Wasabi Hot Cloud Storage se ha convertido en una opción muy popular entre administradores de sistemas y responsables de TI que buscan reducir el coste del almacenamiento de copias de seguridad. Su propuesta es sencilla: compatibilidad total con la API de Amazon S3, sin cargos por egreso y a un precio fijo que puede ser hasta cinco veces inferior al de AWS S3. Para muchos proyectos, es una opción válida y razonable.
Sin embargo, si tu organización pertenece al sector público español, gestionas infraestructura crítica o provees servicios a una administración que exige cumplimiento con el Esquema Nacional de Seguridad (ENS) en su categoría Alta, Wasabi no es una opción válida como destino de almacenamiento para copias de seguridad. No se trata de preferencias técnicas ni de una cuestión de rendimiento: es una incompatibilidad estructural con los requisitos normativos que el ENS Alto impone.
En este artículo analizamos en detalle los motivos técnicos y jurídicos por los que Wasabi queda fuera del perímetro de cumplimiento ENS Alto, y qué alternativas existen que sí permiten cumplir con todos los requisitos del marco normativo español.
Qué es el ENS Alto y Qué Exige a los Proveedores Cloud
El Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, establece los principios y requisitos mínimos de seguridad para los sistemas de información de las administraciones públicas españolas. La categoría Alta es la más exigente y se aplica a sistemas cuya perturbación tendría un impacto muy grave sobre funciones críticas del Estado, datos personales sensibles o infraestructuras esenciales.
Cuando una organización sujeta a ENS Alto externaliza servicios de almacenamiento o backup a un proveedor cloud, ese proveedor pasa a ser un prestador de servicios bajo el control de la organización y debe cumplir una serie de requisitos que el propio ENS detalla en sus controles de la dimensión op.ext (gestión de proveedores externos). Los más relevantes para el almacenamiento de copias de seguridad son:
- policy op.ext.1 — Contratación y acuerdos de nivel de servicio: el contrato debe recoger explícitamente los requisitos de seguridad ENS y el proveedor debe aceptarlos de forma vinculante.
- policy op.ext.2 — Gestión de proveedores: la organización debe mantener un registro de proveedores y verificar periódicamente su cumplimiento normativo.
- policy mp.info.3 — Cifrado de información: los datos almacenados deben estar cifrados y las claves de cifrado deben estar bajo el control exclusivo de la organización o de un proveedor auditado.
- policy mp.info.5 — Borrado y destrucción certificada: debe garantizarse que los datos se eliminan de forma segura y certificada al finalizar el servicio.
- policy Soberanía y jurisdicción del dato: los datos deben estar protegidos frente a accesos no autorizados de terceros países, incluyendo legislación extraterritorial de terceros estados.
Adicionalmente, el CCN (Centro Criptológico Nacional) publica guías como la CCN-STIC-823 y el catálogo de servicios cloud cualificados, que orientan sobre qué proveedores han demostrado cumplimiento con el ENS. Utilizar un proveedor no cualificado en sistemas ENS Alto supone un riesgo de auditoría con posibles consecuencias sobre la certificación del sistema.
Qué es Wasabi y Por Qué Atrae a los Equipos de TI
Wasabi Technologies, Inc. es una empresa estadounidense con sede en Boston (Massachusetts) fundada en 2017. Ofrece almacenamiento de objetos compatible con la API de Amazon S3 a un precio fijo aproximado de 7 USD/TB/mes, sin cargos por salida de datos (egreso) ni por peticiones API. Dispone de regiones en Europa: Amsterdam (eu-central-1), Frankfurt (eu-central-2) y Londres (eu-west-1), pero no tiene ningún datacenter en España.
Sus certificaciones incluyen ISO 27001, SOC 2 Tipo II y CSA STAR. Es compatible de forma nativa con Veeam Backup & Replication como repositorio de escala horizontal (SOBR), lo que lo hace técnicamente atractivo para equipos que ya usan Veeam. El ahorro económico frente a AWS S3 Standard puede superar el 70% en workloads de backup con alta retención.
Wasabi en cifras
~7 USD
por TB/mes
0 USD
egreso de datos
3
regiones en Europa
0
datacenters en España
Todos estos atributos son genuinamente positivos para proyectos privados, startups, PYMES sin requisitos de cumplimiento específicos o cualquier escenario donde el precio y la compatibilidad sean los factores decisivos. El problema surge cuando se intenta encajar Wasabi en un contexto de cumplimiento ENS Alto, donde entran en juego factores que van mucho más allá del precio o la compatibilidad técnica.
Por Qué Wasabi No Cumple ENS Alto: Los Motivos Concretos
1. La CLOUD Act convierte a Wasabi en un riesgo jurídico
La Clarifying Lawful Overseas Use of Data Act (CLOUD Act), aprobada en Estados Unidos en 2018, permite a las autoridades estadounidenses —FBI, DEA, NSA y otros organismos— requerir legalmente a cualquier empresa americana que entregue datos almacenados en cualquier país del mundo, sin necesidad de notificar al afectado ni al estado donde se encuentran físicamente los datos.
