El lado oscuro de la Cloud Computing

Aunque la mayoría de las compañías piensan en mover sus aplicaciones a la nube, la seguridad de los servicios de terceros todavía deja mucho que desear, según advirtieron los expertos en el Black Hat, la conferencia de seguridad celebrado a finales de julio.

El clima económico ha hecho que la cloud computing sea uno de los temas candentes del sector TI gracias a los ahorros de costes que consiguen las empresas que se han aprovechado de las máquinas virtuales y de las aplicaciones que las grandes empresas llevan a ellas.

Haroon Meer, director técnico de seguridad de SensePost afirmó en el Black Hat que las empresas pequeñas están utilizando la infraestructura en la nube, pero que “el peligro es que las grandes empresas empiezan a utilizarla sin haber pasado por una auditoría”.

La experiencia de Haroon Meer le llevó a decir que normalmente las empresas no exploran las instancias de las máquinas disponibles de algunos proveedores. Se podría crear fácilmente una instancia maliciosa como si fuera un troyano para acceder a la red interna de la compañía, dijo Meer.

Con estos peligros en mente Haroon Meer estableció cinco lecciones que deberían de tenerse en cuenta a la hora de adentrarse en el mundo de la cloud compunting. La primera es que la nube ofrece menos protección legal; las empresa tienen que darse cuenta de que los datos de la nube están sujetos a una norma jurídica inferior en términos de búsqueda y captura.

Alex Stamos, consultor de iSec Partners y asistente al Black Hat, afirmó que los proveedores de ‘cloud computing’ están más preocupados por protegerse que proteger al cliente por lo que “no hay que esperar servicios legales a favor de tu empresa”.

La segunda lección es que tú no eres el propietario del hardware de forma que para llevar a cabo una exploración de vulnerabilidades, o una prueba de penetración, se necesita el permiso expreso del proveedor del servicio en la nube; si no, el cliente está ‘hackeando’ los sistemas del proveedor.

En la tercera lección se afirma que mientras la ‘cloud computing’ ofrece a las compañías inmensos beneficios, como permitir el acceso a los datos desde cualquier lugar y eliminar los quebraderos de cabeza a los directores de TI, el hecho de que el servicio siempre esté activo también significa que los ataques de phishing que amenazan a los trabajadores en casa también podrían afectar a la compañía. Un remedio clave es aumentar la educación de los usuarios sobre los peligros de Internet, no sólo para ellos, sino para sus compañías.

La cuarta lección de Haroon Meer hace referencia a que cuando se utiliza una máquina virtual de un proveedor, las empresas nunca deberían confiar en el sistema. Los investigadores de su compañía han explorado una serie de instancias preconfiguradas y han encontrado claves de autenticación en la caché, datos de tarjetas de crédito, y código maliciosos escondido dentro del sistema. Y es que, según Meer, la mayoría de sus clientes no tienen en cuenta las implicaciones de seguridad a la hora de utilizar la imagen de una máquina creada por un desarrollador externo; por lo tanto las empresas deberían crear sus propias imágenes para uso interno, o protegerse técnicamente y legalmente de desarrolladores con fines algo turbios.

El quinto y último punto afirma: Reconsidera tus hipótesis, que se refiere a que en todos los casos, cuando está en juego la seguridad, los directores de tecnologías de la información tiene que reconsiderar sus hipótesis sobre la nube.

Redacción Silicon

La redacción de Silicon está compuesta por profesionales del periodismo 2.0

Recent Posts

Bitdefender lanza un programa de garantía contra violaciones de seguridad

Ofrece hasta 1 millón de dólares de compensación económica en caso de incidente, con la…

12 horas ago

Cloud Expo evoluciona a Cloud & AI Infrastructure

Este cambio refleja los avances que se producen a nivel de infraestructura TI y el…

13 horas ago

DES2025 se centrará en la IA y ofrecerá una zona de experiencia tecnológica

El evento espera reunir a 17.000 directivos, que podrán escuchar a medio centenar expertos en…

14 horas ago

Snowflake llega a un acuerdo con Datavolo para su adquisición

Como resultado de esta operación, ampliará sus servicios en el "bronze layer" del ciclo de…

14 horas ago

NetApp aumenta un 6 % sus ingresos trimestrales

Durante el segundo trimestre de su año fiscal 2025 acumuló 1.660 millones de dólares, la…

15 horas ago

Denodo Platorm 9.1 estrena asistente de inteligencia artificial

También incluye un SDK open source para potencia el desarrollo de aplicaciones y agentes, especialmente…

16 horas ago