Gestión de la infraestructura en la nube: una guía para equipos de TI y proveedores de servicios gestionados (MSP)

Mayo 3, 2026
George Rouse
Infraestructura en nube

La gestión de la infraestructura en la nube es una disciplina operativa a tiempo completo. Las ventajas que ofrece la nube (recursos bajo demanda, escalabilidad elástica, ausencia de mantenimiento de hardware) son reales, pero no eliminan el trabajo de gestión. Lo que cambia es la naturaleza de ese trabajo, que pasa del mantenimiento del hardware a la gestión de la configuración, el control de costes, la supervisión de la seguridad y la planificación de la capacidad en entornos que evolucionan a un ritmo mucho mayor que el que jamás tuvo la infraestructura local.

Según el informe «State of the MSP» de Kaseya de 2026, el 83 % de los MSP afirma que sus herramientas de gestión de TI mejoran significativamente la eficiencia operativa. Esa eficiencia se aplica cada vez más a los entornos en la nube a medida que la infraestructura de los clientes se aleja de las instalaciones físicas. La plataforma de Kaseya gestiona los terminales y las cargas de trabajo en la nube de más de 50 000 MSP y equipos de TI en todo el mundo, lo que nos ofrece una visión clara de dónde tiene éxito la gestión de la infraestructura en la nube y dónde se encuentran los equipos con dificultades.

Qué abarca realmente la gestión de la infraestructura en la nube

La gestión de la infraestructura en la nube es el conjunto de actividades operativas continuas que garantizan que los entornos en la nube sean seguros, eficaces y rentables tras la migración inicial. No se trata de un proyecto puntual. Tampoco es algo de lo que se encargue el proveedor de la nube una vez que las cargas de trabajo estén en funcionamiento. Es una disciplina operativa continua que requiere herramientas, procesos y responsabilidades bien definidos.

Las seis disciplinas fundamentales son la gestión de la configuración, la gestión de parches, la gestión de costes, la supervisión de la seguridad, las copias de seguridad y la documentación. Ninguna de ellas se transfiere al proveedor de servicios en la nube. Todas ellas siguen siendo responsabilidad del cliente o de su proveedor de servicios gestionados (MSP).

La principal diferencia operativa con respecto a la gestión local es el ritmo. En los entornos en la nube se pueden aprovisionar y desaprovisionar nuevos recursos a diario. Las configuraciones cambian con frecuencia sin las dificultades que impondría la gestión de cambios en un entorno local. El contador de facturación funciona de forma continua, independientemente de si los recursos están en uso o inactivos. Las prácticas de gestión manual que funcionan adecuadamente en entornos locales estables no se adaptan a este dinamismo. Un MSP que gestione 30 clientes, cada uno con una combinación de cargas de trabajo locales y en la nube, no puede realizar un seguimiento manual del estado de la configuración y la exposición a los costes en todos esos entornos. Las herramientas y la automatización no son opcionales a esa escala.

Gestión de la configuración y desviaciones

La deriva de configuración es la acumulación de cambios manuales que se desvían del estado previsto de un entorno. Es la causa de la mayoría de los incidentes de seguridad en la nube. Un ingeniero abre un grupo de seguridad para solucionar un problema y se olvida de cerrarlo. Se implementa una nueva máquina virtual sin el cifrado activado. Un depósito de almacenamiento se configura incorrectamente debido a una plantilla de «Infraestructura como Código» (IaC) que no se ha actualizado. Ninguno de estos casos genera alertas de forma predeterminada. Se acumulan de forma silenciosa.

Los enfoques de «infraestructura como código» (IaC) abordan este problema en la capa de aprovisionamiento. Definir las configuraciones de la infraestructura mediante código, utilizando herramientas como Terraform o las plantillas de Azure Resource Manager, implica que los cambios se someten a control de versiones, se revisan por pares y se aplican de forma coherente, en lugar de aplicarse manualmente a través de una consola. De este modo, es posible detectar cualquier desviación respecto al estado definido.

