En este artículo se describen algunos aspectos relevantes a tener en cuenta para la seguridad del almacenamiento en la nube, dando como resultado una serie de requisitos destinados a mitigar el impacto de las amenazas sobre los datos de los usuarios, en términos de su confidencialidad autenticación, integridad y disponibilidad.
En los siguientes puntos podrán verse una descripción de cada uno de estos aspectos y los requisitos de seguridad que de ellos se derivan.
Seguridad del transporte
En los servicios en la nube, todas las comunicaciones se realizan a través de la red, tanto las que se llevan a cabo entre las aplicaciones cliente y el proveedor del servicio como entre los sistemas de almacenamiento del propio proveedor:
- Registro de nuevos usuarios, autenticación, copia y descarga de archivos.
- Sincronización entre dispositivos y entre los nodos del proveedor, etc.
Esto provoca que las comunicaciones de los servicios en la nube puedan ser objeto de ataques para conseguir, por ejemplo, el robo de credenciales de los usuarios y obtener o manipular el contenido de la información que se está transmitiendo.
Para mitigar el impacto sobre los datos de los usuarios, de los ataques contra el transporte de la información, será necesario asegurar las comunicaciones en términos de autenticidad, confidencialidad e integridad. Por tanto, de aquí pueden extraerse algunos de los requisitos de seguridad para el transporte de datos de los servicios de almacenamiento.
Confidencialidad e integridad de las comunicaciones
Mediante el uso de sistemas y protocolos criptográficos modernos y contrastados, como TLS en lugar de SSL.
Autenticación del servidor
Mediante el uso de certificados digitales emitidos por autoridades de confianza, que permitan a las aplicaciones cliente verificar que realmente está conectado con el proveedor de servicio correcto, permitiendo mitigar, entre otros, ataques man-in-the middle of phishing.
Registro y login de usuario
Para que un usuario pueda trabajar con cualquier servicio de almacenamiento en la nube, se requiere que éste complete un primer proceso de registro en los sistemas del proveedor.
En los servicios gratuitos, normalmente suele ser suficiente con crear una cuenta de usuario, en la que se proporciona un mínimo de información. En los de pago, la información a suministrar es bastante más amplia y comprometida (cuenta bancaria, tarjeta de crédito, domicilio, datos fiscales, etc.). Una vez registrado, el usuario debe realizar un login, desde las aplicaciones cliente que utilice, para poder trabajar con los servicios proporcionados por su proveedor. Toda esta información se envía a través de la red al proveedor, por lo que deben estar aseguradas las comunicaciones.
La importancia de estos procesos, registro y login, por la información que transmiten (credenciales de los usuarios del servicio), hace que sean susceptibles de ser atacados para, entre otros, intentar acceder al servicio en nombre de un usuario legítimo y así acceder a sus datos o denegar el acceso mediante la modificación de sus credenciales. Dicho esto, algunos de los requisitos de seguridad para el registro y login del usuario en un servicio de almacenamiento en la nube deberían ser los siguientes:
Autenticación del usuario
Hacia el proveedor del servicio, normalmente mediante el uso de usuario y contraseña.
Uso de contraseñas robustas
El proveedor deberá solicitar el uso de contraseñas robustas a sus usuarios y rechazar las que no cumplan con los criterios establecidos. Sugiere una serie de características que debería cumplir una contraseña para ser considerada robusta, como pueden ser, entre otras: longitud mínima de 10 caracteres de diferentes tipos (letras, números y caracteres especiales), no contener más de dos caracteres iguales seguidos, información personal del usuario ni palabras claves como “password”.
Autenticación multifactor
Aunque podría considerarse como un requisito opcional, es aconsejable que los proveedores permitan la autenticación multifactor y que los usuarios la utilicen, añadiendo más protección durante el proceso de autenticación del usuario.
Minimización de la recolección de datos
Sería conveniente que, en la fase de registro de usuarios, se limitase la información necesaria a recopilar para operar correctamente el servicio, con el objetivo de mitigar un potencial robo de información. Por ejemplo, si el servicio no es de pago, solicitar el DNI o el número de tarjeta de crédito no sería apropiado.
Solicitud activación cuenta
Antes de poder usar una cuenta nueva, el proveedor del servicio deberá solicitar su activación al usuario que se registre. Existen diferentes métodos, como el envío de un código de activación por SMS o un correo electrónico con un enlace para activar la cuenta.
Solicitud de una nueva contraseña
Durante la activación de la cuenta. En el mismo proceso de activación, sobre todo si la contraseña no la eligió el propio usuario durante el registro, el proveedor debe solicitarle al usuario que la modifique e introduzca una nueva.
