Durante años, la seguridad ha sido una de las razones por las que las empresas no almacenaban datos confidenciales o cargas de trabajo valiosas en la nube pública. Ahora la situación ha cambiado. De hecho, el informe de CyberArk Global Advanced Threat Landscape Report 2019: Focus on Cloud descubrió que la mayoría (un 94%) de las 1 000 organizaciones globales encuestadas utilizaban servicios en la nube de una u otra forma, sobre todo para reforzar iniciativas de transformación digital.

La mitad de los encuestados están usando aplicaciones críticas de negocio basadas en modelos SaaS

De hecho, la nube pública no se está empleando únicamente para almacenar datos de bajo valor o activos sin importancia. Al contrario, prácticamente la mitad de los encuestados están usando aplicaciones críticas de negocio basadas en modelos SaaS, y un porcentaje similar utiliza la nube pública para datos regulados de clientes.

Fuga de datos

De igual manera, la nube también se está utilizando para almacenar grandes cantidades de datos de ciudadanos por parte de organizaciones del sector público. El pasado 17 de septiembre, la firma de seguridad de Internet vpnMentor descubrió, durante una operación rutinaria, que los datos personales de casi todos los ciudadanos de Ecuador —unos 17 millones, incluidos 6,7 millones de niños— estuvieron expuestos en un servidor no seguro en Miami.

Este hecho fue noticia de portada debido a la gran cantidad de información expuesta: números de identificación, de teléfono, registros familiares, fechas de matrimonio, historiales educativos y registros de trabajo.

Las empresas dependen demasiado de los proveedores cloud para proteger sus datos y activos críticos

Esta fuga de datos se debió a una vulnerabilidad en un servidor AWS Elasticsearch no seguro. En un principio se pensó que el propio Gobierno de Ecuador había almacenado los datos en este servidor, pero en pocos días se supo que una compañía local de análisis de datos, llamada Novaestrat, era la responsable del servidor no seguro. De hecho, había dejado los datos expuestos en línea sin contraseña, lo que permitía que cualquiera pudiera acceder a la información almacenada en este servidor.

Dejando a un lado si esta empresa debería haber tenido los datos o no, lo importante aquí es saber quién es el responsable de asegurar esta información, especialmente para aquellos que están preocupados por la seguridad de los datos de clientes o ciudadanos almacenados en la nube pública.

Para encontrar una respuesta adecuada debemos hacer frente a algunas cuestiones… Si tu organización utiliza la nube pública, ¿conoces los controles de seguridad que tiene tu proveedor cloud? ¿Tienes claro lo que se debe hacer para extremar las precauciones?

Responsabilidad compartida

El propio estudio de CyberArk mencionado anteriormente revela que las organizaciones dependen demasiado de los proveedores cloud para proteger sus datos y activos críticos. Las credenciales que permiten el acceso deben protegerse en la nube al igual que en un entorno local. Sobre todo porque algunas de estas credenciales son de naturaleza privilegiada. Dado que los atacantes buscan comprometer específicamente este tipo de credenciales de alto valor, como la forma más efectiva de lograr sus objetivos, también es preocupante que tan pocas organizaciones tengan un plan para protegerlas.

En este contexto, la mayoría de los proveedores cloud operan bajo un modelo de responsabilidad compartida. En él, el proveedor maneja la seguridad solo hasta cierto punto; más allá de eso, se convierte en responsabilidad de quienes usan el servicio. De hecho, las empresas que ofrecen servicios de nube pública proponen una serie de directrices sobre sus modelos de responsabilidad compartida para la seguridad y el cumplimiento en los entornos de nube, pero, desgraciadamente, estas pautas a menudo son ignoradas.

Precisamente, uno de los principales beneficios que las organizaciones encuestadas esperaban obtener de la nube era la capacidad de descargar la seguridad al proveedor cloud, ya sea de forma total o parcial. Esto es algo bastante preocupante. Es importante tener claro que los proveedores de la nube se responsabilizan únicamente de ciertos aspectos relacionados con la seguridad cuando las empresas usan sus servicios. Además, tienen muy claro en qué momento deben intervenir sus clientes y asumir su responsabilidad. Por ello, consideran que la protección de los datos del cliente sigue siendo responsabilidad del cliente.

Los proveedores de la nube se responsabilizan únicamente de ciertos aspectos relacionados con la seguridad

Además, descubrimos que las tres cuartas partes de los encuestados confían completamente la seguridad de sus cargas de trabajo en la nube al proveedor. Y lo que es más preocupante, la mitad de ellos es consciente de que esto no les proporcionará una amplia protección, pero lo hacen de todos modos. Dicho esto, es obvio que el modelo de responsabilidad de seguridad compartida no se comprende bien, o que muchas organizaciones lo desconocen.

Credenciales privilegiadas

Otra de las conclusiones de nuestro informe es que, sin embargo, sí se protegen de forma adecuada las credenciales privilegiadas en la nube, las de alto valor que permiten el acceso a los datos y activos más confidenciales. En cualquier caso, también reveló una falta generalizada de conocimiento sobre la existencia de cuentas privilegiadas, secretos y credenciales en entornos IaaS y PaaS, así como la carencia de una estrategia para asegurarlos.

De hecho, más de la mitad de los encuestados afirmaron que no tenían un plan de seguridad de acceso privilegiado para la nube, lo que indica que las organizaciones podrían estar poniéndose a sí mismas, y a los datos de sus clientes, en un claro riesgo.

El de Ecuador no es el primer Gobierno que expone los datos de sus ciudadanos a través de un servidor en la nube no seguro, y probablemente no será el último. Un servidor similar de Elasticsearch expuso los registros de aproximadamente 14 millones de votantes en Chile, es decir, cerca del 80% de su población.

El de Ecuador no es el primer Gobierno que expone los datos de sus ciudadanos a través de un servidor en la nube no seguro

A medida que los Gobiernos hagan uso de la nube para ser más ágiles y ofrecer un mejor servicio a sus ciudadanos es de vital importancia que continúen desarrollando sus estrategias de seguridad en el ámbito de la nube. Esto es lo que les permitirá protegerse proactivamente contra las amenazas emergentes y reforzar la confianza de los ciudadanos.