Para los MSP que gestionan entornos en la nube de sus clientes, la infraestructura como código (IaC) no siempre es viable para todos los clientes. La alternativa más práctica es la supervisión continua de los cambios de configuración. Kaseya Intelligence el reconocimiento de patrones en todos los entornos gestionados para identificar los cambios de configuración que se desvían de la línea de base, detectando las desviaciones antes de que se conviertan en un incidente de seguridad o en un problema de disponibilidad.

Gestión de parches para máquinas virtuales en la nube

Las máquinas virtuales alojadas en la nube que ejecutan Windows o Linux requieren exactamente la misma gestión de parches que los servidores locales. El proveedor de servicios en la nube es responsable del hipervisor y de la infraestructura física. El sistema operativo invitado, las aplicaciones instaladas y todo el software situado por encima de la capa del hipervisor siguen siendo responsabilidad del cliente.

Este es uno de los aspectos del modelo de responsabilidad compartida en la nube que más malentendidos suscita. Una instancia de EC2 o una máquina virtual de Azure que ejecute un sistema operativo sin parches es tan vulnerable como un servidor local en las mismas condiciones. El proveedor de la nube no le aplicará los parches.

Tanto VSA como Datto RMM amplían la gestión automatizada de parches a los terminales alojados en la nube utilizando el mismo método de implementación basado en agentes y la misma automatización basada en políticas que se emplean para los servidores locales. Las máquinas virtuales en la nube se registran junto con los terminales locales, se gestionan desde la misma consola y están sujetas a las mismas políticas de aplicación de parches. Un proveedor de servicios gestionados (MSP) no necesita un flujo de trabajo de gestión en la nube independiente para la aplicación de parches.

Un ejemplo práctico: un proveedor de servicios de gestión (MSP) que gestiona la aplicación de parches en 500 terminales locales puede extender esas mismas políticas a las 50 máquinas virtuales de Azure que un cliente ha creado para una nueva aplicación, sin necesidad de herramientas ni flujos de trabajo adicionales, mediante la implementación del agente Datto RMM o VSA durante el proceso de aprovisionamiento de las máquinas virtuales.

Control de costes

La facturación en la nube es compleja, dinámica y difícil de prever sin una gestión activa. A diferencia de la infraestructura local, donde los costes son en gran medida fijos, los costes de la nube son variables por naturaleza. Esa variabilidad juega a tu favor cuando las cargas de trabajo se reducen. Sin embargo, se vuelve en tu contra cuando se acumulan, sin que te des cuenta, recursos inactivos, instancias con exceso de capacidad y entornos de prueba olvidados.

Las cuatro prácticas de gestión de costes que evitan que la expansión descontrolada de la nube merme las ventajas económicas que motivaron su adopción en un principio:

Ajuste del tamaño. Las instancias aprovisionadas para soportar picos de carga y que nunca se reducen tras el pico son una fuente habitual de desperdicio. Las revisiones periódicas del ajuste del tamaño, respaldadas por las métricas de CloudWatch o Azure Monitor, identifican las instancias que funcionan muy por debajo de su capacidad aprovisionada y recomiendan tipos de instancia más pequeños.

Capacidad reservada. La tarificación bajo demanda es la forma más cara de ejecutar cargas de trabajo estables. Las instancias reservadas de AWS y las instancias de máquina virtual reservadas de Azure ofrecen descuentos de hasta el 72 % para compromisos de uno o tres años. Las cargas de trabajo con patrones de uso predecibles y estables deben utilizar la tarificación reservada, no la tarificación bajo demanda.

Limpieza de recursos inactivos. Los volúmenes EBS no asignados, las direcciones IP elásticas no utilizadas, los equilibradores de carga huérfanos y los buckets de almacenamiento olvidados acumulan costes sin aportar ningún valor. Una revisión mensual de los recursos inactivos es una práctica habitual en la gestión de costes en la nube.

Alertas presupuestarias. Los picos de costes inesperados casi siempre se pueden detectar antes de que aparezcan en la factura. Configurar alertas presupuestarias en AWS Cost Explorer o Azure Cost Management permite recibir una advertencia temprana antes de que un error de aprovisionamiento o un proceso fuera de control se convierta en un evento que genere un coste significativo.

