AWS acaba de dar un paso que muchos equipos de seguridad venían pidiendo: AWS Security Hub ahora monitorea recursos de Microsoft Azure, no solo de AWS. En la misma tanda de anuncios, AWS sumó protección específica para cargas de inteligencia artificial. Para un CIO o un CISO que opera en más de una nube —una realidad común en Latinoamérica—, el cambio es concreto: menos consolas, una sola vista priorizada del riesgo y una respuesta más consistente.

Este análisis resume qué anunció AWS, verificado contra sus fuentes oficiales, y ofrece criterios para decidir cuándo conviene consolidar tu seguridad multicloud.

Qué anunció AWS, en corto

AWS comunicó el 7 de julio de 2026 que Security Hub empieza a monitorear Azure, y el 14 de julio amplió la historia con un enfoque en protección de cargas de IA. Son dos movimientos en paralelo que apuntan a la misma idea: que tus mejores herramientas de seguridad trabajen juntas en lugar de acumular tableros aislados.

1. Seguridad multicloud para Microsoft Azure

Security Hub ahora descubre automáticamente recursos de Azure —máquinas virtuales, imágenes de contenedor de Azure Container Registry (ACR), Function Apps e identidades— y los evalúa por configuraciones inseguras, exposición a internet y vulnerabilidades de software. Aplica verificaciones de postura contra el CIS Microsoft Azure Foundations Benchmark y presenta los hallazgos de Azure priorizados junto a los de AWS, con el mismo formato de hallazgo y los mismos flujos de automatización y respuesta que ya usas.

En lo comercial, AWS indica que los recursos de Azure se cobran a la misma tarifa que los recursos equivalentes de AWS, sin cargos adicionales, con una prueba independiente de 30 días. La integración está disponible en la mayoría de las regiones donde opera Security Hub, y AWS adelantó que sumará más nubes próximamente.

2. Protección para cargas de inteligencia artificial

En paralelo, AWS presentó tres capacidades para cerrar la brecha de visibilidad que dejan las cargas de IA en producción:

  • Amazon GuardDuty AI Protection (disponible): detección de amenazas pensada para Amazon Bedrock y Amazon SageMaker. Detecta invocaciones anómalas de modelos, ataques de cost harvesting —robo de cómputo, donde se usan credenciales robadas para correr inferencia por tu cuenta— e intentos de inyección de prompts mediante la integración con Bedrock Guardrails. Analiza eventos de datos de CloudTrail e incluye una prueba de 30 días.
  • GuardDuty investigaciones con IA (vista previa): analiza los hallazgos y las cuentas alrededor de forma automática, revisa hasta 90 días de actividad relacionada y devuelve un veredicto con nivel de confianza, clasificación MITRE ATT&CK y recomendaciones. Disponible en vista previa en diez regiones de AWS.
  • Inventario de IA en Security Hub (disponible): una vista continua y a nivel de toda la organización de tus activos de IA. Inventaría recursos gestionados en Bedrock, SageMaker y AgentCore, y descubre modelos autoalojados sobre Amazon EC2, ECS y EKS mediante análisis en tiempo de ejecución, correlacionándolos con los hallazgos de GuardDuty. Viene incluido en el plan Security Hub Essentials sin costo adicional.

Un resumen de lo nuevo

CapacidadQué resuelveEstado
Monitoreo de Azure en Security HubPostura unificada de AWS y Azure en una sola consola, con checks CIS AzureDisponible
GuardDuty AI ProtectionDetecta invocaciones anómalas, robo de cómputo e inyección de prompts en Bedrock y SageMakerDisponible
GuardDuty investigaciones con IATriaje automático de hallazgos con clasificación MITRE ATT&CK y nivel de confianzaVista previa
Inventario de IA en Security HubDescubre modelos, agentes y pipelines en toda la organizaciónDisponible

Por qué esto importa para una empresa en Latinoamérica

La mayoría de las empresas medianas y grandes de la región no viven en una sola nube. Conviven cargas en AWS con servicios en Azure —muchas veces por herencia de Microsoft 365, por adquisiciones o por decisiones de distintas áreas. Ese escenario multicloud traía un costo silencioso: dos herramientas de seguridad, dos consolas, dos formas de priorizar y equipos saltando entre ellas para entender un mismo riesgo.

