La seguridad de la Nube es un tema de creciente interés. Existe gran confusión porque se mezclan las ideas sobre de seguridad y privacidad. Son conceptos muy relacionados pero diferentes, vamos a verlo con claridad en este artículo.
El origen del problema viene de que el mundo de Internet se mueve por modas. Esas modas las imponen las grandes empresas de Internet. Mediante grandes campañas publicitarias, una característica puede convertirse en un argumento para promover el uso de un determinado sistema.
El resultado es que confundir seguridad y privacidad es habitual. Intencionadamente se siembra el desconcierto en cuanto al significado de estos conceptos.
Como la seguridad es algo demandado para cualquier servicio en la Nube, las grandes empresas lanzan campañas sobre cierta medida de seguridad. Lo que ocurre es que que el público acepta esta medida como prueba de que la totalidad del sistema es seguro y que además preserva la privacidad de los datos.
Los historiales de seguridad de algunos grandes son lamentables y por ello no extraña que intenten limpiar la imagen con enormes y permanentes campañas:
- El ‘hackeo’ a Dropbox era real: se filtran 60 millones de cuentas y contraseñas
- ¿Quién dijo que no se podía «hackear» iCloud, la nube de Apple?
- Gmail, Yahoo, Hotmail. Más de 2.000 millones de e-mails y contraseñas filtrados en Internet
Puede resultar tan simple como infantil. Imaginemos el coche más inseguro de todos los fabricados en el mundo. Un coche no pasa ni los más mínimos test de seguridad, con una escasa protección ante colisiones, con un motor que se incendia. Bastará con hacer una campaña publicitaria masiva en la que decimos que el coche tiene 6 airbags. Enseguida el público dará por hecho que el coche es muy seguro.
Que un sistema disponga de una medida de seguridad en concreto, no supone que el sistema sea seguro en su totalidad y tampoco que cuide de la privacidad de los datos.
En la actualidad hay dos conceptos sobre seguridad en los servicios en la Nube que corresponden a esta dinámica publicitaria:
- Los que se exponen como seguros por ofrecer autenticación en dos pasos o multifactor.
- Los que disponen de cifrado de datos o archivos.
Veamos el caso de Google Drive y Dropbox que disponen de autenticación en dos pasos.
Para empezar, decir que es una estupenda medida de seguridad que protege de accesos no autorizados mucho mejor que una autenticación convencional.
Pero: ¿hace esto que estos sistemas sean seguros en su totalidad?
Veamos un momento. La seguridad en la autenticación tiene efecto si todos los usuarios entran al sistema y ven la información almacenada una vez verificadas sus claves. Es efectiva 100% si usamos en sistema de forma directa online, como cuando nos conectamos a nuestro banco tras introducir las claves.
Pero, cuidado, porque si de alguna forma esta información acaba copiada en ordenadores o dispositivos entonces es de nula utilidad. Esa seguridad pasa ahora a depender de la de esos dispositivos.
Resulta que tanto Drive como Dropbox son sincronizadores de archivos. Esto significa que tras un acceso seguro, el sistema copia los archivos almacenados en la Nube en nuestro ordenador. Si usamos tres ordenadores, pues tendremos tres copias de los ficheros almacenados. Cada usuario que se conecta también copia los ficheros en su disco.
Pongamos por caso una empresa que contrata una cuenta de 5 usuarios. No es exagerado pensar que cada usuario use su acceso desde el ordenador de la oficina, desde casa y con el portátil o la tablet. Tendremos los archivos de la empresa copiados en 15 lugares diferentes.
Es fácil llegar a una conclusión razonable. El acceso al sistema puede ser muy seguro, pero esa seguridad acaba en el momento en que todos los datos pasan a estar en dispositivos individuales que pueden tener nula seguridad.
Nadie en su sano juicio puede apostar por la seguridad y la privacidad de unos datos que pueden terminar copiados en inumerables dispositivos. Nadie que use un sistema de este tipo puede garantizar que los datos no terminarán en algún ordenador totalmente accesible para alguien interesado en la información. (Tomen nota los expertos RGPD)
Un sistema puede ser seguro pero no garantizar la privacidad.
En el caso anterior, el acceso a los datos no se produce por un problema de seguridad como tal, es realmente una carencia de privacidad. Nadie fuerza la seguridad del sistema, el sistema en si mismo coloca los datos en un lugar inseguro.
Tenemos que tener muy claro que seguridad no implica privacidad. Un sistema puede disponer de un alto grado de seguridad pero apropiarse de la información de los usuarios para uso propio, compartirla o comerciar con ella.
Vamos a continuar con Drive y con Dropbox. Aunque es mucho suponer, supongamos que son sistemas invulnerables con el máximo nivel de seguridad alcanzado por el ser humano.
Si luego resulta que la información almacenada de los usuarios es compartida con terceros diremos que no existe privacidad. Esto es real y en este Blog lo hemos publicado: Adiós a tu privacidad: Dropbox comparte tus datos con Google y Amazon (Tomen nota los expertos RGPD creyentes del Escudo de Privacidad)
El cifrado de los datos. Seguridad y privacidad.
