Correo electrónico, Netflix, Google, Instagram y la mayoría de las aplicaciones más populares hoy en día tienen sus operaciones alojadas en la “nube”, una solución que vino a cambiar la forma de ver la infraestructura donde se despliegan las aplicaciones informáticas. El cloud computing es el acceso bajo demanda a recursos de computación a través de Internet con precios de pago por uso.
Considerando que, según Cloud Industry Forum (CIF), el 100% de las empresas utilizan algún tipo de servicio cloud, en sus diversos tipos, el impacto de fallos de seguridad en sus aplicaciones comprometería los servicios y los datos de sus miles de personas usuarias. Antes de ver algunos de los puntos críticos de este modelo de negocio, corresponde entender las categorías en las que se puede clasificar, mismas que se describen brevemente a continuación:
- Infraestructura como Servicio (IaaS, siglas del inglés Infrastructure as a service): Disponibiliza recursos de infraestructura virtualizados, como almacenamiento y servidores. La seguridad en IaaS es responsabilidad directa y completa de quién instala las aplicaciones, así como la protección de los datos. Este es un modelo más autónomo y de gestión total por quien contrata el servicio.
- Plataforma como Servicio (PaaS, siglas del inglés Platform as a service): Facilita plataformas para gestionar aplicaciones en sus diferentes niveles (desarrollo, pruebas y producción), proporcionando herramientas y servicios adicionales tales como monitoreo y logs. La seguridad de la aplicación y de los datos corresponde a quien adquiere el servicio mientras que el acceso a la plataforma y su seguridad relacionada corresponde al proveedor del servicio. Este es un modelo muy popular a nivel empresarial, y entre sus máximos representantes se encuentran AWS, Google y Azure.
- Software como Servicio (SaaS, siglas del inglés Software as a service): Una nueva forma de hacer software y proveerlo. Estas son aplicaciones listas para usar que se ejecutan en la nube. La seguridad de los datos y el acceso son responsabilidad de quien gestiona el servicio y disponibiliza el software. Servicios como correo electrónico y redes sociales responden a este modelo de servicio.
Ahora bien, independientemente de si se gestionan servicios en la nube a nivel corporativo o para una organización de la sociedad civil, de tipo público o privado, es importante tener presente que la seguridad siempre será un punto que cuidar, aún más considerando que el 80% de los riesgos de seguridad están presentes en entornos cloud. Desde la gestión de acceso y monitoreo hasta la mitigación de impacto de los fallos de seguridad en un entorno de producción.
Según la revista Portafolio, los errores humanos siguen siendo un punto de fallo con un 31% en las causas, junto a la explotación de vulnerabilidades conocidas que se llevan un 28% y la falla en la configuración de MFA (múltiples factores de autenticación) que tiene un 17%. A esto se suma el incremento del 27% en ataques ransomware, durante el primer semestre del 2024; este es un tipo de malware que mantiene como rehenes los datos o el dispositivo de la víctima como un modelo de extorsión que busca un “recompensa” por liberar la información o servidores comprometidos.
Entre los múltiples desafíos a enfrentar en la gestión de infraestructura cloud se puede citar el acceso no autorizado, sean cuales sean los medios que usen los atacantes para conseguir credenciales de inicio de sesión. Ante esto, Ola Bini, director técnico en el Centro de Autonomía Digital, recomienda ejecutar acciones de gestión de listas de acceso, implementación de MFA, utilizar contraseñas fuertes que sean cambiadas periódicamente y aplicación del principio de mínimo privilegio en los permisos de usuario. Por supuesto, cuidar del acceso del rol administrador y usarlo cuando las operaciones a ejecutar, así lo ameriten.
La vulneración de puertos (puertas de entrada y salida para el tráfico de red) no se queda atrás cuando se trata de ingresar a los sistemas. Profesionales del área pueden hacer un escaneo de puertos abiertos e identificar servicios que están siendo utilizados para insertar fragmentos de código que ejecuten peticiones hacia un servidor. Frente a esto, Rafael Bonifaz, líder de proyecto LAREDD en Derechos Digitales, menciona la importancia de hacer una gestión de red crítica que evalúe la necesidad de tener un puerto disponible o no, esto en base a lo que se requiera permitir acceso. Asimismo, los sistemas que sirven para que una aplicación funcione, pero que no tienen comunicación directa con el usuario final, deberían tener una configuración de red diferente a aquellos servicios que reciben peticiones desde el exterior.