Wasabi Technologies, Inc. es una empresa estadounidense. Por tanto, está sujeta a la CLOUD Act independientemente de en qué región almacenes tus datos. Aunque uses el datacenter de Amsterdam, las autoridades norteamericanas pueden requerir a Wasabi que les entregue tus backups sin que Wasabi pueda negarse ni, en muchos casos, informarte de ello.
Impacto directo sobre ENS Alto
El ENS Alto exige que los datos estén protegidos frente a accesos de terceros estados. La CLOUD Act crea una obligación legal extraterritorial para Wasabi que rompe esta garantía de forma estructural, independientemente de las cláusulas contractuales que puedas firmar con el proveedor.
El Tribunal de Justicia de la Unión Europea ya declaró en las sentencias Schrems I (2015) y Schrems II (2020) que las transferencias de datos a EE.UU. no podían garantizarse como seguras debido precisamente a este tipo de legislación de vigilancia masiva. Aunque el marco Data Privacy Framework (DPF) de 2023 ha restablecido parcialmente los mecanismos de transferencia, la CLOUD Act como tal no ha cambiado y sigue siendo una fuente de riesgo reconocida por el Comité Europeo de Protección de Datos.
2. Wasabi no está certificado por el CCN ni aparece en el catálogo de servicios cualificados
El Centro Criptológico Nacional (CCN) mantiene un catálogo de servicios cloud cualificados en el que figuran los proveedores que han superado el proceso de evaluación del ENS. Para que un proveedor de almacenamiento en la nube sea aceptable en un sistema ENS Alto, debe estar incluido en este catálogo o, como mínimo, haber iniciado formalmente el proceso de cualificación.
Wasabi no figura en el catálogo del CCN y no ha iniciado públicamente ningún proceso de certificación ENS. Sus certificaciones (ISO 27001, SOC 2) son reconocidas internacionalmente pero no son equivalentes al ENS ni sustituyen la evaluación del CCN. La guía CCN-STIC-823 es explícita al respecto: el uso de servicios cloud no cualificados en sistemas de categoría Alta requiere una evaluación de riesgo documentada y aprobada por la dirección, con alta probabilidad de que el auditor no la acepte como suficiente.
3. No tiene datacenters en España
Para determinadas tipologías de datos en sistemas ENS Alto —especialmente datos de carácter personal de categorías especiales, información clasificada o datos de infraestructuras críticas— existe la recomendación, y en algunos contextos la obligación, de que los datos residan en territorio español.
Wasabi no opera ningún datacenter en España. Sus regiones europeas más cercanas son Amsterdam y Frankfurt. Esto no solo implica una potencial infracción de los requisitos de residencia del dato, sino también una mayor latencia en los procesos de restauración y la exposición a legislaciones locales adicionales (la ley holandesa o alemana de inteligencia, por ejemplo) que pueden tener sus propios mecanismos de acceso a datos.
4. Sin derechos de auditoría reales
El ENS Alto, en su control op.ext.2, exige que la organización pueda verificar el cumplimiento de las medidas de seguridad por parte de sus proveedores externos. En la práctica, esto implica derecho de auditoría: la posibilidad de revisar in situ o de forma remota las instalaciones, procesos y controles del proveedor, o de exigir informes de auditoría independientes actualizados.
Wasabi, como proveedor de commodity storage a escala masiva, no ofrece derechos de auditoría individualizados a sus clientes. Sus contratos estándar no incluyen cláusulas que permitan a una organización española verificar de forma directa y vinculante el cumplimiento de los controles ENS. Esto es una limitación estructural de los proveedores de cloud público genérico, no una deficiencia particular de Wasabi.
5. La gestión de claves no cumple los estándares ENS Alto
El control mp.info.3 del ENS Alto exige que el cifrado de información se realice con algoritmos aprobados y que las claves estén bajo el control exclusivo de la organización o de un proveedor con las garantías adecuadas. En la práctica, para ENS Alto, esto suele requerir el uso de HSM (Hardware Security Module) certificados, como los que cumplen FIPS 140-2 Level 3 o superior.
Wasabi permite el cifrado del lado del servidor (SSE) con claves gestionadas por Wasabi (SSE-W) o con claves proporcionadas por el cliente (SSE-C). El cifrado del lado del cliente (donde Veeam cifra antes de enviar) es técnicamente posible y reduce el riesgo. Sin embargo, Wasabi no ofrece un servicio de gestión de claves (KMS) certificado bajo estándares que el CCN reconozca para ENS Alto, ni proporciona evidencias auditables de la cadena de custodia de las claves en formatos aceptables para una auditoría ENS.
6. El DPA de Wasabi no está adaptado a ENS
Las copias de seguridad de sistemas que procesan datos personales requieren un Acuerdo de Tratamiento de Datos (DPA) conforme al RGPD. El DPA de Wasabi es un documento estándar diseñado para el mercado global, que incorpora las Cláusulas Contractuales Tipo (SCCs) de la Comisión Europea para transferencias internacionales.
