Servidores cloud privados vs hosting compartido para una pyme con datos sensibles

El hosting compartido es la solución correcta para la mayoría de webs corporativas estáticas o de bajo tráfico. Pero en el momento en que esa web gestiona datos de clientes, procesa pagos, almacena historiales médicos o maneja información contractual confidencial, el hosting compartido tiene limitaciones técnicas y de compliance que pueden convertirse en un problema real. No es que sea inseguro por definición, es que el modelo de aislamiento no es el adecuado para todos los casos.

La decisión correcta no depende del precio ni de la comodidad de gestión. Depende de qué datos tratas, qué obligaciones legales tienes sobre esos datos, y qué nivel de control necesitas para poder demostrar que las medidas de seguridad son proporcionales al riesgo. Esta guía analiza los factores reales de la decisión sin sesgo hacia ninguna opción tecnológica concreta.

1. Qué cambia técnicamente en hosting compartido

En un servidor compartido, tu web coexiste con decenas o cientos de otras en la misma máquina física. Comparten recursos (CPU, memoria, disco, red) y, en muchos casos, la misma dirección IP pública. Esto tiene implicaciones concretas que van más allá del rendimiento:

Aislamiento de recursos: un vecino con un plugin de WordPress vulnerable que es explotado para ejecutar un script de envío masivo de spam puede consumir toda la CPU del servidor compartido y ralentizar tu aplicación. Peor aún: si la seguridad del servidor está comprometida a través de otra cuenta, potencialmente todos los sitios en ese servidor están expuestos. Los proveedores de hosting compartido tienen medidas de aislamiento (chroot, contenedores ligeros), pero no son equivalentes al aislamiento de un VPS.

Control de configuración: en hosting compartido no puedes instalar software a nivel de sistema, configurar reglas de firewall a nivel de red, modificar la configuración del servidor web más allá de lo que permite el .htaccess o los paneles de control del proveedor, ni acceder a los logs del sistema operativo. Solo ves lo que el proveedor decide exponerte en su panel. Esto limita la capacidad de investigar incidentes de seguridad y de implementar medidas de protección avanzadas.

IP compartida: compartir IP con otros dominios puede afectar a la reputación de tu IP si un vecino usa el servidor para enviar spam o alojar contenido malicioso. Los filtros de correo de destinatarios pueden marcar tus correos como spam por reputación de IP, no por el contenido de tus mensajes. Esto es relevante si el servidor de hosting también gestiona el correo corporativo, algo que para empresas con más de 5 usuarios ya no tiene sentido (Microsoft 365 o Google Workspace son la alternativa correcta).

2. Cuándo el salto a cloud privado o VPS es necesario

El criterio correcto no es el tamaño de la empresa ni el tráfico web: es la naturaleza de los datos que maneja la aplicación y las obligaciones legales derivadas.

• Datos de salud o categorías especiales del RGPD: historiales médicos, datos psicológicos, información sobre ideología o religión. El RGPD exige medidas de seguridad proporcionales a la especial sensibilidad de estos datos. El hosting compartido raramente ofrece el nivel de control que permite demostrar esa proporcionalidad de forma auditable.
• Obligación de auditoría y trazabilidad: sectores como el legal, financiero o farmacéutico requieren logs de acceso inmutables, control de quién accede a qué y cuándo, y capacidad de exportar esos logs en caso de auditoría o requerimiento judicial. En hosting compartido no tienes acceso a ese nivel de trazabilidad.
• Procesamiento de pagos: si tu web procesa pagos con tarjeta directamente (no delegando a un procesador externo como Stripe o PayPal que gestiona el PCI DSS), el alcance de PCI DSS para el entorno de hosting es significativo. El hosting compartido dificulta el cumplimiento de los controles de red requeridos.
• Rendimiento predecible bajo carga: si tienes SLA de disponibilidad con clientes o si picos de tráfico afectan directamente a los ingresos (ecommerce, reservas online), el hosting compartido no garantiza recursos cuando más los necesitas.
• Configuración personalizada de software: versión específica de PHP, módulos del servidor web personalizados, software de sistema adicional (Redis, Elasticsearch, procesadores de cola), acceso SSH root. Todo esto requiere un servidor propio.

