Cloud sí pero… ¿es seguro? Le propongo un juego… Parte 1

Hoy en día es habitual utilizar el término "trabajar en la nube" o "súbelo a la nube" o "descárgalo de la nube", pero ¿Qué es la nube?

Una definición formal es la de “la Nube son servicios que se brindan a través de Internet…”. Una definición más clara es la que doy a mis alumnos cuando los formo en ciberseguridad: “Una nube no es más que uno o varios ordenadores que os “prestan” (gratis o no) parte de sus recursos (Cpu, Memoria, almacenamiento en Disco Duro, etc…), para prestar un servicio que es el que se contrata”.

Lo que se contrata es un servicio pero lo que el usuario presupone que contrata (adelanto que es un supuesto totalmente erróneo) es un servicio que está securizado (securizar coloquialmente es tener los medios mínimos necesarios para evitar incidentes de seguridad de la información o en su caso subsanarlos en el menor tiempo e impacto posible).

No voy a definir las ventajas empresariales que se obtienen al trabajar en la nube, pues es un tema conocido por todos, pero sí de su “conscientemente olvidada falta de seguridad por parte de los proveedores de servicios”

Nube = Internet + Servicios + Recursos + ¿Seguridad y/o Privacidad?

Nota: Tenga en mente una simplificación del concepto de nube, suponiendo que es un ordenador potente con un disco duro de gran capacidad y con acceso internet (banda ancha) que brinda un servicio web consistente en poder subir y descargar archivos a sus clientes.

  • ¿Usted me puede asegurar que esos archivos que usted sube a esa “nube=ordenador de alguien” no son visualizados por nadie más que usted? 
  • ¿Nadie más hace copias de seguridad de los mismos a sin su consentimiento?
  • ¿Se ha leído usted ese contrato de 200 páginas en términos no inteligibles por personal sin conocimientos en materia legal y que a menudo está escrito en lengua no española?
  • ¿La información que sube es propiedad suya o desde que lo almacena en los servidores pasan a ser de ellos?
  • ¿La información es privada porque lo dicen ellos o porque efectivamente nadie más que usted puede acceder a la misma (o a sus copias de seguridad… la gran olvidada pues pensamos en los datos almacenados y no en las copias que se hacen y que vaya usted a saber dónde se almacenan y el uso que se le dan…)?
  • ¿Tiene usted constancia de que si borra un fichero, realmente se borra sin posibilidad de recuperación o simplemente ocultan el mismo para que usted no lo vea en su panel web dando la falsa apariencia de borrado?
  • ¿Puede asegurarme usted que las fotos que toma con su Smartphone, Tablet, o que almacena en el portátil no se “suben” automáticamente a la nube? ¿Controla usted lo que la nube sabe de usted?

Podría seguir haciendo preguntas “al aire” sin que me pueda asegurar rotundamente nada al respecto.

La nube por defecto debería está configurada para ser segura y privada. Es lo lógico y lo que se presupone. Pero lo real es que esa labor, a menudo muy complicada de ejecutar correctamente, recae en el usuario final y con ella la responsabilidad de los posibles incidentes.

Pongamos un ejemplo. Todo el mundo conoce la nube de Google donde se almacenan las fotografías y vídeos que usted hace desde sus dispositivos móviles ¿no? ¿Y si se utiliza es porque se espera que sea segura y privada? ¿No? ¿De verdad? ¿?¿?¿?¿?

Utilizando técnicas de hacking ético en buscadores y utilizando http://www.google.com… (Evidentemente por seguridad y privacidad de los afectados omitimos la instrucción a buscar y los enlaces de los afectados):

Lo que estoy buscando son álbumes de galerías de fotos y vídeos de personas que en su grandísima mayoría presupone que son privadas. 1.450.000 personas han expuesto su vida a quien quiera verla sin saberlo (aceptaremos que muchas de ellas la exponen con consentimiento… pero dudo que aquellas en las que se muestran con sus hijos o en celebraciones privadas sea para uso público e indiscriminado y no privado).

Conclusión: Nube sí, pero sabiendo que es un recurso inseguro, no privado y que está constantemente expuesto a que haya incidentes de seguridad. Y todo ello independientemente de si el servicio es de pago o gratuito. No hay relación directa entre seguridad y pago por servicio. Es un tema de conciencia e interés en la seguridad. En el caso de problemas, para la empresa que presta el servicio en la “nube” simplemente se catalogará como un incidente de seguridad pero para usted que lo sufre puede ser una grave injerencia/drama a su vida privada.

