. Seguridad en la nube – SEGINTER

Por Arturo García Hernández

La nube, informáticamente hablando, es todo aquel lugar en Internet que sirve para proporcionar algún tipo de servicio, el cual potencialmente puede ser accedido desde cualquier lugar y en cualquier momento. Ciertamente la idea de la omnipresencia de la información tiene muchos beneficios, pero también algunos inconvenientes

Cuánta verdad encierra aquella frase que nos dice: “Si quieres la rosa, tienes que aceptar la espina…”. En este artículo les deseo presentar lo bueno, lo malo y lo feo de la nube. Espero les sea de interés y sobretodo de apoyo para sus viajes al cielo.

Lo bueno
Resulta innegable que el cómputo en la nube (cloud computing) presenta claros beneficios que lo hacen muy atractivo; citemos algunos:

Acceso a la información. Posiblemente el mayor y más claro de los beneficios: información accesible desde cualquier lugar y en cualquier momento.

Costo. Solamente se paga por lo que consumes (pay-as-you-go), menor inversión en el licenciamiento y menores gastos de mantenimiento.

Escalabilidad. Si sus necesidades crecen, los servicios en la nube también. Y ¿si se reducen? También la nube se achica.

Ahorro de recursos. No hay necesidad de comprar computadoras cada vez más potentes, la nube puede brindar más recursos de procesamiento y memoria cuando se requiera.

Flexibilidad. ¿Windows? ¿Linux? ¿Unix? ¿Mac? Puede encontrar una multitud de sistemas operativos, versiones, aplicaciones, etc.

Facilidad de desarrollo. El nuevo software puede operar en cuestión de minutos, ya no es necesario gastar recursos en múltiples ambientes; la nube puede darlos.

Amigable con el medio ambiente. Matemáticas simples: menos computadoras igual a menor emisiones de carbono.

Respaldo y continuidad del negocio. Dado que la información está almacenada en la nube, es poco probable que haya pérdida de la misma. ¿Fallas locales? La nube puede ser vista desde cualquier lugar.

Simplificación de TI. El servicio en la nube es responsable de mantener al día su servicio de TI.

Parchado automático. Las actualizaciones, parchados y arreglos (hot fixes) son suministrados por el servicio en la nube.

Colaboración. Los empleados puede revisar una misma versión fomentando la colaboración. Olvidemos los archivos anexos en correos electrónicos y el control manual de versiones.

Lo malo
Como todo en la vida, la perfección no existe; el cómputo en la nube tiene sus negritos en el arroz. Desde mi punto de vista, su principal desventaja radica en el nivel de seguridad que presenta este esquema. Antes de que se me abalancen los amantes de la nube, quiero decir que considero que su seguridad ha mejorado notablemente; sin embargo, aún persisten algunas debilidades de las que debemos estar conscientes.
Por ejemplo, en 2016 puedo señalar cuando menos dos o tres incidentes mensuales de seguridad de alto impacto en proveedores que dan servicio en la nube. El incidente principal es el robo de información, desde datos personales y contraseñas, hasta cualquier documento almacenado en la nube. Generalmente este tipo de ciberincidente no distingue nacionalidad, credo, sexo, creencia religiosa, grupo étnico, tamaño del vendedor, prestigio, etc. Las cinco amenazas presentes principalmente son:

1 Usuarios. Ya sea porque no les importa o simplemente son ignorantes. Dan clic a cualquier liga que se les presenta, ejecutan cualquier programa o simplemente utilizan la misma contraseña para diferentes servicios. Casi siempre es el inicio de un hackeo.

2 Personal interno (malicious insiders). Empleados con credenciales, conocimiento y poca ética; ya tienen acceso a la información, solamente la fugan para obtener algún provecho.

3 Fallas en aplicaciones de software. Lamentablemente los programas pueden contener errores y éstos se pueden aprovechar para realizar intrusiones o hackeos. Entre más complicado es el ambiente en el que opera el programa, más vectores de ataque existen.

4 Autenticación. La autenticación es probar que “yo soy quien digo ser”. Generalmente en la nube el mecanismo de autenticación preferido es la contraseña. Teniendo una sola contraseña tienes acceso a las llaves del mundo. ¿Se puede mejorar? Claro, están los biométricos o los accesos por token. Lamentablemente, muchas veces el usuario desea entrar lo más rápido a su cuenta. Recuerden que facilidad y seguridad están en extremos opuestos en la balanza.

5 Ataques de negación de servicio (DoS). Este tipo de ataques busca dejar inutilizado el servicio en la nube; éste va en franco crecimiento.

Es importante mencionar que muy posiblemente las empresas involucradas en los incidentes publicados no fueron culpables directamente del hackeo o incurrieron en alguna falla de seguridad. Sin embargo, engrosaron la lista de incidentes, y es mi deber alertarlos sobre este tipo de problemas.

Lo feo 
Lo feo de la nube lo reservé para algunas cuestiones que a mi parecer no se resolverán en el futuro cercano. Bajo mi perspectiva, tomarán algunos años antes de que veamos algún avance concreto en los siguientes conceptos:

A. Privacidad. Esta es una de las mayores cuestiones que preocupan a propios y extraños cuando saben que su información será almacenada en la nube. Si bien, existen acuerdos de confidencialidad y no divulgación de información, los hackers claramente no los van a respetar y de ahí se derivan muchos de los incidentes de seguridad. Asimismo, eventos de espionaje como el escándalo publicado a raíz de las declaraciones de Edward Snowden son una muestra contundente de que existirá siempre el conflicto entre privacidad y seguridad.

B. Derecho al olvido. Lo que ocurre en la nube, se queda en la nube. El derecho al olvido es el borrado del historial en Internet de lo que decimos, subimos, bajamos o hacemos en la nube. No es un derecho natural, hay que solicitarlo. Por cierto, una vez que lo conseguimos, no necesariamente será efectivo, posiblemente haya copias alrededor del mundo de eso que queremos olvidar.

C. Falta de estandarización. Imagínese que usted utiliza algún servicio en la nube, pero desea cambiar de proveedor. Importar los datos de uno a otro posiblemente se convierta en una pesadilla. La falta de estandarización en los esquemas de almacenamiento y uso de servicios en la nube pueden ocasionar una dependencia poco sana. Existen iniciativas para la estandarización, pero considero que tomarán algunos años para concretarse en los servicios actuales.

D. Marco legal internacional. Un pequeño trabalenguas legal para mis amigos abogados: usted adquirió un servicio en la nube con un proveedor de EUA pero la información está almacenada en alguna computadora del mundo (no necesariamente en ese país). Asimismo tenemos un grupo de hackers chinos que atacan a esa empresa por medio de computadoras esclavas que se ubican en Brasil. Derivado del hackeo, hay robo de datos que se publican en un sitio web de Rusia. Preguntas: ¿Qué ley aplica? ¿Se puede realizar cómputo forense para extraer evidencia? ¿Se podrá extraditar al culpable? En fin, creo que no necesito decir más: el marco legal internacional para el cómputo en la nube está en pañales.

El futuro de la nube 
Para bien o para mal, el cómputo en la nube llegó para quedarse. La tendencia del mercado nos señala claramente que la tendencia es que existan cada vez más servicios en la nube: infraestructura, software y plataformas. Cientos de empresas, miles de trabajos. De hecho, muchos vendedores de programas ya están ofreciendo sus programas en la nube (Software as a Service –SaaS–). Para muestra basta un botón: ¿le dice algo Microsoft Office 365?

Fuente: Seguridad de América

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *