar su estrategia en prácticas y políticas de seguridad fundamentales que
transformen la seguridad de un cuello de botella en un requisito básico.
El informe establece un punto de partida preocupante: los incidentes de seguridad
se han vuelto casi universales. Más del 97% de las organizaciones reportaron al
menos un incidente de seguridad nativo de la nube (cloud-native) en el último año.
Estos no son solo ataques sofisticados y aislados; a menudo, son resultado de
"fallas del día a día".
Los tipos de incidentes más frecuentemente reportados incluyen:
● Infraestructura o servicios mal configurados (78%): la principal causa de
exposición, frecuentemente debido a errores manuales en entornos
complejos.
● Vulnerabilidades conocidas: las cargas de trabajo se están
implementando con código “a sabiendas vulnerable”, creando ventanas de
riesgo evitables.
● Acceso no autorizado: un desafío operativo persistente que
frecuentemente conduce a la exposición de datos sensibles.
Estos incidentes tienen un costo real para el negocio que va mucho más allá del
departamento de TI. El 74% de las organizaciones retrasaron o desaceleraron
implementaciones de aplicaciones en los últimos 12 meses debido a
preocupaciones de seguridad. Además de los retrasos, el 92% de los encuestados
reportaron impactos significativos, que van desde el aumento del tiempo dedicado
a la remediación (52%) y la reducción de la productividad de los desarrolladores
(43%) hasta la pérdida de confianza de los clientes (32%). En resumen, la
seguridad dejó de ser solo una lista de verificación técnica (checklist) para
convertirse en un riesgo central para la agilidad del negocio.

La paradoja de la madurez: confianza vs. estrategia
Uno de los hallazgos más notables del informe es la diferencia entre la percepción
de preparación y la estrategia real. Mientras que el 56% de las organizaciones
describe su postura de seguridad diaria como “altamente proactiva”, solo el 39%
posee, de hecho, una estrategia de seguridad nativa de la nube madura y bien
definida.
Esto sugiere que, si bien los equipos aspiran a ser más estratégicos, muchos
todavía están “improvisando”. De hecho, cerca del 22% de las organizaciones
opera sin ninguna estrategia definida. Esta falta de estructura conduce a una
adopción inconsistente de los controles de seguridad, que incluyen:
● Gestión de Identidad y Acceso (IAM): cerca del 75% de adopción, ya que
la identidad es ampliamente reconocida como un control central.
● Firma de imágenes de contenedores: solamente la mitad de las
organizaciones implementó esta práctica para garantizar la integridad del
software.
● Protección en tiempo de ejecución (runtime): la implementación sigue
siendo irregular, con muchos equipos dependiendo de configuraciones
predeterminadas en lugar de una gobernanza intencional.
Los datos muestran que la madurez sí importa: las organizaciones con una
estrategia bien definida tienen mucha más probabilidad de adoptar controles
avanzados y presentan un 61% de confianza en proteger su cadena de suministro
de software, en comparación con niveles mucho menores entre organizaciones
menos maduras.Cambios en las inversiones: automatización y cadena de
suministro
Reconociendo estas brechas, las organizaciones están reequilibrando sus
presupuestos para 2026. El foco está migrando de herramientas puntuales y
aisladas a la consolidación de plataformas y a la incorporación de la seguridad
directamente en el ciclo de vida del software.
Principales prioridades de inversión para los próximos 1–2 años:
● Automatización de DevSecOps: más del 60% de las organizaciones
planea invertir en la automatización de la seguridad en pipelines de CI/CD.
El objetivo es pasar de “barreras manuales” a “seguridad como código”,
reduciendo errores humanos.
● Seguridad de la cadena de suministro de software: el 56% de las