¿Tiene usted una empresa? ¿Usa la nube? Podemos extrapolar todas las fallas de seguridad expuestas anteriormente a la información empresarial almacenada agravando su alcance pues su problema pasa a ser el problema de todos los empleados, directivos, proveedores y clientes de su empresa con daños colaterales a usted.

En un siguiente artículo explicaré como securizar esos datos para que incluso teniendo brechas de seguridad los proveedores de servicios (tipo, Google Drive, iCloud, OneDrive o cualquier otro) nunca su información quedará expuesta.

Google Plus

Sobre el Autor

Amador Pérez Trujillo

Amador Pérez Trujillo

Consultor Internacional en Seguridad de la Información ha realizado trabajos en países como Rusia, Bulgaria, Reino Unido, Colombia, China y Canadá entre otros. Con 20 años y aún sin concluir sus estudios de Ingeniería Informática en la Universidad de La Laguna, le designan como máximo responsable de Sistemas, Telecomunicaciones y Nuevas Tecnologías en la empresa pública Gesplan S.A (Gestión y Planeamiento Territorial y Medioambiental, S.A), siendo la persona más joven en asumir un cargo de Alta Responsabilidad en una Administración Pública Canaria.

Desarrolló proyectos de modernización, optimización y securización de los sistemas informáticos en la entidad pública.

Con 25 años, en el año 2000,  funda New Vision SoftLan SL, Consultores en Seguridad de la Información.

Único Auditor Internacional para la Gestión de la Seguridad de la información de Canarias, forma parte del selecto y reducido grupo de auditores españoles aceptados por IRCA (Registro Internacional de Auditores Certificados).

Como Analista Forense Informático y Perito Judicial Informático ha realizado trabajos de recuperación y obtención de evidencias en casos judiciales tanto en la vía civil como penal, alguno de ellos de gran impacto en la sociedad.

Como Hacker Ético ha realizado pruebas de intrusión en infraestructuras críticas habiendo detectado y corregido vulnerabilidades en empresas de  sectores como el Energético, Financiero, Tributario, Sanitario, Transporte o Logística.

Miembro de la Asociación Nacional para el Fomento de la Seguridad de la Información. Miembro de IEEE (Institute of Electrical and Electronics Engineers). Miembro de la Asociación Nacional de Ciberseguridad y Pericia Tecnológica. Miembro de la Asociación Americana de Examinadores Forenses y Alta Pericia Tecnológica. Miembro de National Cyber Security Alliance (NCSA).

Es un comunicador habitual en medios de prensa local y nacional, foros de hacking y formador de seguridad de la información en empresas públicas y privadas.

Colabora dentro de la temática de Innovación y Tecnología.

Deja un comentario

Estás comentando como invitado.
He leído y acepto la Politica de privacidad y el Aviso legal.
Cajasietecontunegocio
Comprometidosconnuestragente

Suscríbete a nuestra Newsletter

¿Quién es el Responsable de tratamiento de sus datos? El responsable es Cajasiete, Caja Rural, S.C.C. Puede contactar con el Responsable de Protección de datos a través del correo electrónico dpo_cajasiete@cajasiete.com. ¿Con qué finalidad tratamos sus datos personales? Los datos facilitados serán utilizados para el envío periódico de nuestra newsletter, así como noticias e información de interés para el desarrollo y ayuda a negocios. No se tomarán decisiones automatizadas. Los datos personales facilitados se mantendrán hasta que revoque su consentimiento. ¿Cuál es la legitimación para el tratamiento de sus datos? La base legal para el tratamiento de los datos facilitados es su consentimiento prestado mediante la suscripción a la newsletter. ¿A qué destinatarios se comunicarán sus datos? Los datos únicamente se tratarán por el responsable y, no se realizarán cesiones de datos a terceros salvo obligación legal. No se prevén cesiones de datos a terceros países. ¿Cuáles son sus derechos cuando nos facilita sus datos?  Como titular de los datos usted tiene derecho a acceder, actualizar, rectificar y suprimir los datos, así como otros derechos, dirigiéndose a CAJASIETE en La dirección de correo electrónico dpo_cajasiete@cajasiete.com, acreditando su identidad.