Casi toda organización cloud-native llega a una evaluación de capa de evidencia con la misma frase de apertura: ya logueamos todo a CloudTrail, o Stackdriver, o Azure Monitor — ¿qué nos da Certyo que esos no? Es una pregunta justa y merece una respuesta estructural en lugar de una de marketing. La respuesta honesta es que los logs operacionales y la evidencia de integridad son categorías distintas de artefacto, diseñadas para trabajos distintos, con propiedades de confianza estructuralmente incompatibles. Los mismos datos pueden estar en ambos, pero los mismos datos no te dan la misma defensibilidad.
Para qué están diseñados los logs operacionales
CloudTrail, Stackdriver y Azure Monitor fueron construidos para responder preguntas como: qué llamada API hizo nuestro servicio a las 03:14 UTC, cuál fue la respuesta, y qué principal IAM la inició. El trabajo es visibilidad operacional — debugging, alertas, planificación de capacidad, investigación de seguridad. Son herramientas excelentes para esos trabajos.
Las restricciones de diseño que los hacen excelentes para operaciones también los hacen inapropiados para evidencia. Los logs operacionales están diseñados para retenerse por una ventana, rotarse, ser repetidos, indexados, consultados y ocasionalmente redactados. Ninguna de esas operaciones es problema para el trabajo operacional. Todas son problema para el trabajo de evidencia.
Tres diferencias estructurales que importan al momento de auditoría
Cuando un auditor, regulador o abogado opositor cuestiona un registro, la conversación pasa de visibilidad operacional a defensibilidad forense. En ese punto tres diferencias estructurales entre logs operacionales y evidencia de integridad se vuelven decisivas:
- ✓Mismo dominio de confianza — tus logs de CloudTrail los escriben, retienen y leen cuentas dentro de tu organización AWS. El log de auditoría del log de auditoría vive en el mismo lugar. Un insider determinado con privilegios suficientes puede mutar el trail y mutar el trail de mutaciones. La evidencia requiere una frontera de confianza fuera del sistema que produjo los datos.
- ✓Amigable a mutación por política — las ventanas de retención de logs expiran registros por diseño. Las políticas de ciclo de vida mueven registros a almacenamiento frío y eventualmente los borran. Estas son features para operaciones y bugs para evidencia. Un registro que no puedes producir bajo demanda en momento de auditoría no es evidencia; es un log antiguo.
- ✓Sin ruta de verificación por terceros — cuando entregas un export de CloudTrail a un auditor, el auditor tiene que confiar en que el export es fiel al original. No hay primitiva criptográfica que permita a un regulador verificar el export contra una referencia inmutable sin tu cooperación. Los logs operacionales son afirmaciones; la evidencia es claims independientemente verificables.
Qué cambia cuando la integridad se ancla externamente
El anclaje externo — lo que Certyo hace en Polygon — no es un reemplazo de CloudTrail. Es un artefacto distinto que aborda los tres gaps estructurales arriba. Los registros se hashean, acumulan, se hacen lotes, y la raíz Merkle de cada lote se escribe en una cadena pública. Tres propiedades siguen de ese diseño:
Primero, la frontera de confianza se mueve fuera de tu cuenta: la raíz Merkle on-chain no puede ser modificada por nadie, incluyendo el equipo que opera Certyo. Segundo, el ancla no está sujeta a política de retención: persiste indefinidamente como propiedad de la cadena, no como propiedad de tu suscripción. Tercero, la verificación no requiere tu participación: un regulador con el registro original y la referencia on-chain puede confirmar independientemente que el registro fue anclado en el timestamp original.
Dónde los dos artefactos se complementan
El modelo mental correcto no es CloudTrail-o-Certyo. Es CloudTrail-y-Certyo, con cada artefacto haciendo su trabajo. La pipeline operacional sigue haciendo lo que hace bien; la pipeline de evidencia corre al lado, anclando los registros que necesitan sobrevivir a auditoría, disputa o litigio:
En momento de auditoría, CloudTrail responde "qué pasó operacionalmente" y el ancla de integridad responde "y los registros que resultaron de esas operaciones están sin cambios". Los dos artefactos responden preguntas distintas y las respuestas componen. Un auditor que ve solo CloudTrail tiene una historia; un auditor que ve CloudTrail más un registro anclado tiene una historia más un claim verificable.
Tres escenarios de comprador donde la distinción es decisiva
Si la diferencia entre logs operacionales y evidencia suena académica, tiende a volverse urgente en tres escenarios específicos. Estos son los escenarios donde la posición "CloudTrail es suficiente" falla en campo:
- ●Investigaciones de amenaza interna — Cuando un regulador o aseguradora investiga posible manipulación de insider, los logs que viven dentro del mismo dominio de confianza que el actor sospechoso no pueden usarse para refutar la manipulación. El investigador necesita un artefacto que el actor demostrablemente no pudo modificar. CloudTrail no cumple esa barra; un ancla externa sí.
- ●Disputas multi-año — Cuando una disputa sobre un registro de hace tres años aparece hoy, la pregunta es si el registro puede producirse en su forma original. La retención de CloudTrail puede haber expirado la entrada. El ancla de integridad en una cadena pública no tiene ventana de retención. Los registros que puedes hashear hoy contra el ancla original siguen siendo verificables.
- ●Auditorías cross-vendor — Cuando un auditor necesita verificar un registro producido por tu servicio contra registros de un partner o contraparte, el auditor no puede pedir a ambas organizaciones compartir su CloudTrail. Puede pedirles compartir el hash anclado y verificar contra la misma referencia on-chain. La auditoría cross-vendor es estructuralmente más fácil cuando la primitiva de verificación es independiente de cualquier proveedor.
Qué hacer cuando la objeción aparece en una llamada de venta
La respuesta correcta a "ya usamos CloudTrail" no es argumentar que CloudTrail es malo. Es excelente en lo que hace. La respuesta correcta es preguntar cuál de los tres gaps estructurales el comprador aceptaría en el peor escenario: un insider determinado mutando el log de auditoría, una política de retención expirando un registro disputado, un auditor incapaz de verificar sin tu cooperación. Si la respuesta es ninguno, CloudTrail solo no es la herramienta correcta para esa parte del workload. Para cómo Certyo corre junto a la infraestructura de logs existente, ver /es/about. Para la primitiva de verificación en detalle, ver /es/blog/blockchain-without-crypto.
CloudTrail te dice qué pasó. Un ancla de integridad permite a un tercero verificar que el registro de qué pasó no ha cambiado. Mismos datos, propiedad de confianza estructuralmente distinta. Los dos artefactos responden preguntas distintas y necesitas ambos en momento de auditoría.