Los sistemas de información de empresas y organizaciones están cada vez más diseñados utilizando servicios web que permiten que diferentes aplicaciones escritas en diferentes lenguajes de programación se comuniquen. Estos sistemas o algunas partes de ellos suelen ser externalizados en la nube, primero para aprovechar los beneficios de las plataformas en la nube (por ejemplo, escalabilidad) y también para reducir los costos operativos de las empresas. Sin embargo, los servicios web, al igual que las plataformas en la nube, pueden ser el objetivo de ataques que alteren su seguridad, y la seguridad de los servicios web no está completamente abordada. Las soluciones propuestas en la literatura a veces son específicas para ciertos tipos de ataques y no pueden garantizar la tolerancia a los ataques de los servicios web. La tolerancia a los ataques puede definirse como la capacidad de un sistema para funcionar correctamente con una degradación mínima del rendimiento, incluso si se detecta la presencia de un ataque. Por lo tanto, sostenemos que, para lograr la tolerancia a los ataques, se debe detectar los ataques mediante un monitoreo continuo y mitigar los efectos de estos ataques mediante mecanismos de reacción confiables. Con este fin, en este artículo se propone un marco de tolerancia a los ataques. Este marco incluye el análisis de riesgos de los ataques y se basa en técnicas de diversificación y reflexión de software. Aplicamos este marco a aplicaciones en la nube que se basan en servicios web. Después de describir los fundamentos básicos de este enfoque, expresamos dichas aplicaciones en la nube como coreografías de servicios web de acuerdo con su naturaleza distribuida. El marco ha sido validado a través de un sistema de votación electrónica. Los resultados de estos experimentos muestran la capacidad del marco para garantizar la tolerancia a los ataques requerida de las aplicaciones en la nube.