Conecta con nosotros

Noticias

Retos de seguridad en el almacenamiento en la nube

Publicado el

Retos de seguridad en el almacenamiento en la nube

El llamado almacenamiento en la nube es el «responsable» de que podamos guardar nuestros datos y disponer de ellos cuando queramos en cualquier equipo, aunque ni siquiera estemos en el trabajo o en casa. Hasta hace relativamente poco tiempo disponíamos de muy pocas opciones si queríamos acceder a todos nuestros archivos de forma conjunta y sencilla. Podíamos escoger entre tener a mano todos nuestros dispositivos o guardar la información en uno de ellos mediante movimientos periódicos de datos. En la actualidad esto no es posible, sobre todo si tenemos en cuenta que manejamos mucha información almacenada en múltiples dispositivos: el móvil, el portátil, quizá varios ordenadores, el tablet…

Algunos de los servicios más conocidos que nos permiten utilizar espacio en la nube son Dropbox, CloudMe o SugarSync. Junto a ellos las grandes compañías de tecnología tienen sus propias nubes: Drive (Google), iCloud (Apple) o SkyDrive (Microsoft). Nuestra información queda guardada en ordenadores de su propiedad con una enorme capacidad de almacenamiento, conocidos como servidores. Lógicamente, sobre todo cuando estamos manejando datos muy importantes, nos acecha el miedo. ¿Serán realmente seguros?

Recordemos el año pasado lo que ocurrió con iCloud. Muchas fueron las celebrities que vieron cómo se filtraban en la red fotos suyas muy comprometidas debido a un problema de seguridad en la nube de Apple. El llamado Celebgate causó mucha repercusión y puso en el punto de mira a estos servicios de almacenamiento en la nube. Tim Cook, CEO de la compañía, aseguró que todo lo ocurrido no había sido por culpa de ningún tipo de brecha en iCloud, aunque reconoció que algunas famosas fueron el objetivo de algunos ataques dirigidos a comprometer sus nombres de usuario, contraseñas y preguntas de seguridad.

En diciembre, tras implementar el servicio de autenticación en dos pasos para reforzar aún más la seguridad en iCloud, la empresa Elcomsoft descubrió una nueva vulnerabilidad. Esta organización se dedica a desarrollar software para realizar auditorías de seguridad de aplicaciones y sistemas operativos y, según afirmaron, consiguieron detectar un fallo en las últimas versiones de iOS 8 con la doble autenticación de iCloud que permite saltarse la protección de iCloud y acceder a la información almacenada en la nube, por ejemplo, las conversaciones de WhatsApp.

Aunque este software ha sido desarrollado para entidades gubernamentales y empresas con información confidencial, la compañía vende el producto a cualquiera que pague su precio por él sin tener un control sobre sus clientes, incluso en alguna ocasión han admitido que su software ha sido utilizado en el mercado negro para atacar diferentes objetivos.

Qué dicen los estudios

Hace algún tiempo, el departamento de seguridad del instituto alemán Fraunhofer testeó siete servicios de almacenamiento en nube (CloudMe, CrashPlan, Dropbox, Mozy, TeamDrive, Ubuntu One y Wuala) para analizar su seguridad. El informe está disponible para descarga gratuita en el sitio web de Fraunhofer y revela distintas vulnerabilidades que afectan al registro e inicio de sesión, el cifrado y el acceso compartido a los datos de varios de los servicios.

Las funciones examinadas por el Instituto Fraunhofer fueron las de copia, copia de seguridad, sincronización e intercambio. Sólo TeamDrive y Wuala ofrecen estas cuatro características. El peor desempeño con respecto a factores de seguridad fue encontrado en CloudMe, ya que no utiliza cifrado de datos antes ni durante la transferencia de datos. Los investigadores también criticaron el hecho que CrashPlan, TeamDrive y Wuala utilizaban su propio sistema de cifrado y no el protocolo estandarizado SSL / TLS.

