Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
24/11/2011
La seguridad del almacenamiento en nube, en entredicho por los expertos
Los expertos consideran que los sistemas de protección de los servicios de almacenamiento en nube no son totalmente seguros ni están bien explicados. Por ello, se recomienda a los usuarios y a las empresas utilizar sistemas de encriptación para sus documentos.
En New York se ha celebrado el congreso sobre seguridad SC Congress. Expertos en seguridad han debatido sobre las nuevas amenazas para la seguridad informática, con especial atención al cloud computing. Cada vez más compañías utilizan este sistema, pero los expertos advierten de que pueden ampliar el riesgo a sufrir pérdidas o robos de datos, y han alertado sobre la falta de claridad en a la hora de explicar las medidas de control de que disponen este tipo de servicios.
La adopción de los servicios en la nube está aumentando significativamente entre los usuarios y las empresas. Se trata de una tecnología útil, que permite reducir costes y que aumenta la disponibilidad de los contenidos en múltiples equipos, en distintos lugares y de forma simultánea. En empresas, estas características pueden ayudar a aumentar la productividad, para también aumenta los riesgos de filtraciones o robos de datos.
El experto en seguridad de Sophos, David Schwartzberg, ha asistido al SC Congress para hablar sobre esta tecnología, y ha destacado los riesgos y la falta de transparencia que puede presentar para las empresas. Schwartzberg ha explicado que si bien es cierto que hay ventajas, también está el inconveniente de la seguridad. Con los sistemas de almacenamiento en nube, aumentan el número de usuarios y de equipos que tienen acceso a los datos. Hasta ahora, esto se limitaba a los usuarios y equipos en los que se copiaba la información. Ahora solo es necesario disponer de usuario y contraseña, por lo que se está extendiendo y ampliando el número de accesos.
En el caso de las empresas, este tipo de prácticas puede ser peligroso, porque la información se distribuye y su control es muy complicado. Los proveedores de servicios en nube han hecho que el proceso sea muy sencillo, permitiendo que los usuarios puedan adquirir los documentos o añadir nuevos solo arrastrándolos a las carpetas. Esto puede ser un peligro si no se usa correctamente y puede motivar problemas de seguridad.
Además, las medidas de seguridad en estas plataformas no siempre están a la altura, con el peligro de que si falla, el riesgo es potencialmente superior al de los sistemas de almacenamiento tradicionales. Como ejemplo, Schwartzberg cita un problema reciente de Dropbox, uno de los servicios más populares, en el que el sistema fallo y se podía acceder a las cuentas sin necesidad de introducir las contraseñas. Si una situación así ocurre en sistemas tradicionales, el daño es controlable. En sistemas de computación en la nube puede ser devastador ya que cualquiera puede acceder, millones de personas pueden conseguir esos datos con facilidad.
Otra crítica de Schwartzberg a los sistemas de almacenamiento en nube es la falta de explicación de sus medidas de seguridad. En este caso, el experto menciona el caso de iCloud de Apple. Este servicio, una de las grandes apuestas de la compañía en iOS 5, contiene un gran volumen de información de los usuarios. Sin embargo, según Schwartzberg, no se explica cómo se protege ni cuáles son sus medidas de seguridad.
Estas son algunos de los problemas de seguridad que plantea Schwartzberg como factores a corregir en el futuro. Pensando en las empresas y en los usuarios, el experto de Sophos asegura que para utilizar de forma responsable y segura este tipo de servicios, lo mejor es utilizar un sistema de cifrado de datos en los documentos, de forma que aunque se vulneren las medidas de seguridad del sitio o se pierdan los documentos, estos estén protegidos. Además, Schwartzberg considera necesario formar a los usuarios y a los trabajadores para que aprendan a utilizar de forma segura estos servicios, labor en la que tienen que participar las compañías proveedoras de servicios facilitando información de sus sistemas y consejos de forma más frecuente y clara.