El almacenamiento de datos en la nube por medio de servicios que recogen y almacenan información relevante de muchas fuentes distintas de todo el mundo son un objetivo muy interesante para cualquier atacante, desde el estudiante que quiere copiar el trabajo de clase de un compañero hasta agencias nacionales de inteligencia.
Por otro lado, junto al avance de las tecnologías de almacenamiento de datos en la nube, han aparecido nuevas vulnerabilidades y amenazas de seguridad, que pueden ser aprovechadas por los atacantes y que, de materializarse, pondrían en riesgo los datos de sus usuarios y la credibilidad del proveedor. Algunas de estas amenazas se describen en este artículo.
Amenazas de seguridad para el almacenamiento de datos en la nube
En el presente artículo, se introducen algunas de las amenazas a las que se enfrentan los productos de almacenamiento de datos en la nube, descritas principalmente en el trabajo realizado por la Cloud Security Alliance (CSA), conocido como The Notorious Nine Cloud: Computing Top Threats, así como en otros trabajos e informes de otras organizaciones. Las amenazas son:
Para cada una de las amenazas citadas, se dará una pequeña descripción, indicando la fuente de la que se ha tomado y su impacto sobre la seguridad y privacidad de los datos en términos de las dimensiones de confidencialidad, autenticación, disponibilidad e integridad de la información.
Violación de datos
La violación de datos puede definirse como la violación de la seguridad en la que se copian, transmiten, visualizan, roban, destruyen, alteran o usan de forma no autorizada datos sensibles, protegidos o confidenciales, los cuales pueden estar almacenados, transmitiendo o ser procesados de cualquier otra forma.
Ejemplos recientes de violaciones de datos pueden ser: el ataque contra Apple iCloud en 2014, conocido como Celebrity Photo Leak y que puso al descubierto imágenes íntimas de algunos personajes de la farándula, o el que se produjo contra la compañía Anthem en 2015, que permitió a los atacantes el acceso a datos de salud de millones de sus clientes norteamericanos.
Pérdida de datos
La pérdida de datos puede definirse como la destrucción de la información, de forma intencionada (por ejemplo, un ataque terrorista) o accidental, que será permanente a menos que el proveedor del servicio haya implementado medidas eficientes de replicación, backup y restauración de datos. También se considera pérdida de datos el caso en que un usuario pierde u olvida las claves con las que cifró su información antes de subirla a la nube, ya que posteriormente, no podrá descifrar ni recuperar sus datos.
Un caso se produjo en agosto de 2015 cuando una tormenta eléctrica tumbó un centro de datos de Google en Bélgica, lo que supuso la pérdida momentánea de datos para una parte de sus usuarios europeos. Posteriormente, los datos pudieron ser recuperados gracias a las copias que Google dispone en otros centros. Sin embargo, cerca del 0.000001% de información se ha perdido permanentemente.
Secuestro de cuenta o servicio
Si un atacante es capaz de hacerse con las credenciales de un usuario o proveedor (mediante phishing, ingeniería social, eavesdropping en una WiFi pública o aprovechando vulnerabilidades del software), podrá espiar sus actividades y transacciones, violar sus datos, devolver información falsa, redirigir las peticiones a sitios maliciosos y usar la potencia de la nube para lanzar nuevos ataques o almacenar información ilícita, entre otros.
Un ejemplo lo tenemos en el ataque que se lanzó contra Ashley Madison en 2015, donde los atacantes fueron capaces de descifrar la contraseña de millones de cuentas de usuarios repartidos por todo el mundo. Dado que muchas personas usan el mismo nombre de usuario y contraseña para la mayoría de sus cuentas, sólo es cuestión de tiempo que algunos atacantes comiencen a usarlas para secuestrar y acceder a cuentas y servicios de todo el planeta.
Interfaces y APIs de gestión inseguras
Los proveedores de almacenamiento de datos en la nube exponen y proporcionan un conjunto de interfaces y API para que sus clientes puedan gestionar e interactuar con sus servicios y recursos. En muchos casos, la seguridad y disponibilidad del servicio depende de su seguridad y de cómo se usan para implementar soluciones a medida.
Una mala implementación puede exponer un conjunto de vulnerabilidades, las cuales pondrán en riesgo los datos almacenados por los diferentes clientes del servicio, dado que muchos procesos de seguridad (autenticación, control de acceso, cifrado, etc.) se realizan a través de éstas. Por tanto, es importante que este conjunto de herramientas e interfaces se diseñen de forma segura, para minimizar los riesgos de seguridad. Ya que las API e interfaces son accesibles desde cualquier lugar en Internet, un atacante podría usarlas para comprometer la seguridad de los datos de los usuarios del servicio.
Denegación de Servicio – DoS y DDoS
Un ataque de DoS o DDoS puede impedir a los usuarios legítimos del servicio acceder a sus datos, mediante el uso de técnicas que consumen recursos de los sistemas (procesador, memoria, espacio de disco, etc.) o del ancho de banda de la red del proveedor.