Para los MSP, la gestión de costes también supone una oportunidad de generar ingresos. Identificar y eliminar 400 dólares al mes en gastos innecesarios en la nube te convierte en un asesor de confianza. Si no lo haces, te conviertes en la persona que ha dejado que el cliente malgaste dinero.

Vigilancia de seguridad

Los entornos en la nube generan una gran cantidad de datos de telemetría de seguridad: registros de actividad de IAM, registros de flujos de red, llamadas a la API, cambios de configuración y eventos de autenticación. El reto para los MSP que gestionan entornos híbridos consiste en integrar esta telemetría, junto con los datos de los terminales y del correo electrónico, en una visión global coherente de la seguridad. Acceder por separado a AWS CloudTrail y Azure Monitor para cada cliente con el fin de revisar los eventos de seguridad no es un modelo operativo escalable.

Kaseya SIEM recopila datos de telemetría de las principales plataformas en la nube, junto con datos de terminales, redes y correo electrónico, lo que proporciona una visibilidad de seguridad unificada en entornos híbridos desde una única consola. Kaseya Intelligence el reconocimiento automático de patrones a estos datos de telemetría para identificar anomalías que la supervisión basada en reglas pasaría por alto, y ejecuta medidas de respuesta sin esperar a que un técnico las revise y actúe.

Tres medidas básicas de supervisión de la seguridad que deben estar implantadas en todo entorno de nube gestionada:

1. Registro de auditoría en la nube habilitado en todas las regiones. AWS CloudTrail y los registros de actividad de Azure Monitor son la fuente de información fiable sobre quién hizo qué en el entorno de la nube. Sin ellos, la investigación de incidentes se lleva a cabo a ciegas.

2. Alertas sobre acciones con privilegios. Los cambios en las políticas de IAM, la creación de nuevas cuentas de administrador y las modificaciones en los grupos de seguridad deben generar alertas inmediatas. Estas son las acciones que preceden a la mayoría de las vulneraciones de seguridad en entornos en la nube.

3. Detección de cambios en la configuración. Los cambios en los recursos relevantes para la seguridad, los ajustes de cifrado, los controles de red y las configuraciones de acceso público deben detectarse y revisarse, y no descubrirse durante una auditoría trimestral.

Copias de seguridad para infraestructuras en la nube

Las herramientas de copia de seguridad nativas de la nube, como AWS Backup y Azure Backup, ofrecen capacidad de recuperación operativa dentro del ecosistema del proveedor. Lo que no ofrecen es independencia respecto a ese ecosistema. Una cuenta en la nube comprometida, un ataque de ransomware que acceda a las credenciales de la nube o un incidente por parte del proveedor pueden afectar simultáneamente tanto a las cargas de trabajo principales como a las copias de seguridad de la misma cuenta.

Una copia de seguridad independiente e inmutable almacenada fuera de la infraestructura del proveedor constituye la capa adicional que protege frente a estas situaciones. Datto Backup for Microsoft Azure las máquinas virtuales de Azure y los archivos de Azure en la nube de Datto, fuera del ecosistema de Azure, con almacenamiento inmutable, replicación cada hora y una tarifa plana que elimina la imprevisibilidad de los costes de salida de datos.

Para obtener una visión completa de las copias de seguridad en la nube, incluidas las copias de seguridad de entornos locales a la nube a través de Datto SIRIS la protección de datos SaaS mediante Datto SaaS Protection, consulta nuestra guía de copias de seguridad en la nube.

Documentación

Los entornos en la nube que carecen de documentación son vulnerables desde el punto de vista operativo. Saber qué recursos existen, por qué existen, cómo están configurados y cómo se conectan entre sí es fundamental para la gestión de incidentes, la incorporación de nuevos miembros al equipo, las revisiones de seguridad y la demostración del cumplimiento normativo.