3. Comparativa técnica: hosting compartido vs VPS vs cloud

4. Coste real de la transición a VPS

El coste del VPS en sí raramente es el problema. Un VPS con las características equivalentes a un plan de hosting compartido de gama media (2 vCPU, 4 GB RAM, 80 GB SSD) en proveedores como Hetzner, OVHcloud o Vultr cuesta entre 10 y 25 euros al mes. La diferencia es que tienes el servidor completo con control total sobre la configuración. Hetzner en particular tiene centros de datos en Alemania y Finlandia, con cumplimiento RGPD verificable y precios muy competitivos para el segmento europeo.

El coste adicional real viene de la gestión. En hosting compartido el proveedor gestiona el servidor: actualizaciones de seguridad del sistema operativo, configuración del servidor web, backups básicos. En un VPS propio, alguien tiene que hacer eso. Las opciones son:

• VPS no gestionado: solo el hardware virtual. Tú (o tu equipo IT) gestiona todo. Coste más bajo, mayor responsabilidad.
• VPS gestionado: el proveedor gestiona el sistema operativo, actualizaciones y backups. Coste 20-40 euros adicionales al mes. Opciones: Cloudways, DigitalOcean Managed Hosting, Kinsta (para WordPress).
• VPS con proveedor IT externo: un proveedor de mantenimiento informático gestiona el servidor mensualmente. Coste 40-100 euros adicionales al mes, pero con SLA de respuesta y conocimiento de tu infraestructura específica.

Para pymes sin equipo IT interno, la opción más sensata suele ser un VPS con proveedor IT externo que lo gestione: pagas 40-130 euros al mes en total (VPS + gestión), pero tienes el aislamiento y el control que necesitas sin el trabajo de administración del servidor. Comparado con el riesgo de una sanción RGPD por incidente en hosting compartido con datos sensibles, o con el coste de recuperación de un incidente de seguridad, el diferencial de coste es menor de lo que parece. El artículo sobre servidor físico vs cloud para pymes complementa este análisis con el factor de amortización a tres años.

5. El factor RGPD y los contratos de tratamiento

Con cualquier proveedor de hosting que procese datos personales de tus clientes o usuarios, necesitas un contrato de tratamiento de datos (DPA, Data Processing Agreement). Este requisito aplica independientemente de si usas hosting compartido, VPS o cloud: en todos los casos el proveedor actúa como encargado del tratamiento de datos personales que pasan por sus servidores.

Los grandes proveedores de hosting compartido ofrecen DPA, habitualmente como cláusulas en sus condiciones generales o como documento específico bajo solicitud. Los proveedores cloud (AWS, Azure, Google Cloud) tienen el DPA directamente disponible en el panel de administración y es uno de los documentos más claros y detallados del mercado. Con proveedores más pequeños o especializados, puede ser necesario solicitarlo explícitamente y verificar que cumple los requisitos del RGPD.

La ubicación de los servidores importa bajo el RGPD. Datos de ciudadanos europeos procesados en servidores fuera de la UE requieren salvaguardas adecuadas: Cláusulas Contractuales Tipo (CCT), Normas Corporativas Vinculantes, o transferencia a países con decisión de adecuación. AWS, Azure y Google Cloud tienen regiones europeas (Frankfurt, Irlanda, Madrid, Amsterdam, París) y ofrecen la garantía contractual de que los datos no salen de la UE si eliges esas regiones. Hetzner y OVHcloud tienen infraestructura 100% europea por defecto.