Que un sistema realice un cifrado de la información para su almacenamiento se está convirtiendo en un argumento importante para demostrar seguridad.
Como hemos expresado anteriormente, el cifrado puede ser un componente de seguridad muy bueno, pero una vez más se transmite la idea de que con esta característica se cumple con todo.
El cifrado de los datos tiene por objetivo proteger la información fundamentalmente en dos casos:
- La información en tránsito. Cuando circula por Internet.
- La información en reposo. Cuando está en algún medio de almacenamiento.
Cifrado o encriptación de la información en tránsito.
Cuando los datos o los archivos viajan por Internet desde tu ordenador a un servicio en la Nube corren el riesgo de ser leídos por alguien.
Esto no es tan complicado ni extraño como puede parecer. En su viaje los datos pasan por redes que nos conectan al servicio en la Nube. Puede ser tan simple como que los datos viajen por el aire con una conexión Wifi.
La solución a esto es muy antigua. Se trata de hacer que los datos viajen cifrados de extremo a extremo. Son las conexiones SSL con certificado. Es el candadito que aparece en la barra de navegación cuando entras en una web.
Este tipo de cifrado se da por hecho en cualquier servicio en la Nube. Esta medida de seguridad es condición indispensable para la privacidad.
Las normas de privacidad como RGPD obligan a que los sistemas realicen un transmisión de los datos de esta manera.
Cifrado o encriptación de la información en reposo.
El almacenamiento en la Nube consiste en guardar datos y archivos en algún lugar de Internet. Que los datos se almacenen cifrados consiste en que se encripten estos datos cuanto la información se almacena en la plataforma de la Nube.
De nuevo tenemos que reflexionar sobre esta característica. Depende mucho de cómo se almacenan los archivos y los datos en el proveedor del servicio en la Nube. Las plataformas pueden guardar la información de formas muy diferentes. Si hablamos de almacenamiento de archivos, no tienen por qué guardarse en el formato habitual que manejamos en nuestros ordenadores. Por ejemplo Dataprius no guarda los archivos como tal y lo hace por bloques de bytes que son el código interno de dichos archivos.
La principal utilidad del cifrado de los datos en reposo consiste en impedir su lectura si existe un acceso no autorizado al corazón del almacenamiento en la Nube.
Más claro, sin un hacker consique llegar al lugar de almacenamiento de una plataforma se encontraría con información encriptada que no le sirve de nada.
La teoría es esa y está muy bien. Pero el hacker no es idiota, en todo sistema que tenga cifrado hay un mecanismo de descifrado. Esto es imperativo en un sistema en la Nube, siempre que haya un cifrado habrá algo que lo descifre para enviar los archivos sin cifrar al usuario y que los pueda descargar o usar. El hacker buscará extraer información pasando por el mecanismo de descifrado.
El cifrado de la información almacenada será bueno siempre que lo que está alrededor impida el acceso no autorizado. Conclusión: no es la panacea.
En cuanto a privacidad tenemos los mismo de siempre. Un almacenamiento cifrado no garantiza que ese servicio en la Nube no haga uso de esos mecanismos de descifrado para apropiarse de la información, comerciar con ella o cederla a terceros. Si el servicio cumple con RGPD y firma los contratos entonces existe la garantía de que si hace esto podrían sufrir fuertes sanciones.
Conclusiones. ¿Qué es la Seguridad y que es privacidad de un sistema en la Nube?
La seguridad tiene por objetivo evitar accesos no autorizados a la información y daños al sistema.
La seguridad no implica necesariamente privacidad.
Una vulnerabilidad de seguridad puede permitir accesos indebidos a la información por parte de terceros, entonces el problema de seguridad implica un fallo de privacidad.
La falta de privacidad de un sistema no implica que sea inseguro.
La privacidad es el concepto relacionado con la protección de los datos de los usuarios frente a terceros. Un proveedor muy seguro podría apropiarse los datos de sus clientes. El cumplimiento normativo como RGPD es fundamental, el proveedor nos da garantías si firma los contratos RGPD.
La privacidad sí implica seguridad.
Por fuerza un sistema que garantiza la privacidad debe disponer de mecanismos de seguridad que al menos impidan el acceso a la información por parte de terceros.
Si existe un cumplimiento RGPD el proveedor debe tomar las medidas de seguridad que dictaminan las normas.
Firmar los contratos RGPD por escrito y con copias para ambas partes puede ser fundamental, demuestra que el proveedor está comprometido a mantener la seguridad, mucho más allá que los cifrados, los accesos o cualquier otra característica publicitada.
En Europa, el cliente puede exigir estos contratos para cualquier servicio en la Nube. En muchos países de américa latina también porque existen normas compatibles.
- La seguridad de tu disco duro frente al almacenamiento en la Nube.
- Europa no se fía del Cloud en Estados Unidos. Proyecto Gaia-X.
- INCIBE. RGPD para pymes
La entrada La Nube. Seguridad y privacidad son cosas diferentes. se publicó primero en Blog de Dataprius..