El ritmo de cambio en los entornos en la nube hace que la documentación resulte más difícil que en los entornos locales, pero también más importante. Una máquina virtual aprovisionada hace seis meses para un proyecto que ya ha finalizado, sin etiquetar, sin documentar, funcionando a costa de la empresa y sin un responsable, es un problema real y habitual. Una regla de grupo de seguridad no documentada que alguien añadió durante un incidente a altas horas de la noche supone un riesgo de seguridad que no saldrá a la luz hasta que un auditor o una filtración de datos la ponga de manifiesto.

IT Glue la infraestructura de documentación para entornos en la nube: diagramas de arquitectura de VPC, estructura de IAM, configuraciones de grupos de seguridad, guías de recuperación ante desastres y credenciales de acceso, todo ello almacenado con aislamiento por cliente y acceso controlado. Compliance Manager GRC con IT Glue incorporar directamente las pruebas de cumplimiento en la documentación del cliente, lo que reduce la carga de trabajo manual que supone la preparación de auditorías.

Cómo Kaseya 365 la gestión de la infraestructura en la nube

VSA y Datto RMM amplían la gestión de parches, la supervisión y la automatización basadas en agentes a máquinas virtuales Windows y Linux alojadas en la nube, además de a los terminales locales, todo ello desde una única consola.

Kaseya SIEM recopila datos de telemetría de plataformas en la nube, junto con datos de terminales y de correo electrónico, lo que proporciona una visibilidad unificada de la seguridad en entornos híbridos.

Kaseya Intelligence aplica el reconocimiento y la respuesta automatizados de patrones en entornos gestionados, detectando desviaciones en la configuración y actividades anómalas sin necesidad de revisar manualmente cada evento.

Datto Backup for Microsoft Azure ofrece copias de seguridad independientes e inmutables para las cargas de trabajo de Azure fuera del ecosistema de Azure, con replicación cada hora y una tarifa plana.

IT Glue almacena documentación para entornos en la nube con aislamiento por cliente, historial de versiones e integración directa con Compliance Manager GRC la generación de pruebas de auditoría.

Descubre Kaseya 365 la gestión de entornos en la nube e híbridos

Puntos clave

  • La gestión de la infraestructura en la nube abarca la gestión de la configuración, la gestión de parches, el control de costes, la supervisión de la seguridad, las copias de seguridad y la documentación. Ninguna de estas tareas se transfiere al proveedor de servicios en la nube. Todas siguen siendo responsabilidad del cliente o del proveedor de servicios gestionados (MSP).
  • Las desviaciones en la configuración son la causa de la mayoría de los incidentes de seguridad en la nube. La supervisión continua con Kaseya Intelligence estas desviaciones antes de que se conviertan en un incidente.
  • La gestión de parches para máquinas virtuales en la nube es idéntica a la gestión de parches en las instalaciones. VSA y Datto RMM amplían la misma gestión de parches basada en agentes a los terminales alojados en la nube sin necesidad de un flujo de trabajo independiente.
  • La gestión de costes es una disciplina operativa continua. El ajuste de la capacidad, la capacidad reservada, la eliminación de recursos inactivos y las alertas presupuestarias son las cuatro prácticas que permiten mantener los costes de la nube en consonancia con el valor que esta aporta.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

Servicios de computación en nube

AWS vs. Azure vs. Google Cloud: Comparación de plataformas en la nube

Impulsado por el cambio hacia entornos de trabajo a distancia e híbridos y por la necesidad de transformar digitalmente las empresas durante la crisis mundial

Leer la entrada del blog

Contenedores frente a máquinas virtuales (VM): Todo lo que necesita saber

Para las organizaciones que desean estandarizar las implementaciones de software en todas las plataformas, reducir los gastos generales y mejorar la escalabilidad, la virtualización (de servidores) y

Leer la entrada del blog
costos de infraestructura informática contral

Claves para reducir los costos de infraestructura informática

La actual crisis económica mundial ha cambiado radicalmente la forma de operar de muchas empresas. Teniendo en cuenta que probablemente

Leer la entrada del blog