En todo lo que se escribe sobre la seguridad en la Nube hay confusión, polémica y tergiversación. Las noticias provocan cierta alarma, los Blogs de tecnología explican poco, las grandes empresas confunden con un mar de términos y siglas. Se provoca una cierta situación de desconfiaza generalizada en torno a la Nube, habría que tener unos criterios generales que nos permitan decidir por nosotros mismos.
Recientemente hemos conocido el hackeo de Uber que ha dejado al descubierto 57 millones de cuentas. En este caso y como en otros anteriores el reconocimiento llega tarde porque el incidente se produjo a finales del 2016.
Terminando el 2017, podemos decir que el año 2016 pasa a la historia como el de dos vulneraciones de la seguridad de dos grandes empresas de Internet:
- El hackeo de Dropbox con 60 millones de cuentas comprometidas. (Hackeo Dropbox)
- El hackeo de Uber con 57 millones de cuentas. (Hackeo Uber)
Hay un resumen del 2016 en este artículo: 2016: el año que nos hackearon peligrosamente (Incluye los hackeos de Dropbox, Yahoo y Gmail).
Motivos de inseguridad y falsos mitos de seguridad
Planteo una pregunta y le doy la vuelta.
¿Te están engañando con el tema de la seguridad? o más bien ¿Te estás engañando tú mismo con tu apreciación de la seguridad?
Empezaré derribando un mito, este provoca el autoengaño con la seguridad. Las aplicaciones no son más seguras por más fama que tengan o por mas millones de dólares que tengan de valor en bolsa.
Uber como empresa está valorada en en 62.500 millones de dólares. Dropbox como empresa está valorada en 10.000 millones de dólares. Con estas cantidades hay para rescatar a Grecia varias veces.
Se supone que estas empresas tienen recursos y medios como para poder disponer de medidas de seguridad excepcionales. Esta suposición es falsa del todo.
Los hechos lo demuestran y el motivo está en la base del propio concepto de estas empresas. Hay numerosos testimonios de personal involucrado en este tipo de proyectos (mil millonarios) que lo dicen a las claras, la seguridad nunca fue una prioridad ni un preocupación.
Esta es la mentalidad de las empresas de Internet tipo California, la prioridad es la expansión máxima, con el máximo numero de usuarios, cuanto más rápido mejor y para ello “máxima publicidad”, todo lo demás es secundario.
Sigamos con los mitos a derribar. La seguridad no es un proceso industrial o técnico como te lo imaginas.
No, la seguridad es artesanía pura y dura. Un pequeño equipo de unas cuantas personas, con el conocimiento adecuado, pueden ofrecer altos niveles de seguridad a cualquier tipo de empresa grande, gigante o pequeña. Por supuesto la empresa debe “hacer caso” a estos profesionales y no ignorar su trabajo como hacen las empresas antes mencionadas.
Si una empresa, sea del tamaño que sea no considera las recomendaciones, cambios o estrategias de seguridad, entonces no sirve de nada.
Aplicar criterios de seguridad entorpece mucho el funcionamiento de las aplicaciones. Pongo un ejemplo, el simple cifrado de los datos de un usuario provoca que la aplicación tenga que manejar esos cifrados en muchas partes internas, es mucho más fácil para los programadores no tener que trabajar con este fastidioso inconveniente. En nuestro caso, por poner otro ejemplo, no enviar los archivos cifrados sería mucho más rápido y sencillo, otros “no se complican” la vida de esta forma.
Las regulaciones como LOPD Y RGPD tienen su papel en la seguridad.
Imagina un país dónde se pudieran fabricar coches con un defecto en los frenos. Miles de usuarios se matan con esos vehículos y esto no tiene ninguna consecuencia para el fabricante. Por supuesto partimos de la base de que en ese país la legislación o las regulaciones no contemplan esto.
Pues eso es lo que pasa con las aplicaciones y plataformas desarrolladas por empresas norteamericanas, muchas de esas aplicaciones están en tu móvil o en tu ordenador. Este es el caso de Dropbox que además y las claras te remite a la legislación del estado de California, justo dónde sus responsabilidades son prácticamente nulas o cuando menos eludibles.
Si un sistema o un software se desarrolla en Europa o en muchos países de América Latina están sujetos a normativas de seguridad y protección de datos. No cabe duda que los desarrolladores, ante una regulación, han de tomar medidas para evitar responsabilidades penales. Seguramente se roba menos en un país dónde la leyes tengan penas por ese delito.
La seguridad es algo de lo que todo el mundo habla y nadie entiende.
Recientemente se celebró en mi ciudad natal de Málaga el Campeonato de Europa de Ciberseguridad que ganó la selección española.
El equipo estaba compuesto por jóvenes, de entre 18 y 26 años, seleccionados entre unos 600 candidatos. Si alguien lee las entrevistas realizadas a miembros del equipo, descubrirá lo difícil que lo tienen para ganarse la vida con esta actividad, uno de ellos declara: “ganaría más dinero ayudando a mi tía en el bar que trabajando en esto“.
