04 mayo 2018

Las vulnerabilidades en la nube pueden ser disminuidas por el usuario final

  • Durante Infosecurity México 2018, se conocerán las mejores recomendaciones para gestionar información de forma segura en dispositivos virtuales y remotos

Infosecurity México 2018, el evento que presentará lo más reciente en conocimiento, tendencias y soluciones para proteger la información corporativa e institucional, dio a conocer a través de uno de sus expertos, Fernando Thompson, director general de Tecnologías de la Información de la Fundación Universidad de las Américas Puebla (UDLAP), algunos factores de seguridad a considerar al momento de gestionar información en la nube.

“Cualquier empresa o negocio, sea pequeño o grande, debe contemplar dispositivos de almacenamiento para conservar sus datos e información, independientemente del sistema con el que trabaje. Una empresa chica tiene que contar con, por lo menos, un antivirus, software actualizado y passwords que cambien cada mes, de ser posible, incluso en los equipos móviles, con los que también somos vulnerables. Y en el caso de una empresa mayor, ésta debería contar con un administrador especializado en ciberseguridad”, explicó Thompson.
Para resguardar su información, cualquier persona o empresa puede elegir entre utilizar el almacenamiento de datos en medios propios, o a través de lo que se conoce como la nube, de la cual hay tres tipos:

- Nube pública: Es propiedad de un proveedor de servicios en la nube, quien la opera. Sus recursos informáticos, como servidores y almacenamiento, son proporcionados a través de Internet. Con esta nube, puede darse el caso de que todo el hardware, software y cualquier otra infraestructura de soporte que requiera el usuario, pertenece y está administrado por el proveedor. El usuario accede a estos servicios y administra su cuenta a través de la web.

- Nube privada: En este caso, los recursos de computación en la nube son utilizados solamente por una empresa u organización, y los servicios e infraestructura se mantienen en una red privada. Una nube de este tipo puede ubicarse físicamente en el centro de datos de la empresa, pero algunas compañías también contratan servicios de terceros para alojar su nube privada.

- Nube híbrida: Aquí se combina la infraestructura de las nubes públicas y las privadas, unidas por una tecnología que permite compartir datos y aplicaciones entre ellas. Al permitir que los datos y las aplicaciones se muevan entre ambos tipos de nubes, la híbrida brinda a los usuarios una mayor flexibilidad y más opciones de implementación.

“Sin embargo, más allá de la nube que se elija -abunda Fernando Thompson- y del proveedor que se trate: Microsoft, Amazon, o Google, por citar solo unos casos, es un error pensar que quienes suministren ese servicio van a encargarse de la seguridad de la información del usuario. Esto no es así. Los datos que el usuario “suba” ahí son su responsabilidad: Él debe definir y administrar su ‘login’ y su ‘password’ que, de preferencia, debe estar encriptado. Todo esto se sugiere  porque sabemos que los hackers generalmente se enfocan hacia quienes imponen menos candados y que no tienen cuidado de su clave de acceso”.

El directivo de la UDLAP explicó que la mayoría de los usuarios de internet utilizan la nube pública a través de una cuenta de correo electrónico, y pueden aprovechar varias funcionalidades como el software de ofimática, otras herramientas de TI y un espacio de almacenamiento, “y en el caso de las nubes privadas, el usuario contrata los servicios y capacidad que requiere, aunque en esta modalidad también requiere contratar servicios o sistemas de seguridad dedicados, a diferencia de las públicas”.

Sin embargo, en cualquier caso, lo cierto es que los usuarios son víctimas de ataques todo el tiempo, aunque algunos no tienen éxito, “pero muchos de ellos logran su objetivo, como en el caso de lo que sucedió con Yahoo, que fue vulnerado por lo menos un par de ocasiones, y por consecuencia los datos de sus usuarios fueron dañados de alguna forma. Esto nos hace ver que este tipo de servicio ofrecido por terceros no es infalible”.

Precisamente debido a que no hay una seguridad absoluta en el esquema de la nube, la recomendación de Thompson para resguardar los datos es definir políticas de respaldo de información, sobre todo en el caso de las empresas. “Hay riesgos reales, como el que representa el ransomware, que se puede activar cuando el usuario accede a algún sitio engañoso. Este programa dañino no solo podría secuestrar la información de la computadora propia, sino que si ésta se encuentra conectada a la nube, entonces también va a tomar control de ella y va a retener la información, y aunque se pague por su rescate, no siempre se va a recuperar”. 

El directivo de la UDLAP explicó que en el entorno informático actual el cien por ciento de la gente está en riesgo porque hay robots viajando en la red vigilando movimientos y detectando descuidos. “Además, el riesgo para nosotros es mayor porque México se encuentra entre los diez países más atacados del mundo debido al tamaño de nuestra economía y porque cada vez utilizamos más la red para procesos como la facturación digital o las declaraciones fiscales”.

Thompson sugiere que los usuarios cambien su password periódicamente, además de respaldar continuamente la información en los medios adecuados. “Llega a suceder que un medio muy usado para almacenar ciertos archivos es el correo electrónico. Hay muchos usuarios que cuando quieren consultar algún documento, lo buscan en su bandeja de correos enviados; pareciera que es la principal fuente de consulta, pero no es la práctica más recomendada”.

Para finalizar, el especialista en TI expresó que las compañías e instituciones deberían contar con un marco normativo para obligar a los empleados a respaldar su información en un medio que no tenga que ver con la nube, porque ya sea que esta sea pública, privada o híbrida, también es vulnerable. “Y es que en México solo entre el 10 y 20 de las empresas cuentan con políticas de seguridad que pudieran resistir una primera oleada de ataques, pero no todas tienen seguridad certificada o cuentan con algún especialista. Ya no pueden dudar, deben actuar”.