Los archivos, por las nubes
La computación en la nube consiste en una plataforma virtual en la que se puede guardar cualquier tipo de archivo. Simplemente se carga el archivo que se desee desde el ordenador originario a esta plataforma, y así, todos los que tengan acceso a ella podrán ver y descargarse este archivo en todo momento, siempre que tengan una conexión a Internet. Naturalmente, este concepto implica compañías de telecomunicaciones que venden grandes espacios en sus servidores para todo tipo de demandas, desde particulares hasta empresas. Pero también incluye algo tan “sencillo” como un servicio de correo electrónico.
Cuando hablamos de servicios de nube de grandes dimensiones diseñados para empresas, donde se pueden guardar documentos delicados, empiezan a surgir preguntas incómodas. Por ejemplo: ¿cómo sabemos que la compañía de nuestro servidor de nube respeta las leyes de protección de datos para uestra empresa? ¿O cómo podemos tener la garantía de que este servicio protege nuestros datos de forma efectiva y con la última tecnología contra accesos indebidos o pérdidas?
Controles regulares, algo esencial
El experto en seguridad informática Tim Pierson tiene experiencia en el tema: su trabajo es intentar hackear las redes de grandes empresas para revelar las debilidades de su seguridad, y formar a sus empleados para evitar estas situaciones. En su opinión, los clientes que contratan un servicio de nube deberían tener derecho a llevar a cabo controles regulares en el espacio de almacenamiento de sus datos. Y aunque actualmente esto ya es una práctica habitual, hasta ahora no forma parte del contrato con la compañía proveedora, sino que el mismo cliente se los debe costear, cosa en la que Pierson no está de acuerdo.
Por eso, el experto cree que debería haber una forma más rápida y automática de llevar a cabo estos controles: “Me refiero a un script que hiciera eso: comprobar la adherencia del servicio a las leyes, su jurisdicción y todo lo que se desee. Cada vez que se ejecute este script, debería enviar de vuelta una confirmación de que todo está en orden, y de que mis datos se encuentran justo donde tienen que estar, y en ningún otro sitio”.
A la hora de contratar un servicio de nube, pues, la confianza en una compañía u otra es un elemento clave. Y, al contrario de lo que se pudiera pensar, a veces las compañías más grandes y populares no son las más fiables. Joshua Tiago, de la compañía de seguridad informática Cirosec, por ejemplo, demostró en la Conferencia de Tecnologías de la Información que tuvo lugar en Colonia el pasado mes de febrero que la mismísima Microsoft tenía un agujero en la seguridad de su servicio de nube.
Un controvertido experimento
A la hora de contratar un servicio de nube, pues, la confianza en una compañía u otra es un elemento clave. Y, al contrario de lo que se pudiera pensar, a veces las compañías más grandes y populares no son las más fiables. Joshua Tiago, de la compañía de seguridad informática Cirosec, por ejemplo, demostró en la Conferencia de Tecnologías de la Información que tuvo lugar en Colonia el pasado mes de febrero que la mismísima Microsoft tenía un agujero en la seguridad de su servicio de nube: “Abrí una cuenta regular en el servicio estándar de Microsoft para cualquier cliente, y abusé de su funcionalidad para llevar a cabo mi propósito”, explicó el experto.
Concretamente, Tiago se concentró en una aplicación que los usuarios podían desarrollar desde cualquier lugar a partir de un software común. Para ello, estos usuarios debían poder usar este software desde cualquier ordenador, y por tanto, se diseñó para funcionar en la nube. Y ahí encontró Tiago el agujero del sistema: cada vez que alguien utilizaba este programa desde su casa, exponía sus datos a la nube.
“Microsoft no pensó que alguien pudiera abusar de la funcionalidad de su servicio para insertar un código y hacerse con el sistema”, explica Tiago. Algo que él efectivamente hizo y que le permitió abrir una “puerta trasera” en el servidor. A través de una serie de desvíos, consiguió así acceder a los datos de los usuarios. Y aunque esto no era más que un experimento, en la vida real podría tratarse de un hacker con malas intenciones abusando de la plataforma de nube contratada por una empresa.
Por eso, el experto en seguridad y hacker aconseja que, a la hora de subir datos sensibles a la nube, seamos prudentes: “Debemos pensarnos dos veces si los datos que queremos subir son realmente los más adecuados para poner en la nube. Confiar en las compañías con nuestros datos más privados es un gran acto de fe y un asunto muy delicado”.
En conclusión, la regla para la nube es: cuanto menos, mejor.
Autor: Fabian Schmitdt / Lydia Aranda Barandiain
Editor: Pablo Kummetz