Costos Ocultos de AWS
que Están Inflando tu Factura
(Y Cómo Evitarlos)
Entre un 15% y 30% de tu factura de AWS puede provenir de costos que nadie en tu equipo recuerda haber contratado. NAT Gateway, ECR, EBS, Data Transfer. Centavos por hora que se convierten en cientos de dólares al mes.
Abrís la factura de AWS del mes y el número es más alto de lo que esperabas. Otra vez. Mirás el breakdown y lo obvio está ahí: EC2, RDS, tal vez EKS. Pero hay una porción significativa que se reparte entre conceptos que nadie recuerda haber contratado: Data Transfer, NAT Gateway Processing, ECR Storage, CloudWatch Logs Ingestion, EBS Snapshots.
Son centavos por hora o por GB. Parecen insignificantes de forma aislada. Pero sumados a lo largo de un mes, en un cluster con decenas de servicios, estos costos “ocultos” pueden representar entre un 15% y 30% de tu factura total — a veces más.
El problema no es que AWS te esté cobrando de más. El problema es que la mayoría de estos costos son completamente evitables con configuraciones que deberían existir desde el día uno.
NAT Gateway: el peaje silencioso de tu red
AWS cobra el NAT Gateway de dos formas: ~USD 0.045/hora por funcionamiento (unos USD 32/mes por NAT Gateway) y ~USD 0.045/GB procesado. La tarifa por hora es predecible. La por GB es donde la sorpresa aparece.
En un cluster de Kubernetes, cada pull de imagen Docker desde ECR, cada upload de logs a CloudWatch, cada lectura/escritura a S3 pasa por el NAT Gateway y paga peaje.
Un VPC Endpoint crea una conexión directa entre tu VPC y el servicio de AWS sin pasar por internet — y por lo tanto, sin pagar el peaje del NAT Gateway.
- S3 Gateway Endpoint — Gratuito, sin costo por hora ni por GB. En un cluster con Loki, backups y assets, este solo endpoint puede ahorrar cientos de dólares.
- ECR Endpoints — Cada pull de imagen Docker deja de pagar NAT. Con 50 pods que se recrean frecuentemente, el ahorro es considerable.
- CloudWatch, SQS, SNS, DynamoDB, STS — Interface Endpoints (~USD 7/mes cada uno) cuyo ahorro en NAT suele ser muy superior a su costo.
La ironía: configurar VPC Endpoints toma minutos y el ahorro es inmediato. La mayoría no los implementa porque no saben que ese tráfico está pagando peaje.
ECR sin lifecycle policy: pagando por imágenes que nadie usa
Si tu equipo despliega 3 veces por día y tiene 10 servicios, son 30 imágenes nuevas por día. En un año, más de 10.000 imágenes. ECR cobra USD 0.10/GB al mes. Con miles de imágenes acumuladas, el costo crece silenciosamente mes a mes.
Una regla simple: mantené las últimas 10 imágenes tagueadas de cada repositorio y eliminá el resto automáticamente. También eliminá imágenes sin tag después de 1 día e imágenes con más de 30 días de antigüedad. Toma minutos configurar y evita crecimiento indefinido.
EBS Snapshots y volúmenes huérfanos: el storage fantasma
Cada vez que eliminás un nodo o borrás un PersistentVolume en Kubernetes, el volumen EBS puede quedar atrás según el reclaimPolicy. Estos volúmenes siguen existiendo y cobrando sin estar adjuntos a nada. Lo mismo pasa con snapshots diarios sin política de retención: después de un año, tenés 365 snapshots de cada volumen, todos pagando storage.
- Asegurate de que el
reclaimPolicyde tus PersistentVolumes sea Delete (no Retain) para volúmenes que no necesitás conservar. - Revisá periódicamente volúmenes en estado “Available” — no adjuntos a ninguna instancia. Son candidatos a eliminar.
- Usá AWS Data Lifecycle Manager (DLM) para automatizar creación y eliminación de snapshots con retención definida.
Data Transfer entre Availability Zones: el costo de la resiliencia mal configurada
AWS cobra USD 0.01/GB por tráfico entre AZs en la misma región. Si tu aplicación hace 10.000 requests/minuto con payloads de 10 KB promedio a un servicio en otra AZ, son ~4 TB de tráfico cross-AZ al mes — unos USD 40 solo por esa comunicación. Multiplicalo por cada par de servicios.