Sin embargo, para sistemas ENS Alto que tratan datos de categorías especiales, el DPA debe incluir compromisos específicos alineados con las medidas de seguridad del ENS: procedimientos de notificación de brechas en plazos inferiores a 72 horas, mecanismos de borrado certificado, y restricciones sobre subencargados. El DPA genérico de Wasabi no recoge estos compromisos de forma suficientemente detallada para superar una auditoría ENS Alto.
Tabla Resumen: Wasabi vs Requisitos ENS Alto
| Requisito ENS Alto | Wasabi | Cumple |
|---|---|---|
| Sin jurisdicción extraterritorial de EE.UU. | Empresa americana, sujeta a CLOUD Act | No |
| Certificación CCN / catálogo cualificado | No figura en el catálogo CCN | No |
| Datacenter en España (recomendado para datos críticos) | Solo EU: Amsterdam, Frankfurt, Londres | No |
| Derechos de auditoría (op.ext.2) | No ofrecidos en contrato estándar | No |
| Gestión de claves con HSM certificado (mp.info.3) | SSE-C posible, sin KMS certificado ENS | Parcial |
| DPA adaptado a ENS y RGPD español | DPA genérico global, sin compromisos ENS | No |
| Borrado certificado al finalizar el servicio (mp.info.5) | Sin certificado de borrado seguro auditable | No |
| Object Lock / inmutabilidad | Soportado técnicamente | Sí |
| Certificaciones internacionales | ISO 27001, SOC 2 Tipo II | Sí (no equivalen a ENS) |
Como puede observarse, Wasabi cumple requisitos técnicos básicos (Object Lock, certificaciones internacionales) pero falla en los aspectos jurídicos y normativos específicos del ENS Alto que son, precisamente, los que determinan si un proveedor es aceptable para un sistema de categoría Alta.
Alternativas que Sí Cumplen ENS Alto para Backup
El mercado español cuenta con proveedores de almacenamiento de objetos que operan desde territorio nacional, están sujetos exclusivamente a la legislación española y europea, y disponen de las certificaciones y capacidades de auditoría necesarias para entornos ENS Alto. Las características que debes buscar son:
- check_circle Empresa española o con domicilio social en la UE, no sujeta a legislación extraterritorial de EE.UU. ni de países terceros sin acuerdo de adecuación con la UE.
- check_circle Datacenters en España con disponibilidad de al menos nivel Tier III para garantizar la continuidad del servicio según los SLAs ENS.
- check_circle Certificación ENS o proceso de cualificación iniciado ante el CCN, con evidencias disponibles para el auditor.
- check_circle Derechos de auditoría contractuales: posibilidad de inspeccionar o recibir informes de auditoría independientes alineados con los controles ENS.
- check_circle DPA específico para ENS y RGPD español, con compromisos explícitos sobre notificación de brechas, borrado certificado y restricción de subencargados.
- check_circle Object Lock / inmutabilidad compatible con Veeam para garantizar la protección de los backups frente a ransomware.
En EasyDataHost ofrecemos Object Storage S3 operado íntegramente desde nuestro datacenter Tier III+ en Madrid, con sede social en España y sin ninguna relación de propiedad o control con empresas de terceros países. Nuestro servicio incluye Object Lock nativo compatible con Veeam, DPA adaptado al ENS y RGPD, y derechos de auditoría disponibles para organismos públicos y empresas certificadas. Para la gestión completa del backup offsite, nuestro servicio de Veeam Cloud Connect complementa el almacenamiento con repositorios gestionados, inmutabilidad activada por defecto y soporte 24/7 en español.
Para sistemas que además requieren recuperación ante desastres, nuestro servicio de DRaaS con Veeam permite definir RPO y RTO acordes con los requisitos de disponibilidad ENS Alto, con toda la infraestructura en territorio español.
Conclusión: Precio vs Cumplimiento
Wasabi es un excelente proveedor de almacenamiento de objetos para proyectos sin requisitos regulatorios específicos. Su relación calidad-precio es difícil de superar en el mercado global. Pero el ENS Alto no es un marco regulatorio que admita excepciones por razones económicas: los requisitos de soberanía del dato, jurisdicción, auditoría y certificación son condiciones necesarias, no opcionales.
Utilizar Wasabi como destino de backup en un sistema ENS Alto implica asumir riesgos que ningún auditor del CCN aceptará sin un análisis de riesgo documentado y, casi con toda certeza, sin exigir medidas compensatorias que elevarán el coste y la complejidad operativa por encima del ahorro inicial que Wasabi proporcionaba.
- arrow_right La CLOUD Act convierte a cualquier proveedor americano en un riesgo jurídico estructural para ENS Alto, independientemente de dónde estén físicamente los datos.
- arrow_right La ausencia de certificación CCN impide que Wasabi sea validado como proveedor en una auditoría ENS Alto sin medidas compensatorias adicionales.
- arrow_right La falta de datacenters en España y la imposibilidad de ejercer derechos de auditoría reales completan el cuadro de incumplimiento.
- arrow_right Existen alternativas nacionales que ofrecen compatibilidad total con Veeam, Object Lock y precios competitivos, sin los problemas de cumplimiento de Wasabi.