Tanto particulares como empresas, grandes y pequeñas, usan a diario servicios alojados en la nube. Ya sea software de pago por uso (SaaS) o infraestructuras de servicios, como que el que ofrece Microsoft o Google, nos hemos vuelto dependientes de ese ente aparentemente etéreo al que llamamos cloud computing. Rajiv Gupta (Mumbay, 1963) es el máximo responsable de seguridad en la nube de McAffee, la compañía estadounidense de seguridad informática.
¿Hasta qué punto es segura la nube?
Es más segura que muchas otras formas de tratar de proteger datos. Aunque hay que tener en cuenta que no todas las nubes son iguales: algunos proveedores llevan a cabo mejores prácticas y otros no, algunos usan autenticación multifactorial y otros no, algunos tienen políticas muy estrictas para establecer quién puede acceder a qué información y otros no. Esas son las cosas de las que hay que preocuparse. Los proveedores top como Microsoft, Saleforce o Dropbox son en general más seguros que otros. Mucha gente no sabe que ZippyShare es un servicio de alto riesgo comparado con OneDrive. A veces tenemos la sensación de que un servicio gratuito puede funcionar bien, pero aquí no hay nada gratis.
Una segunda consideración es que, aunque uses un sistema seguro a priori, la responsabilidad es compartida con los empleados. Si mis empleados son víctimas de phishing o alguno de ellos decide hacer daño, entonces será culpa es de la empresa, no de la nube.
Muchos gobiernos están pensando en alojar información sensible sobre los ciudadanos en la nube. ¿Qué tipo de infraestructuras hacen falta para hacerlo de forma segura?
La gente no necesita tener ningún conocimiento añadido: puede acceder, por ejemplo, a la información de su carnet de conducir sin interferir en nada. No porque haya más y más ciudadanos accediendo al servicio en la nube esta se convierte en menos segura. Es cierto que cuantos más usuarios haya, más posibilidades de que alguien cometa errores y sus cuentas se comprometan, pero de ese modo solo obtendrían su información personal, no la del resto del sistema.
MÁS INFORMACIÓN
La ventaja de apostar por la nube, lo que normalmente se tarifica en pago por uso, es que no tienes que preocuparte en invertir en servidores, infraestructura, etcétera. Eso libera dinero para invertirlo en otras partidas, aunque no hay que perder el foco.
¿Hasta qué punto está preparada la nube para interactuar con el IoT?
En algunos sentidos lo complica todo y en otros lo simplifica. Los dispositivos conectados, ya sea un coche, una nevera o una planta nuclear, están generalmente enfocados a funciones muy específicas. Por norma general solo necesitan conectarse a un punto concreto de la red para relacionarse con otros dispositivos muy concretos. Así que eso es más sencillo que asegurarse de que cualquier aparato conectado pueda hablar con cualquier otro en un entorno seguro.
También se supone que la mayoría de aparatos conectados serán más simples que los que hoy están en la Red. En general no nos descargaremos apps en lavadoras, una gran vía de entrada de malware.
¿Crees que la actual arquitectura de defensa servirá para un entorno con decenas de millones de aparatos conectados?
No. Los vectores de ataque serán ligeramente distintos, por lo que las medidas de defensa también. Depende del uso de cada aparato conectado. Si no tiene que interactuar con muchos otros sí se podrá apoyar en la infraestructura tradicional; en caso contrario, deberá protegerse mejor.
Hay quien cree que en el futuro tendremos unas pocas nubes muy grandes. ¿Qué opinas?
Ya está pasando en cierta medida en las infraestructuras como servicios (IaaS). Lo vemos con Amazon, Microsoft o Google; puede que se sume alguno más en el futuro, como Facebook o quizás IBM, pero me extrañaría que veamos más de 10 grandes proveedores en ese terreno. Para el SaaS es ligeramente diferente. Aunque Salesforce está tratando de consolidarse, la variedad de funciones por las que los clientes recurren a la nube es tan grande y está creciendo tanto que no creo que sea fácil consolidarse en este ámbito.
El año pasado fue el del ransomware. ¿Qué tipo de amenazas podemos esperar para 2018?
Hemos visto que el ransomware está cayendo en términos relativos, mientras que el secuestro de criptominería crece. Secuestrar cuentas ajenas y usarlas para minar es lo que más retornos ofrecen ahora, más que encriptar tus datos y pedir rescate.
¿Crees que los ataques a criptomineros es una burbuja?
Creo que esta moda se pasará, porque el ROI de la criptominería cae con el tiempo. Se necesita tanto tiempo y recursos para minar que en cuanto el beneficio caiga, también lo harán las amenazas. Uno puede pensar que, como son otros ordenadores los que trabajan para ti, no pasa nada. Pero aun así, el retorno es tan bajo que no creo que dure mucho.
¿Qué vendrá a continuación?
La parte más débil de la ecuación ha sido y será el ser humano, porque somos emocionales: podemos clicar en ciertos sitios, cometer errores, etcétera. Creo que cada vez habrá más pruebas de autenticación basadas en el comportamiento, que ayuden a determinar si ese que dice ser Manuel es en realidad él. Ya se trabaja en ver qué podemos deducir de lo que normalmente hace un usuario para construir un perfil sobre el mismo que sea difícil de imitar. Creo que habrá también ataques al internet de las cosas y a infraestructuras críticas. Eso ya está sucediendo, de hecho.
¿Qué otras tendencias os están sorprendiendo ahora mismo?
Lo que estamos viendo también es que están surgiendo amenazas nativas de la nube que no existían antes. Por ejemplo, una amenaza que publicamos se llama Knock-knock. Lo que hacían los hackers era atacar las cuentas de servicio del Office365. Las cuentas de servicio no cambian tan a menudo de contraseña, no pertenecen a alguien en concreto. Así que primero buscan en la darkweb passwords y chequean la cuenta 9 veces, porque si lo haces 10 se bloquea. Si no lo conseguían probaban otras 9 veces en otra, y así hasta que entraban en una. Necesitamos centrarnos en este tipo de ataques, quizás menos complejos técnicamente, que surgen en el entorno de la nube.
¿Crees que las empresas y los gobiernos se toman suficientemente en serio estas nuevas amenazas?
Creo que empezamos a ser más conscientes de los riesgos que corremos a medida que estas brechas de seguridad se publicitan. Mañana me podría pasar a mí. Nadie pensó nunca en cuánto valor tiene la información que sube a Facebook hasta que se usó para, quizás, ganar unas elecciones. Antes de internet, los datos circulaban en un perímetro de seguridad muy concreto. La manera de sustraerlos era física: se guardaban en los PC. Luego llegó internet y hubo que crear un perímetro mayor. Hoy ya no hay perímetro posible: los empleados pueden entrar en el sistema de la empresa desde cualquier lugar.
“El GDPR se vio en EE UU como una extraña reacción europea”
Gupta no se anda con rodeos: «El Reglamento General de Protección de Datos (GDPR en sus siglas inglesas) Empezó considerándose una extraña reacción europea», explica. Se vio como algo natural en un continente que, a diferencia del norteamericano, anda siempre tan preocupado por la privacidad. «Pero ya no se ve como una excentricidad. Por dos razones: como hay mucho trato con Europa, las empresas estadounidenses son conscientes de que pueden ser multadas si no siguen las reglas. Además, la gente está reconociendo que lo que están haciendo los europeos es realmente importante: merece la pena pensar en la privacidad de los datos personales. Y ahora, estados como California y NY tienen regulaciones parecidas al GDPR».
Fuente: El País