La gente se llena la boca hablando de seguridad cuando estos talentos no son capaces de sobrevivir ejerciendo esta profesión. Quizá se habla mucho pero no hay demanda real.
Cuando se produce un incidente de ciberseguridad enseguida salen a hacer declaraciones multitud de personajes ignorantes e incluso políticos. Todos se atreven a hacer declaraciones y artículos en la prensa o Blogs, después de unos días el tema se ha olvidado. Maestro liendre de todo sabe y de nada entiende.
Recordemos el fiasco en cuanto a seguridad ha sido el caso de Lexnet, miles de abogados en España lo daban por un sistema seguro. Como ya comenté en otro artículo del Blog el problema de Lexnet fue dejar en manos de becarios o aficionados la programación de la aplicación, con sus 7 millones de euros de coste, cualquiera de los 600 candidatos que se presentaron para la selección española lo hubiese detectado en minutos.
Resumiento. Algunas cosas que debes saber sobre seguridad en la Nube.
Como norma general, desconfiar siempre de la seguridad y de la privacidad de las aplicaciones Made in USA. Esas aplicaciones de empresas mil millonarias que todo el mudo utiliza y que sin pensar se dan por seguras quizá no lo sean tanto, tenemos ya un buen historial con iCloud, Gmail, Yahoo, Dropbox y Uber.
Recuerda que: porque algo sea famoso o muy utilizado no tiene por qué ser seguro. Estas aplicaciones de uso masivo solo tienen por objetivo la máxima penetración en el mercado, con el máximo de usuarios, para obtener una fortuna por la valoración que dan los inversores al número de usuarios (en USA se valora un suscriptor a razón de 120$ anuales, pague o no por el servicio).
En general en Europa las aplicaciones son mucho más seguras. Existe un marco regulatorio que vela por los intereses de los consumidores o usuarios. Las empresas no están obsesionadas por su proliferación viral en cuanto al número de usuarios y por tanto la seguridad está como objetivo prioritario en sus desarrollos, la continuidad de la empresa y sus responsabilidades penales están en juego. Se vive del cobro por los servicios, no de la cotización de los inversores por número de usuarios (sí, es una burbuja).
Grandes del Cloud que por tradición han tenido como prioridad la seguridad son Azure, IBM u Oracle. Por otro lado, están la propia Google o Amazon para los que la seguridad ha sido siempre un estorbo, ahora parece que comienzan a cambiar.
En general puedes confiar en aplicaciones europeas y de UK, que ahora sale con el Brexit. Se puede confiar en los proveedores europeos de Cloud Computing y en los servicios que ofrecen. Añadir, que existen también empresas o servicios de Rusia con excelentes niveles de seguridad, hay un altísimo nivel en este país que supera con mucho al de estados unidos.
En cuanto al comercio electrónico. Se pueden aplicar los mismos criterios generales. Comprueba bien que la hora del pago no guarden ellos los números de tarjeta, deben enviarte a un portal de pago o directamente a la pasarela de pago del banco.
Los bancos han venido siendo seguros desde siempre y como digo el comercio electrónico tradicional también. Comprobar siempre el domicilio social de la empresa, esto suele venir en los avisos legales a pie de página.
Si te preocupa el tema de la seguridad, simplemente quieres estar al día o ampliar conocimientos tenemos la web de Incibe (https://www.incibe.es/). El Instituto Nacional de Ciberseguridad es un referente con información rigurosa.
Cifrado en la transferencia de datos o de archivos. Sencilla explicación.
La precaria seguridad en las pymes y algunas grandes empresas
Yo cada vez confío más en servicios online tipo nube. El calendario, los archivos, el email. Hoy en día es como las compras por internet. Por supuesto hay que tener algún conocimiento par aque no te la peguen, pero ya casi todo el mundo se fía de comprar por internet y esto es lo mismo.
¿Cómo se puede saber qué nube para archivos es más segura?
Hola Graciela.
En los años de Dataprius hemos visto aparecer y desaparecer muchos almacenamientos en la Nube. Aquellos que te regalan cuentas con una enorme capacidad ya no son fiables de entrada, el espacio de almacenamiento es un recurso costoso si se hace con calidad. Si un restaurante te regala las hamburguesas, la carne no debe ser de primera calidad.
Luego hay que determinar qué empresa está detrás, en Europa está el Reglamento General de protección de datos, esto obliga a esas empresas a tener unas medidas de seguridad y protección de datos. Mira si declaran dónde se almacenan los archivos de la Nube.
Busca a pie de página dónde está la empresa. Intenta comunicarte con ellos. Puedes mirar la información relacionada con el candadito que aparece junto a la dirección de la web de la empresa en el navegador.
Puedes buscar en Google por el nombre de la empresa, si pones por ejemplo “Dataprius” encontrarás referencias de la prensa.
El sentido común también puede ayudarte, se trata de determinar si los que están detrás de esa web o servicio son serios.