Que Security Hub incorpore Azure reduce ese costo. No elimina la complejidad de operar multicloud, pero unifica el lugar donde se prioriza y se responde. Para un equipo de seguridad pequeño —la norma en la región— tener una sola vista priorizada del riesgo, con el mismo formato de hallazgo y la misma automatización, libera tiempo que antes se iba en correlacionar a mano.

El punto ciego de la IA generativa

Hay un detalle del anuncio que vale la pena subrayar, porque describe un riesgo que ya está ocurriendo. AWS relata el caso de un equipo que descubrió una cuenta de servicio comprometida —que llevaba tiempo invocando un modelo de fundación miles de veces— porque el área de finanzas cuestionó la factura. Encontraron un incidente de seguridad a través de una revisión contable.

Ese es exactamente el punto ciego que las cargas de IA introducen: los modelos llegan a producción más rápido de lo que la mayoría de los programas de seguridad puede seguir, y a menudo no hay forma de saber qué modelos, agentes o endpoints existen en la organización. El robo de cómputo convierte credenciales robadas en gasto real sin desplegar nada. Un inventario de IA continuo y la detección de invocaciones anómalas atacan justamente esa brecha.

Cuándo conviene consolidar tu seguridad multicloud

La disponibilidad de una capacidad no es, por sí sola, una razón para adoptarla. Algunos criterios prácticos:

  • Consolidar tiene más sentido si operas cargas productivas en AWS y Azure a la vez, tu equipo de seguridad es reducido y hoy pierde tiempo correlacionando hallazgos entre consolas, o si necesitas evidencia de postura unificada para auditorías de PCI-DSS o ISO 27001.
  • Puede esperar si tu presencia en Azure es marginal o experimental, o si ya tienes una plataforma de CSPM madura y estandarizada que cubre bien ambas nubes.
  • En cualquier caso, si estás construyendo con IA generativa sobre AWS, el inventario de IA y GuardDuty AI Protection cierran un punto ciego que conviene atender pronto, uses una o varias nubes.

La decisión correcta depende de tu mezcla de nubes, de la madurez de tus procesos y de tus obligaciones regulatorias. No es una casilla que se marca por defecto.

Cómo lo abordamos en Caleidos

En Caleidos diseñamos e implementamos seguridad nativa de nube sobre AWS: controles automáticos en el pipeline (DevSecOps), gestión de postura (CSPM), identidad, cifrado y monitoreo, alineados a PCI-DSS, ISO 27001 y las regulaciones locales de cada país donde operas. Ante un anuncio como este, nuestro enfoque es sobrio: evaluamos si consolidar la postura de AWS y Azure en Security Hub aporta valor real a tu caso —o si tu prioridad está en otra parte del programa— antes de recomendar cualquier cambio.

Si quieres entender qué significa esto para tu arquitectura, conversemos sobre tu estrategia de seguridad en la nube.

Preguntas frecuentes

¿Qué anunció AWS sobre Security Hub y Azure? Que Security Hub ahora monitorea recursos de Microsoft Azure además de los de AWS: descubre máquinas virtuales, imágenes de contenedor de ACR, Function Apps e identidades, y las evalúa contra el CIS Microsoft Azure Foundations Benchmark, mostrando los hallazgos priorizados junto a los de AWS.

¿Cuánto cuesta monitorear Azure desde Security Hub? Según AWS, los recursos de Azure se cobran a la misma tarifa que los recursos equivalentes de AWS, sin cargos adicionales, con una prueba independiente de 30 días al crear la integración.

¿Necesito reemplazar mis herramientas de seguridad de Azure? No necesariamente. Security Hub agrega una capa de postura y priorización unificada; no reemplaza los controles nativos de Azure ni tu EDR o SIEM. Consolidar depende de tu mezcla de nubes y de la madurez de tus procesos.

¿Esto sirve si mi empresa solo usa AWS? Sí. AWS sumó protección específica para cargas de IA —GuardDuty AI Protection para Bedrock y SageMaker, y un inventario de IA en Security Hub— que cierra un punto ciego de visibilidad aunque uses una sola nube.