Protección contra enumeración de usuarios
Un ataque de enumeración de usuario permitiría obtener listas de cuentas de usuario existentes, del servicio de almacenamiento en la nube, desde las páginas de registro, login y recuerdo de contraseñas.
Disponibilidad, confidencialidad e integridad de datos en el proveedor
Uno de los propósitos del almacenamiento en la nube es permitir a sus usuarios tener copias de sus datos fuera de sus instalaciones y que sean de fácil acceso. Normalmente, estos datos son valiosos para sus propietarios (estrategias de negocio, pólizas de seguros, fotos comprometidas, etc.), que confían a su proveedor para mantenerlos protegidos ante posibles amenazas, la cuales pueden significar su violación o pérdida definitiva.
Para mitigar el impacto de los posibles ataques contra los datos en las instalaciones del proveedor, deberían tenerse en cuenta, entre otros, los siguientes requisitos de seguridad.
Cifrado de datos en el lado cliente
Asegura la información tanto en tránsito como en las instalaciones del proveedor, impidiendo que el propio proveedor tenga acceso a su contenido. En este caso, las claves de cifrado deberían estar controladas por los propios usuarios y ser desconocidas por el proveedor.
Control de acceso a los datos
Establecer mecanismos de control de acceso a los datos de los usuarios en el proveedor. Es decir, mecanismos que controlan los accesos de los usuarios, definición de privilegios de acceso, trazas de actividad, etc.
Respaldo
El proveedor debería definir una política de backups y replicación de datos almacenados en sus instalaciones.
Antivirus
Uso de sistemas antivirus actualizados y contrastados, que garanticen que los archivos que almacene los usuarios estén libres de malware.
Plan para recuperación en caso de desastres
El proveedor debería definir un plan de desastres, describiendo qué acciones se llevarán a cabo para la recuperación, por ejemplo, ante el fallo de discos y servidores o el incendio de una instalación.
Compartir y acceder a datos
Compartir y acceder a los datos almacenados en la nube es uno de los principales requisitos existentes en la actualidad, tanto para usuarios particulares (fotos de familia, prácticas del colegio, listas de nombres, documentos de identidad, teléfonos, direcciones de correo, etc.) como para organizaciones que buscan mejorar su productividad y beneficios (documentos de trabajo, datos de los pacientes de un hospital, listas confidenciales de personas, etc.).
En general, podría decirse que a la gente le gusta compartir información por muy diferentes motivos, aportandoles una serie de beneficios: mayor productividad, disfrute personal, compartir opiniones, darse a conocer en el mercado laboral, etc.
Sin embargo, compartir la información en la nube pone en riesgo la seguridad y privacidad de los datos de sus usuarios. Por ejemplo, al compartirla por enlaces (usado por muchos proveedores de almacenamiento en la nube), cualquier persona que tenga acceso a un link, o pueda predecirlo de alguna forma, puede tener acceso a su información, a no ser que ésta esté cifrada.
Según un estudio llevado a cabo por la Enterprise Management Associates (EMA) en 2015, el 83% de las organizaciones consultadas indicaron que se habían producido fugas o pérdidas de información debido al mal uso compartido o al acceso no autorizado a los datos.
Para mitigar las amenazas ocasionadas por compartir información en la nube, como podría ser la de violación de datos, se requiere de la implementación, por parte de los proveedores del servicio, de métodos fiables de control de acceso a los datos, como ya se indicó , además de la correcta aplicación por parte de sus usuarios. Por otro lado, aunque también es aconsejable el cifrado de los datos almacenados, se presenta el problema de compatir las claves de cifrado entre los diferentes actores con acceso a los datos . Por tanto, visto esto, los requisitos de seguridad para compartir y acceder a datos, entre otros, podrían ser los siguientes:
Confidencialidad de los datos
Sólo quien tenga autorización, podrá tener acceso a los datos almacenados y compartidos por los usuarios del servicio en la nube.
Autorización de acceso
A otros usuarios, deberá ser concedida y revocada sólo por el propietario de los datos, que es el único que puede especificar quién tiene permisos de lectura, escritura o borrado de los datos compartidos.
Índices
Los datos no deberán ser indexados por ningún motor de búsqueda, sin el consentimiento de su propietario.
Acceso
El propietario de los datos ha de poder acceder a un listado de la información que tiene compartida en cada momento.
Método
El proveedor del servicio debe indicar claramente el método para compartir que provee.
Deduplicación de datos
La técnica de deduplicación de datos es usada por los proveedores para poder ahorrar espacio de almacenamiento, eliminando redundancias cuando se reciben dos o más copias de los mismos datos. Existen diferentes alternativas de deduplicación:
- Deduplicación en cliente o deduplicación en el servidor.