- Topology-aware routing en Kubernetes — prefiere pods en la misma AZ cuando es posible, sin sacrificar disponibilidad.
- Colocar bases de datos y caches en la misma AZ que la mayoría de los pods que los consumen.
- VPC Flow Logs para monitorear el tráfico inter-AZ e identificar qué pares de servicios generan más tráfico cross-AZ.
CloudWatch Logs: pagando por logs que nadie lee
CloudWatch cobra USD 0.50/GB de ingesta y USD 0.03/GB al mes de almacenamiento. Un servicio con 10 pods que genera 1 KB por request a 100 req/seg produce ~260 GB de logs al mes. Solo la ingesta cuesta USD 130/mes — por un solo servicio.
- Asegurate de que el nivel de logging en producción sea INFO o WARNING, nunca DEBUG.
- No usés CloudWatch como destino principal. Loki sobre S3 reduce el costo de almacenamiento de USD 0.50/GB a centavos/GB con la misma capacidad de búsqueda.
- Configurá retención de logs en CloudWatch — por defecto retiene para siempre. 7, 14 o 30 días para logs no críticos libera costo significativo.
Elastic IPs y Load Balancers sin uso: recursos zombies
Cada Elastic IP no asociada cobra USD 0.005/hora (~USD 3.60/mes). Los Load Balancers (ALB/NLB) cuestan USD 16-22/mes base más costo por capacidad. De entornos eliminados, branches de feature, experimentos sin limpiar — cada uno cobra silenciosamente.
- Auditorías periódicas: Elastic IPs no asociadas, Load Balancers sin targets, Security Groups vacíos, ENIs detachadas. AWS no te avisa.
- Tags de ownership: si cada recurso tiene tag de quién lo creó y para qué, es fácil identificar qué eliminar sin miedo.
- Infrastructure as Code: si toda la infra está en Terraform o CloudFormation, los recursos zombies son fáciles de detectar — si no está en el código, no debería existir.
Transferencia de datos hacia internet: el costo de cada byte que sale
AWS cobra USD 0.09/GB de datos que salen a internet. Un servicio API que devuelve 50 KB por response y maneja 1 millón de requests diarios genera ~1.5 TB de egress al mes — unos USD 135 solo en data transfer.
- CloudFront como CDN — cachea en edge locations y reduce drásticamente el egress. Para S3, elimina completamente el costo de egress.
- Compresión gzip o brotli — puede reducir el tamaño de responses entre 60% y 80%. Menos bytes = menos costo. Mejor relación esfuerzo/impacto.
- Revisá qué servicios generan más egress: endpoints con payloads enormes que podrían paginar, assets estáticos fuera de CDN, logs sin comprimir hacia servicios externos.
| Costo oculto | Estimación mensual |
|---|---|
| NAT Gateway processing (sin VPC Endpoints) | USD 50–200 |
| ECR storage sin lifecycle policy | USD 20–80 |
| EBS snapshots y volúmenes huérfanos | USD 30–100 |
| Data transfer inter-AZ | USD 20–60 |
| CloudWatch Logs ingesta y storage | USD 50–300 |
| Elastic IPs y LBs sin uso | USD 20–80 |
| Data transfer egress sin optimizar | USD 50–200 |
| Total potencial ahorro | USD 240–1.020 |
🎁 Yapa: VPN open source a una fracción del costo
AWS Client VPN cobra USD 0.10/hora por conexión activa. Con 10 personas conectadas 8hs/día, el costo ronda USD 200–300 mensuales solo por la VPN.
SleakOps implementa una solución basada en OpenVPN — completamente open source, corriendo dentro de tu propia infraestructura. Costo: el de la instancia donde corre, USD 10–15 al mes. Misma funcionalidad, misma seguridad, entre 10 y 20 veces más barato.
Tu factura de AWS no debería tener sorpresas
Con SleakOps, estas optimizaciones no son un paso adicional — son parte de cómo se construye la infraestructura desde el primer momento. VPC Endpoints, lifecycle policies, networking cross-AZ, Loki sobre S3, IaC completa.
Conocé SleakOps →