¿Saber qué está pasando ayuda a atacar el problema? Sin un monitoreo adecuado, las brechas de seguridad podrían pasar sin ser notadas durante largos periodos de tiempo. Según un reporte de IBM, el tiempo promedio para detectar brechas es de 207 días y mitigarlas puede ascender a 277 días. Centralizar y analizar logs así como utilizar herramientas de monitoreo en tiempo real y automatizar el envío de alertas no se ven más como acciones opcionales, sino como necesidades persistentes.
El activo más valioso a día de hoy, los datos, son un punto atractivo hacia el cual pueden apuntar los ciberdelincuentes. En una recopilación publicada en Sealpath, se documenta que para el 2023 “más del 50% de víctimas de ransomware pagaron al menos $100000 USD”. Además, en Latinoamérica, cerca del 62% de las empresas reconoce haber sufrido filtración de datos. Muchos de los datos son almacenados en la nube tal como son recolectados, es decir, sin medidas de cifrado, lo que da como resultado una creciente necesidad por la implementación de políticas de encriptación de datos con llaves seguras, retención y eliminación de datos de forma confiable, así como una clasificación por grado de criticidad.
Con estos y muchos otros puntos críticos, las capacidades técnicas requieren cada vez más especialización, así como la implementación de normas que den lineamiento sobre las medidas de seguridad necesarias. Varias de las empresas que proveen PaaS deben alinearse al Cumpliemiento de la Nube, que son una serie de estándares internacionalmente reconocidos que intentan que los proveedores estén en la capacidad de ofrecer condiciones de seguridad.
Con esto han ido emergiendo guías y tendencias de medidas de seguridad y buenas prácticas que se ejecutan durante todas las etapas de la producción de soluciones informáticas. Un ejemplo de esto es AppSec, que se refiere al proceso de identificar y reparar vulnerabilidades en el software desde su desarrollo hasta su despliegue. DevSecOps es un proceso que une acciones de desarrollo, seguridad y operaciones a lo largo del ciclo de vida de un sistema. A esto se suman varios puntos a validar antes de lanzar un servicio SaaS, como pruebas de seguridad de aplicaciones estáticas (SAST), dinámicas (DAST) e interactivas (IAST). Incluso, algunos sistemas basan sus controles de seguridad en la recopilación de vulnerabilidades Owasp Top Ten.
El desafío de la gestión de seguridad en la infraestructura cloud aplica a todos quienes desarrollen y desplieguen sus servicios pensando en entornos virtuales. Aunque, posiblemente, el reto más grande es para quienes optan por IaaS, ya que el tipo de servicio no incluye varios de los complementos de seguridad como pasa en PaaS. El BigData y su valor en el mercado hace que sea cada vez más imperativa la necesidad de cuidar la integridad de los datos, así como cualquier posibilidad de acceso no autorizado.
La confiabilidad de un sistema o aplicación está sujeta a su disponibilidad y resiliencia ante fallos y ataques, lo que obliga a establecer medidas de mitigación de puntos de quiebre con respuesta rápida. La cifras de vulneraciones hacen que la veracidad se cuestione, sin embargo, la necesidad de soluciones con más cobertura y horas de funcionamiento hace que la tendencia a servicios basados en la nube crezca cada vez más. Es un hecho que el uso de cloud no disminuirá, por lo que resta cuidar la seguridad en estas infraestructuras, aplicando estándares y buenas prácticas.
En resumen, la seguridad en infraestructura cloud es un campo en constante evolución que requiere tanto de medidas técnicas avanzadas como de un monitoreo continuo para mitigar los riesgos inherentes. A medida que las empresas y organizaciones de todo tipo continúan migrando hacia la nube, la adopción de buenas prácticas de seguridad y el cumplimiento de estándares internacionales serán clave para garantizar la protección de los datos y la resiliencia de los sistemas frente a amenazas cada vez más sofisticadas.