Mariano Paradell, Director General de Grupo Paradell Consultores
A pesar del gran nivel de implantación del cloud computing en la informática de gran consumo (redes sociales, webmail, etc.), los responsables de seguridad informática se plantean si es seguro confiar en él. Este tipo de computación supone poner en manos de terceros datos confidenciales que, de hacerse públicos, podrían provocar un daño irreparable en las empresas u organizaciones que lo utilizan.
El uso del cloud computing es cada vez más extendido a nivel empresarial. Por supuesto supone múltiples ventajas: fiabilidad, disponibilidad, ahorro de costes, etc. Pero sin duda es inevitable pensar en la poca seguridad de los datos almacenados “en la nube”.
Los peligros son patentes. Hace unos meses un equipo de hackers accedió a una página web alojada en los servidores de Amazon e instalaron en ella una infraestructura ilegal de comando y control. Fue detectado y erradicado en la Elastic Compute Cloud (EC2) de Amazon por parte de sus técnicos de seguridad. Otro equipo fue capaz de ejecutar comandos a una máquina física dentro de una máquina virtual y así realizar un “cross-VM attack”. Los detalles no han sido publicados.
El mayor proveedor de cloud computing no es ni Google, ni Microsoft ni Amazon, sino una organización criminal que controla el Gusano Conficker y que alquila sus servicios a nivel mundial para el envío de spam, robar información personal, realizar ataques de denegación de servicio, etc.
Las organizaciones criminales ya están planeando como atacar los servicios de Cloud Computing. Por ejemplo algunos hackers están estudiando la posibilidad de instalar troyanos en Blackberrys para espiar la actividad de sus usuarios. Además, existe la posibilidad de crackear una contraseña de 10 caracteres por unos 2.000 dólares mediante la utilización de este tipo de computación en la nube, una de 12 caracteres costaría 1,5 millones de dólares, mientras que crackear una contraseña WPA cuesta 34 dólares.
Grupo Paradell advierte de la existencia de diversas amenazas de seguridad en el cloud computing a nivel empresarial: personas maliciosas dentro de la organización (con acceso a información privilegiada), vulnerabilidades de tecnología compartida, pérdida y/o fuga de datos, secuestro de cuentas (usuario y contraseña), servicios (suplantación de usuario) o tráfico, entre otras.
Para evitar los riesgos asociados a esta nueva tecnología, Grupo Paradell recomienda realizar procesos de desarrollo de software seguro (SDLC); ejecutar la securización de las comunicaciones utilizando tecnologías como IPv6, certificados, etc.; asegurar una correcta gestión y protección de los usuarios/contraseñas; y plasmar contractualmente la posibilidad de realización de auditorías de Hacking ético para garantizar la integridad de los sistemas y/o aplicaciones.
Hay que tener en cuenta también ciertos aspectos legales, como la ubicación final del servicio y por lo tanto de sus datos, que puede estar perfectamente alojada fuera del territorio nacional y las implicaciones legales que ello supone.
En resumen, el cloud computing abre nuevas oportunidades a las empresas, pero también ofrece nuevas posibilidades las organizaciones criminales.