- Deduplicación single-user o deduplicación cross-user.
- Deduplicación a nivel de archivo o deduplicación a nivel de bloque.
Esta técnica no está exenta de amenazas a la privacidad de los datos almacenados, por ejemplo, si se usa al mismo tiempo la deduplicación en cliente y cross-user, un atacante podría averiguar qué archivos están almacenados en el proveedor del servicio y obtener información sobre un usuario específico. Por tanto, una propuesta de requisito de seguridad sería que el proveedor no use la combinación cliente – cross-user.
Múltiples dispositivos
Hoy día existen multitud de dispositivos que permiten trabajar con servicios de almacenamiento en la nube. Todos los usuarios tienen normalmente más de uno, como pueden ser: los computadores de casa y del trabajo, uno o varios smartphones, tablets, libros electrónicos o televisiones inteligentes.
Uno de los requisitos de los usuarios con más de un dispositivo es que sus datos estén permanentemente sincronizados entre todos ellos, lo que implica que la misma cuenta de usuario deba estar asociada con cada uno de estos dispositivos. Esto último implica que el usuario, cuando instala un nuevo cliente en un dispositivo, tendrá que proporcionar sus credenciales para asociarlo a su cuenta, las cuales serán almacenadas en el dispositivo local para no tener que ser introducidas a cada momento. En estos casos, existe el riesgo de que un atacante sea capaz de conseguir las credenciales de un usuario conectado con un dispositivo móvil, por ejemplo, a una red WiFi abierta. Una vez obtenidas estas credenciales, estará en disposición de poder violar la cuenta y datos de su usuario.
Además, si un dispositivo cae en malas manos y no está convenientemente protegido, el atacante podría tener acceso a sus datos, tanto los almacenados en la nube a través de la aplicación cliente instalada en el dispositivo como los descargados en el dispositivo. Por tanto, a parte de los propios requisitos de protección del dispositivo, los proveedores del servicio deberían proporcionar la siguiente funcionalidad para gestionar los dispositivos asociados a un usuario:
Mantener un listado de los dispositivos registrados para un mismo usuario.
Activación y desactivación de un dispositivo manualmente por parte sus propietarios.
El usuario ha de poder seleccionar el nombre de sus dispositivos.
Borrado de datos
El comportamiento ante el borrado de datos puede variar entre diferentes proveedores de almacenamiento en la nube, aunque es común el mantenimiento de los datos durante un determinado periodo de tiempo y antes de borrarlos definitivamente.
Una eliminación inadecuada de los datos puede ocasionar una violación de los mismos por parte de un atacante. Por tanto, los requisitos de seguridad para compartir y acceder a los datos, entre otros, deberían ser los siguientes:
- Los datos borrados han de ser completamente eliminados de todos los sistemas de proveedor del servicio, incluso de las copias de backup que pudieran existir.
- La eliminación de la información debe sincronizarse con todos los dispositivos del usuario.
- El espacio que ocupan los datos borrados debe ser sobrescrito para asegurar que no son recuperados.
- No debe existir un periodo de retención de los datos sin el consentimiento del usuario.
Actualizaciones del software cliente
Ejecutar versiones antiguas de una aplicación cliente implica estar expuestos a una serie de riesgos de seguridad, puesto que puede contener vulnerabilidades que han sido resueltas en una versión más moderna. Para mitigar este problema, sería conveniente el cumplimiento, entre otros, de los siguientes requisitos en las aplicaciones cliente del almacenamiento en la nube.
- Chequeo regular y automático de la actualización del software de cliente.
- El inicio de las actualizaciones han de poder ser automáticas o a instancias del usuario.
- Llevar un registro detallado de los cambios realizados.
Localización de los servidores de almacenamiento
Al utilizar el servicio de almacenamiento en la nube, no siempre se conoce de forma exacta en qué país pueden estar localizados los datos almacenados Este hecho, puede suponer una amenaza para el cumplimiento de las diferentes legislaciones, tal y como se vio en el apartado. Por tanto, es necesario que:
- El proveedor del servicio proporcione información sobre la localización de sus centros de datos, en los que almacenará la información de sus usuarios y backups.
- El cliente pueda seleccionar la localización para almacenar sus datos.
Legislación
Los usuarios son responsables en última instancia de la seguridad e integridad de sus datos. Existen una serie de leyes nacionales de cada país y tratados internacionales que deben considerarse a la hora de seleccionar un proveedor de almacenamiento en la nube.
Fuente: Andrés Galmés Hernández, Seguridad de las tecnologías de la información y comunicaciones, Universitat Oberta de Catalunya.
Adaptado por la División Consultoría de EvaluandoCloud.com