Personal interno malicioso
El personal interno malicioso de una organización puede definirse como un empleado, ex empleado, contratista u otro socio comercial, que tiene o ha tenido autorización para acceder a la red, los sistemas o los datos de una organización e intencionadamente abusa de sus privilegios de acceso, afectando negativamente a la confidencialidad, integridad o disponibilidad de la información.
A este respecto, un estudio realizado por Symantec en 2013 concluye que aproximadamente la mitad de los empleados que perdieron sus puestos de trabajo o los dejaron voluntariamente mantuvo en su poder datos corporativos confidenciales y un 40% pensaba usarlos en sus nuevas empresas, lo que significa que una parte de la propiedad intelectual de las organizaciones cae en manos de sus competidores.
Uno de los ejemplos más conocidos de personal interno malicioso para una organización es el caso Snowden. Antiguo trabajador de la Central Intelligence Agency (CIA) y la National Security Agency (NSA), en 2013 filtró documentos confidenciales, clasificados como de alto secreto por las autorida estadounidenses, a importantes publicaciones anglosajonas.
Fallas en la tecnología de compartir
Cualquier vulnerabilidad en los diferentes sistemas que gestionan compartir la tecnología en la nube, como puede ser el hypervisor, puede significar una violación o pérdida de los datos almacenados de sus usuarios, además de comprometer al sistema cloud por completo.
Por ejemplo, en 2012 un fallo en el hypervisor en la plataforma Xen, permitió a los atacantes obtener derechos de administración del sistema y así ejecutar código arbitrario o acceder a cualquier cuenta de usuario y sus datos.
Software vulnerable
En la nube, cualquier vulnerabilidad en el software puede suponer un gran impacto para la información almacenada en sus sistemas.
Por ejemplo, si un proveedor ofrece un cliente para el acceso a su servicio de almacenamiento de datos en la nube vulnerable a Cross-Site Scripting o SQL Injection, un ataque podría provocar una violación de los datos de sus usuarios.
Un ejemplo de vulnerabilidad en el software le proporciona una actualización del cliente de Dropbox en 2011, la cual aparentemente permitía acceder a una cuenta de Dropbox sin la necesidad de introducir una contraseña válida, lo que hacía posible que cualquiera pudiera entrar en la cuenta de otros usuarios y comprometer así sus datos almacenados.
Cumplimiento de la legislación vigente
Los usuarios, en última instancia, son responsables de la seguridad e integridad de sus datos, aunque se encuentren gestionados por un proveedor de almacenamiento de datos en la nube, siendo por tanto responsables del cumplimiento de la legislación aplicable en materia de protección de datos.
Debe tenerse en cuenta que el proveedor del servicio puede tener sus centros de datos repartidos por diferentes países, con lo que la jurisdicción de cada uno podrá tener un impacto significativo a nivel de seguridad y privacidad de los datos.
Por ejemplo, en el caso de que un juez estadounidense dictamine requerir un disco duro con datos personales para su inspección, perteneciente a un centro de datos de un proveedor de almacenamiento de datos en la nube, ¿qué ocurre si contiene datos personales recogidos en España y protegidos por la LOPD? Existen tratados internacionales para estos casos, como el Marco de Puerto Seguro entre la UE y EE.UU que fue invalidado el 6 de octubre de 2015 por la Corte Europea de Justicia, amenazando con que las transmisiones de datos personales a proveedores localizados en EE.UU puedan ser suspendidas en España y el resto de la UE en un futuro.
Ataques a la red
Puesto que los servicios de almacenamiento de datos en la nube se consumen a través de Internet, existe un riesgo importante de sufrir diferentes tipos de ataques, como pueden ser, entre otros, el análisis de tráfico de red, eavesdropping, spoofing, modificación de datos en tránsito, pharming, man-in-the middle, etc.
Robo o pérdida de dispositivos
Hoy día una gran mayoría de las personas llevan un dispositivo móvil en el bolsillo con un cliente de almacenamiento de datos en la nube instalado (Google Drive, OneDrive, CloudMe, Yandex.Disk, etc.). El dispositivo puede contener certificados digitales, gestores de claves, etc., que aseguren el acceso a diferentes tipos de aplicaciones y servicios, entre ellos a los clientes de almacenamiento, que suelen estar conectados constantemente y en sincronización. Si cae en malas manos, significa que tanto las credenciales como los datos, pueden ser robados por un atacante: accediendo directamente a través de los clientes del servicio, obteniendo las credenciales para posteriormente entrar a la cuenta, etc.
Un ejemplo de robo con consecuencias para la privacidad de los datos ocurrió en 2014, cuando fue robado de su vehículo el ordenador de un empleado del centro Northwestern Memorial HealthCare de EE.UU., que contenía datos confidenciales de casi tres mil usuarios y pacientes.
Fuente: Andrés Galmés Hernández, Seguridad de las tecnologías de la información y comunicaciones, Universitat Oberta de Catalunya.
Adaptado por la División Consultoría de EvaluandoCloud.com