organizaciones prioriza esta área. Con el aumento de ataques a la cadena
de suministro, se vuelve urgente verificar las dependencias de código
abierto (open source) y las imágenes de contenedores mediante SBOMs
(Listas de Materiales de Software) y verificaciones de procedencia.
● Protección en tiempo de ejecución (runtime): el 54% busca expandir
defensas capaces de detectar y bloquear amenazas activas en tiempo real,
como cryptojacking o comportamientos anómalos de contenedores.
La conformidad dejó de ser una cuestión secundaria. El 64% de las
organizaciones espera que la Ley de Resiliencia Cibernética (CRA) de la UE sea
un factor determinante en sus decisiones de inversión para 2026. Esto transforma
la gobernanza de seguridad de un "deseable" en un requisito obligatorio a nivel de
junta directiva.
La nueva frontera de riesgo: IA y seguridad en la nube
En 2026, la IA se ha convertido en un arma de doble filo para los equipos nativos
de la nube (cloud-native). Aunque el 58% de las organizaciones afirma que la
adopción de IA ya es un motor central de la planificación de seguridad, la
gobernanza está “peligrosamente rezagada” en relación con el ritmo de
implementación.
El informe señala una preocupación casi universal con la IA generativa (gen AI) en
entornos de nube, con el 96% de los encuestados expresando preocupaciones
significativas. Estas preocupaciones se concentran en tres riesgos principales:
● Preocupación generalizada: el 96% de los encuestados tiene temores en
relación con la IA de última generación en sus entornos de nube.
● Temores principales: incluyen la exposición de datos sensibles, el uso no
autorizado de herramientas de IA paralelas y la integración de servicios de
IA de terceros inseguros.
● Brecha de gobernanza: a pesar de estos temores, el 59% de las
organizaciones no posee políticas internas documentadas para el uso de IA
o marcos de gobernanza.
Sin reglas claras, las organizaciones corren el riesgo de que comportamientos
impulsados por la IA alteren configuraciones o filtren código propietario fuera de
los procesos normales, amplificando riesgos ya existentes relacionados con la
identidad y la cadena de suministro.
Recomendaciones basadas en datos para 2026

El informe concluye con una directriz clara: la velocidad de la innovación nativa de
la nube superó oficialmente a la de la seguridad tradicional. Para superar la
paradoja de la madurez, las organizaciones deben ir más allá de la resolución
improvisada de problemas y adoptar un enfoque estructurado y centrado en la
plataforma.
Cinco acciones críticas para 2026
1. Establecer una estrategia formal: las organizaciones deben ir más allá de
la "solución de problemas puntual" y crear un camino estructurado de una
postura reactiva a una proactiva.
2. Incorporar barandales de seguridad (guardrails) y automatización: la
seguridad debe ser parte nativa de la plataforma, implementada por
equipos de DevOps o ingeniería de plataforma para garantizar la
escalabilidad sin generar fricción para los desarrolladores.
3. Priorizar la integridad de la cadena de suministro: implemente la firma
obligatoria de imágenes y la verificación de dependencias. Como observó
un entrevistado, aunque todos usan código abierto, "casi nadie verifica o
firma sus dependencias". Ser la excepción es fundamental para la
resiliencia.
4. Cerrar el ciclo de retroalimentación: unificar la observabilidad y los datos
de seguridad para que la información sobre amenazas en tiempo de
ejecución (runtime) retroalimente el desarrollo, priorizando las correcciones
más críticas.
5. Gobernar el uso de IA ahora: las organizaciones no pueden esperar por
regulaciones externas. Necesitan reunir equipos multifuncionales para
desarrollar directrices sobre el uso aceptable de la IA y el manejo de datos
de inmediato.
En 2026, la seguridad ya no es un complemento, es un componente fundamental
de la arquitectura nativa de la nube. Las organizaciones que tendrán éxito serán
aquellas que traten la seguridad como un motor de la agilidad del negocio, y no
como un centro de costos.
Lea el informe completo para saber más.
Acerca de Red Hat
Red Hat es la compañía líder en tecnología de nube híbrida abierta que proporciona una
base confiable, consistente y completa para una innovación transformadora de la TI y las
aplicaciones de IA. Su portafolio de tecnologías de nube, desarrollo, IA, Linux,

automatización y plataforma de aplicaciones hace posible la implementación de cualquier
aplicación en cualquier lugar, desde el centro de datos hasta el edge. Como proveedor
líder mundial de soluciones de software de código abierto empresarial, Red Hat invierte en
ecosistemas y comunidades abiertos para resolver los desafíos de TI del mañana. Por
medio de la colaboración, Red Hat ayuda a clientes y partners a construir, conectar,
automatizar, proteger y gestionar sus entornos de TI, con el respaldo de servicios de
consultoría, capacitación y certificación reconocidos mundialmente.

Red Hat en Redes Sociales:
X: @redhatla               LK: @red-hat                IG: @redhatlatam                     #RHSummit

Author

Jose de Jesus Prieto

Author's archive
Reader's opinions

Leave a Reply

Your email address will not be published. Required fields are marked *

You may also like
0

La Fundación Solidaridad por Colombia presentan “Apuéstale al Futuro”: una gran apuesta nacional por la educación en Colombia

21/04/2026

0

El rol de la genética en el pronóstico del cáncer

21/04/2026

0

Día de la Tierra: la apuesta de HONOR por un futuro más sostenible

21/04/2026

Continue reading

Next post

IA en tu laptop: por qué no todas rinden igual

Thumbnail
Previous post

Aon evoluciona la base de datos de compensación de Radford McLagan, respondiendo al impacto que la IA tiene sobre las habilidades y la compensación de la fuerza laboral

Thumbnail
Current track

Title

Artist