Vulnerabilidades, y sus remedios, de la combinación de vida y empleo en cloud
La nube es ese entorno en el que se solapan profesión y vida de una forma arriesgada para la seguridad de los datos.
Guardamos fotos personales, añadimos contactos, trabajamos... Todo lo hacemos en la nube. Según el informe Tecnologías digitales en la empresa, del Observatorio Nacional de Tecnología y Sociedad, casi un tercio de las empresas españolas ya hace uso de la informática en entornos cloud.
Sus ventajas son evidentes: acceder y almacenar información, recursos y aplicaciones en cualquier lugar donde haya una conexión a internet. Pero ¿además es peligroso? El informe Global Threat Report 2023, de CrowdStrike, afirma que el año pasado se incrementaron un 95 % los ataques en la nube.
Como explica César Córcoles, profesor de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y miembro del grupo de investigación Technology Enhanced Knowledge and Interaction Group (TEKING), cuando se trabaja en la nube se delega la gestión de la seguridad al proveedor de servicios que se esté utilizando. "Es muy etéreo hablar de "la nube", pero al fin y al cabo lo que estamos haciendo es pasar de guardar los documentos en el disco de nuestro ordenador a hacerlo en los discos del proveedor de servicios que hayamos elegido", indica.
Si ese proveedor, ya sea uno de los grandes, como Amazon, Google o Microsoft, u otro más pequeño, tiene mejor competencia en seguridad que el usuario o las personas que administran sus ordenadores y redes internas, en general se está mejorando la seguridad, "especialmente en el caso de empresas e instituciones pequeñas que no pueden dedicar muchos recursos a la seguridad", afirma el profesor de la UOC. En su opinión, trabajando con los documentos en la nube probablemente será más difícil "que un programa malicioso cifre nuestros datos y nos exija un rescate por ellos, la política de copias de seguridad seguramente sea mejor que la que podamos implementar nosotros y no vamos a estar descargando tantos archivos a nuestros ordenadores ni llevándolos de un lado para otro en un disco USB, que puede perderse".
Sin embargo, al usar la nube para los documentos que se desee compartir o guardar, también se los está "perdiendo de vista" y depositando mucha confianza en ese proveedor que se ha elegido y en sus políticas de seguridad. Y, aunque la empresa proveedora se encargue de buena parte de la seguridad, el principal riesgo "es el propio usuario que tiene acceso a los documentos", recuerda Córcoles.
Para evitar esos potenciales peligros, hay una serie de estrategias que recomiendan los expertos:
1- Escoger un proveedor de confianza. Para César Córcoles, la primera estrategia de prevención es elegir la "nube" de un proveedor de confianza. "Es complicado, si no imposible, para los clientes evaluar esos aspectos, por lo que en general dependemos de la reputación de las empresas que nos ofrecen sus servicios", afirma.
2- Tener un control de acceso adecuado. Como explica Helena Rifà, profesora de los Estudios de Informática, Multimedia y Telecomunicación de la UOC y directora del máster universitario de Ciberseguridad y Privacidad de la UOC, para eliminar riesgos es clave "ajustar los permisos de acceso a nuestros archivos evitando dar permisos a personas que no los necesitan. Al mismo tiempo, revisar regularmente los accesos para cancelar los permisos si es posible, por ejemplo, cuando una colaboración o proyecto de la empresa en la que se trabaja haya finalizado o cuando los miembros del grupo hayan cambiado".
3- Gestionar los controles de acceso a los datos a través de roles o grupos profesionales. Establecer y administrar las políticas y restricciones que determinan quién tiene permiso para acceder a ciertos datos o recursos dependiendo de su función o posición en una organización puede prevenir riesgos, en opinión de Rifà. "En lugar de asignar permisos individuales a cada usuario, se agrupa a los usuarios en roles o grupos basados en sus responsabilidades o funciones laborales. Luego, se aplican controles de acceso a estos roles o grupos, lo que facilita la gestión y aplicación coherente de las políticas de seguridad de datos en toda la organización", afirma la profesora de la UOC.
4- Utilizar la autenticación de dos factores. Como explica Helena Rifà, la autenticación de dos factores es una combinación de dos de los siguientes principios: algo que el usuario sabe (generalmente una contraseña fuerte, con doce caracteres como mínimo); algo que el usuario tiene, como una clave en el móvil que permite generar códigos de un solo uso; y algo que el usuario es (uso de biometría, como huella dactilar, retina...). Lo que no se recomienda es utilizar una autenticación de dos pasos basados en una contraseña y un código SMS recibido en el móvil, "ya que la mensajería SMS no es segura y, por lo tanto, el código SMS no se considera un factor robusto de "algo que tienes"", explica.
5- Mantener el dispositivo electrónico en buenas condiciones de seguridad. Actualizar regularmente el sistema operativo también es importante. "Un ordenador con problemas de seguridad puede enviar comandos a la nube con los que no estemos de acuerdo (cambio de permisos de un documento, cambio de titulares, añadir/borrar datos, extracción de datos a un servicio externo, inserción de programa malicioso en la nube...", indica Helena Rifà.
6- Realizar copias de seguridad. Otro consejo de los expertos es realizar copias de seguridad periódicas de la nube, o bien asegurarse de que el proveedor de servicios lo hace.
7- Cifrar la información sensible. Si se usa la nube para guardar documentos personales, como información sensible o fotos, además de realizar copias de seguridad, conviene cifrar esa información siempre que sea posible y compartirla con cautela, recomienda Helena Rifà.
8- Conocer las políticas de seguridad de la empresa y de la nube para evitar ser víctimas de ataques de ingeniería social. Según explica la profesora de la UOC, al conocer las políticas de seguridad de la empresa y la nube, el usuario se cerciora de que nunca le van a pedir la contraseña por teléfono o por mensajería, al igual que no debe dar información sensible a través de enlaces incluidos en correos electrónicos. Además, es buena idea aprender a identificar las páginas web y los correos electrónicos sospechosos.
9- Cuantas menos aplicaciones, más seguridad. Como indica César Córcoles, en general debe considerarse cada aplicación que se usa como un potencial riesgo de seguridad. Lo que significa que cuantas menos aplicaciones instaladas, menos potenciales agujeros de seguridad habrá. "Esto es así tanto en nuestro ordenador como en el móvil o la tableta que puede acceder a nuestros documentos. Y si usamos un paquete ofimático en línea, a las extensiones o plugins que podemos instalar", explica. Por eso es conveniente no instalar aplicaciones si no se necesitan, revisar qué permisos tienen esas aplicaciones para acceder e incluso modificar los propios archivos y tomarse la molestia de revisar de vez en cuando qué se tiene instalado y hacer limpieza de aquellas cosas que ya no se usen o no se necesiten.
10- Desconfiar de aplicaciones que prometan incrementar la seguridad y no provengan directamente de la empresa que se tiene contratada. "En general, a esas aplicaciones les damos muchos permisos para operar y, por tanto, también son potencialmente muy peligrosas", recuerda el profesor de la UOC.
