Seguridad y privacidad de los servidores iCloud
(Argentina) Costin G. Raiu, director del equipo de Investigación y Análisis gGobal (GReAT) de Kaspersky Lab, habló con TyN acerca de la inseguridad de la nube y los sistemas operativos.
El verdadero punto clave en esto es el iOS5, el nuevo sistema de la compañía que aprovechará al máximo el uso de la nube. Esto indica que Apple se mueve en la misma dirección que Google y Microsoft al diseñar y planear la implementación de un sistema operativo que esté completamente integrado con la nube.
“Tras el lanzamiento de iCloud para desarrolladores por parte de Apple, la batalla para dominar el mercado de los sistemas operativos centrados en la nube finalmente ha estallado”.
¿Qué rol tiene la seguridad? “Básicamente estamos hablando de la misma clase de riesgos inherentes a Chrome OS. Todo su contenido digital podrá ser accesible a aquel que conozca su contraseña. Creo que, hoy en día, es completamente imprudente ofrecer este tipo de servicio sin una autenticación de dos factores, pues de lo contrario el servicio se hace propenso a técnicas básicas de robo de datos”.
“Por supuesto, aunque la seguridad de hecho sea mejorada con métodos de autenticación multifactoriales, no cambia el hecho de que toda la información está disponible en la nube, en un solo lugar. La nube no siempre es impenetrable. Al contrario, su naturaleza fundamental la hace un blanco interesante para los cibercriminales quienes, sin duda, seguirán enfocados en vulnerarla.
Según el especialista, todavía existe otro punto vulnerable: la red que comunicará, enviará, recibirá y autenticará a los clientes. Entonces, podríamos enfrentarnos a un nuevo brote de ataques en la capa de la red, en donde la información del usuario puede ser interceptada, falsificada, denegada o distorsionada. Por lo tanto, seríamos testigos de nuevos y más sofisticados ataques en este ámbito.
¿Por qué razón si es tan insegura la nube, los proveedores están ofreciendo este servicio? “Pues, generalmente los proveedores de la nube lo que ofrecen es el almacenamiento y el procesamiento de la información y no la seguridad como tal aunque tratan de manejar la seguridad. Además, los protocolos de comunicación que estamos utilizando hoy tanto para la conexión con la nube como para todos los demás fines, son vulnerables. Entonces resulta que un atacante tan solo alterando el tráfico con la nube podría cambiar los resultados en la información que recibimos o que enviamos hacia la nube. Finalmente, la nube como tal, está compuesta por varias computadoras que corren sistemas que también pueden ser hackeados. Hay muchos espacios donde la seguridad podría ser comprometida”.
¿Las políticas de seguridad son las mismas para el proveedor que para el cliente? “La seguridad de la información es la política fundamental y tiene que ser como el eje entre todas las demás políticas. Estamos hablando también de la confidencialidad, encriptación de los datos tanto almacenados como los que viajan por la red, políticas de respaldos de la información que resultan en la alta disponibilidad, entre otras.
"Para el proveedor los recaudos son mayores que para un cliente. Pues, el cliente tiene acceso sólo a una parte de la información mientras que el proveedor administra toda la información. Además, éstos son más buscados por los criminales cibernéticos para los ataques, pues saben quién maneja todo".
¿Las políticas y procesos ya implementados en las empresas se deben ampliar para estar en la nube? “Si, deben adicionarse procesos de seguridad que contemplen el manejo de los datos que se envían hacia la nube y otras. Los oficiales de la seguridad informática tienen que realizar realmente un estudio minucioso para evitar que por algún descuido los datos manejados por la nube puedan ser divulgados”, finalizó Costín.