Un riesgo no evidente: algunas soluciones de CDN (redes de distribución de contenido) que se añaden a cualquier tipo de hosting enrutan el tráfico por servidores en Estados Unidos o en países sin decisión de adecuación. Si usas Cloudflare, Fastly o similares, verifica que el plan contratado permite configurar las rutas de red para mantener el tráfico en la UE, o que el DPA del proveedor CDN cubre adecuadamente estas transferencias. Para entender los riesgos RGPD más comunes en pymes, el correo electrónico tiene una problemática similar con los archivos adjuntos que se almacenan en servidores fuera de la UE.

6. Caso real: un despacho notarial con WordPress en hosting compartido

Un despacho notarial de Bilbao con presencia online desde 2018 usaba un plan de hosting compartido de un proveedor español para su web corporativa. En 2022 añadieron un formulario de solicitud de cita que recogía nombre, NIF y descripción del asunto a tratar. El formulario enviaba los datos por correo y los almacenaba en una base de datos del hosting.

En una revisión de compliance RGPD previa a una inspección sectorial, el asesor detectó tres problemas: el servidor de hosting era de un proveedor con servidores en Estados Unidos sin DPA firmado (el hosting español usaba infraestructura de Amazon con condiciones genéricas), no había logs de acceso a los formularios almacenados (el hosting compartido no exponía logs del servidor web), y el aislamiento del servidor era insuficiente para datos con el matiz de confidencialidad de asuntos notariales.

La solución fue migrar la web a un VPS en Hetzner (Alemania), con servidor web gestionado por el proveedor IT externo del despacho, DPA firmado con Hetzner (disponible directamente en su panel), logs de acceso habilitados y almacenados durante 12 meses, y un WAF básico configurado en el servidor. El coste del cambio fue una migración de cuatro horas más 22 euros adicionales al mes de VPS frente al hosting compartido anterior. El formulario también se revisó para recoger solo los datos mínimos necesarios, con aviso de privacidad correcto.

Si necesitas una auditoría de tu situación actual de hosting y datos, la revisión de los contratos con proveedores de hosting, los DPA firmados y el inventario de datos tratados es el primer paso antes de cualquier decisión técnica. Los servicios de migración y gestión de servidores cloud pueden ejecutar la transición minimizando el tiempo de interrupción.

7. Cuándo el hosting compartido sigue siendo correcto

Para equilibrar el análisis: el hosting compartido es la solución correcta para muchos casos de uso habituales en pymes. No hay que migrarlo todo a VPS por defecto.

Los casos donde el hosting compartido sigue siendo adecuado: web corporativa de presentación sin formularios que recojan datos personales más allá de nombre y correo de contacto, blog corporativo de contenido sin área privada ni cuentas de usuario, landings pages de campañas de marketing con formulario que integra directamente con un CRM cloud (los datos nunca se almacenan en el servidor de hosting).

La evaluación correcta es: ¿qué datos maneja el servidor de hosting y qué obligaciones RGPD derivan de ello? Si la respuesta es "solo el log de visitas anónimas y el caché de la web estática", el hosting compartido es correcto y económicamente sensato. Si la respuesta incluye datos de identificación de personas, historial de transacciones o cualquier dato que requiera registro de actividades de tratamiento, hay que revisar si el hosting compartido ofrece el nivel de control necesario.

Por dónde empezar mañana

1. Haz un inventario de los datos que maneja tu servidor de hosting: qué formularios almacenan datos en la base de datos del hosting, qué aplicaciones tiene instaladas y qué datos procesan, si hay cuentas de usuario con acceso privado. Este inventario define si el hosting actual es adecuado o hay que revisar la situación.
2. Verifica si tienes DPA firmado con tu proveedor de hosting: busca en las condiciones del servicio o solicita el documento explícitamente. Si no existe, estás en incumplimiento del RGPD independientemente del tipo de servidor. Muchos proveedores lo ofrecen pero hay que solicitarlo.
3. Consulta la ubicación de los servidores de tu proveedor: la mayoría de paneles de hosting muestran la región del servidor. Si está fuera de la UE, verifica que el DPA cubre esa transferencia con las salvaguardas adecuadas (CCT o decisión de adecuación).

Preguntas frecuentes