La tortura de un cubo que gotea constantemente

22 noviembre, 2019
13 Compartido 1,567 Visualizaciones

Columna de Paolo Passeri, Arquitecto de Soluciones Globales de Netskope.

No puedo dejar de compartir mi frustración ante los constantes informes sobre fugas de datos ocurridos en la nube. Realmente, no pasa un día sin que se denuncie un incidente, sin embargo, ninguno de ellos parece ser lo suficientemente representativo para actuar como dinamizador del cambio.  

El número y la magnitud de las filtraciones van en aumento, al igual que el impacto potencial en los afectados (tanto las organizaciones que filtran los datos como aquellas de las que proceden). En este sentido, y en lugar de determinar si una filtración merece la atención de los medios de comunicación por la popularidad de la marca afectada, los titulares deberían prestar más atención a las cifras y al tipo de datos en cuestión.

Paolo, Passeri, Arquitecto de Soluciones Globales de Netskope

Para muestras un botón. Hace unos meses se hacía público el caso de Novaestrat, una compañía ecuatoriana de análisis de datos y marketing, que por no proteger adecuadamente un servidor Elasticsearch, comprometió potencialmente los datos de casi 21 millones de individuos. Aunque en esta cifra se incluyen registros duplicados y entradas obsoletas, teniendo en cuenta que la población actual de Ecuador es de 16.6 millones, ¡se trata de un número considerable!

Un contenedor AWS S3 mal configurado representa un alto riesgo para todos aquellos datos que residen en la nube y se consideran no seguros. A este respecto, la compañía LionAir es el último ejemplo de vulnerabilidad de S3. La compañía dejó expuesto un “bucket” de AWS que contenía información personal identificable -incluidos los números de pasaporte- de millones de pasajeros. 

Un tercer caso muestra como los grandes nombres a menudo se esconden detrás de organizaciones menos conocidas, como ocurrió con Attunity, empresa de integración de datos, que dejó una cantidad considerable de datos sensibles pertenecientes a Ford, Netflix y TD Bank en buckets S3 de acceso público. 

¿Por qué siguen ocurriendo estos incidentes?

El cuarto informe Cloud Security Alliance Top Threats (2019) muestra que muchos de nosotros no permanecemos ajenos a los riesgos. Así, 241 expertos del sector consideran que las brechas de datos, la mala configuración de la infraestructura de la nube y la ausencia de una arquitectura y de una estrategia de seguridad cloud son los tres principales riesgos en el uso de la nube. Por supuesto, no todos los consumidores de nube empresarial son expertos, pero la mayoría de los responsables de la infraestructura cloud son, al menos, especialistas. De este modo, y desde la perspectiva de que estos responsables son conscientes de los riesgos que las amenazas cloud encierran, considero que aún es muy alto el número de organizaciones que todavía no comprende el modelo de «responsabilidad compartida», el cual determina dónde finaliza la responsabilidad del proveedor de servicios cloud (seguridad «de» la nube), y dónde comienza la del cliente (seguridad «en» la nube). ¡Una pequeña preposición marca una gran diferencia! 

En un mundo ideal, este modelo debería ser bastante sencillo, pero desafortunadamente, nuestra realidad está lejos de ser perfecta (y no sólo en términos de seguridad de la información). Demasiadas organizaciones ignoran sus obligaciones relativas a la protección de los datos «en» la nube. Hace escasas semanas, una nueva investigación reveló que únicamente el 32% de las compañías consideran que el compromiso de salvaguardar los datos en cloud recae sobre ellas. 

«Con demasiada frecuencia, existe una cadena de confianza implícita, mal engranada y con consecuencias devastadoras»

En muchos casos, esta responsabilidad compartida está aún más «empañada» por la complejidad de la cadena de suministro, como vimos en los ejemplos anteriores. A menudo es un tercero, y no los propietarios de los datos, quienes deberían haber aplicado todas las medidas necesarias para asegurar los datos «en» la nube. Con demasiada frecuencia, existe una cadena de confianza implícita, mal engranada y con consecuencias devastadoras. Estas violaciones se convierten en una confirmación adicional de que la seguridad de la cadena de suministro debe ser un elemento central de un plan de seguridad, y la estrategia de protección cloud no es una excepción en este caso.

La formación de los usuarios también juega un papel importante en la resolución de los problemas de seguridad cloud, pero también existen múltiples herramientas que pueden automatizar la vigilancia del uso de la nube y ayudar a educar a los usuarios. Estas herramientas son generalmente bastante sencillas; tenemos una regla predefinida en nuestra Evaluación Continua de Seguridad que dice: es necesario «verificar que el contenedor S3 no sea accesible al público«. Asimismo, podemos prevenir el saqueo de registros en bases de datos públicas con Elasticsearch con una regla simple que alerta en caso de que se exponga el puerto TCP 9200, de modo que se puedan aplicar fácilmente las acciones de remediación apropiadas. Esta es una configuración simple que podría haber evitado una brecha masiva como la que ocurrió en Ecuador, y demuestra que a veces las soluciones son más sencillas de lo que parecen cuando se comparan con el problema inicial.

Redefiniendo conceptos; ahora o nunca

A pesar de la rapidez con la que las organizaciones están migrando a cloud, la mentalidad y las estrategias de seguridad (en pocas palabras, el concepto de perímetro) continúan estando en las instalaciones. Esto es culpa tanto de la compañías en su conjunto como de los individuos que siguen ignorando el hecho de que las configuraciones erróneas en la nube pueden exponer los datos ante más de 3.200 millones de personas. En el pasado solíamos implorar a la gente que no dejara sus contraseñas a la vista de todos, en un post-it pegado en el monitor. Hoy, y aunque este problema no ha desaparecido, si palidece en comparación con la exposición de los conjuntos de datos olvidados en contenedores cloud de acceso público, desprotegidos de cualquier usuario de Internet.

Las organizaciones necesitan redefinir el concepto de seguridad de los datos en la nube, aplicando controles de protección más cercanos a los datos y reimaginando su perímetro de una manera centrada en los datos, inteligente en la nube y lo suficientemente rápida como para no impedir la productividad o la innovación.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

Dark Tequila: una compleja operación de malware bancario dirigida contra América Latina
Actualidad
8 compartido1,749 visualizaciones
Actualidad
8 compartido1,749 visualizaciones

Dark Tequila: una compleja operación de malware bancario dirigida contra América Latina

Vicente Ramírez - 24 agosto, 2018

Una sofisticada ciberoperación, cuyo nombre en clave es Dark Tequila, ha estado atacando a usuarios en México al menos durante…

Castellón bate el récord en ciberdelincuencia
Cases Studies
18 compartido2,716 visualizaciones
Cases Studies
18 compartido2,716 visualizaciones

Castellón bate el récord en ciberdelincuencia

Samuel Rodríguez - 21 noviembre, 2018

En España se han registrado el último año más de 80 mil infracciones penales en delincuencia digital. En Castellón las…

Kaspersky reitera su compromiso y apoyo para que el canal siga creciendo
Actualidad
6 compartido1,196 visualizaciones
Actualidad
6 compartido1,196 visualizaciones

Kaspersky reitera su compromiso y apoyo para que el canal siga creciendo

Aina Pou Rodríguez - 15 julio, 2020

Kaspersky celebró de forma remota su Conferencia europea de Partners 2020 el pasado 16 de junio En el encuentro participaron…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.