CloudMe, Dropbox y Ubuntu One también perdieron puntos por no ofrecer cifrado del lado del cliente, lo que significa que el proveedor de servicios puede leer los datos almacenados. Por su parte, el estudio también dedicaba un apartado a cuestiones legales. Los autores señalaron, que los datos almacenados por empresas estadounidenses no gozan de la misma protección que el ofrecido por las firmas europeas.

Según Fraunhofer, queda camino por recorrer para considerar totalmente seguros estos servicios de almacenamiento en la nube, aunque convienen reseñar que los analizados ofrecen distinto espacio gratuito y no se han analizado otros como el S3 de Amazon accesible vía API.

Recomendaciones de seguridad

Si queremos estar lo más protegidos posibles, veamos qué podemos hacer para mejorar la seguridad y la privacidad de nuestra información cuando utilizamos servicios de almacenamiento en la nube.

  • No utilizar la nube para almacenar información sensible (DNI, contraseñas, datos personales en general), ya sea propia o ajena, de tipo personal o corporativo.
  • Si subimos información que apreciamos como álbumes de fotos o vídeos, que sea como copia de seguridad. Siempre deberíamos tener esta misma información en otro dispositivo. Mantener la información importante solamente en la nube entrañaría un riesgo innecesario.
  • Ya que los servicios funcionan mediante usuario y contraseña, deberemos registrarnos con una contraseña lo suficientemente robusta para que no se pueda descubrir mediante los intentos automáticos de los ciberdelincuentes. Deberá contar al menos con ocho caracteres, combinando mayúsculas, minúsculas, números y símbolos del teclado.
  • Algunos servicios más avanzados en seguridad, como DropBox o iCloud, cuentan con sistema de verificación en dos pasos. Si lo utilizamos, ampliaremos considerablemente la seguridad de nuestros archivos, ya que, además de nuestra contraseña, necesitaremos conocer un código que recibiremos en nuestro teléfono para acceder a nuestra cuenta.
  • La sincronización de carpetas en varios equipos es muy útil, pero también arriesgada porque lo que borremos en uno de ellos se verá reflejado en el resto de dispositivos en el momento que se conecten a Internet. Por ello, deberemos tener mucha precaución con el borrado de archivos y especialmente con su sobrescritura. Si en algún momento detectamos que hemos actuado erróneamente en uno de los equipos, podemos mantener cualquiera de los otros sin conexión hasta recuperar los archivos deseados. También debemos saber que la mayoría de nubes cuentan con su papelera de reciclaje donde se guardan los archivos borrados mientras haya espacio suficiente. Esta opción es muy útil cuando borramos algo por error.
  • No debemos mantener copias de archivos con derechos de autor y menos aún compartirlos, nunca sabemos en manos de quién o de qué autoridades pueden caer.
  • Los servicios en la nube permiten el almacenamiento de la información cifrada, lo que otorga un plus de seguridad muy importante. De este modo, aunque alguna persona consiguiera acceder a los archivos, no podría leerlos.
  • Por último, será necesario conocer el funcionamiento de las herramientas para compartir archivos y carpetas que nos ofrecen estos servicios para no mostrar información accidentalmente a quien no deberíamos.

Recordaos, que Panda Security cuenta con una solución para que nuestros datos estén lo más protegidos posibles en la nube. Toda la información aquí.

Alternativas seguras y privadas

Dropbox es uno de los servidores de almacenamiento más utilizados, sin embargo, los expertos de seguridad afirman que almacenar allí los archivos personales supone un grave riesgo para la privacidad del usuario, por ello, si vamos a hacer uso del almacenamiento en la nube no es mala idea optar mejor por un servidor menos conocido, pero que nos garantice seguridad y privacidad antes que usar uno extendido.

SpiderOak

Es uno de los principales servidores de almacenamiento seguros poco conocidos. Este servidor ofrece a sus usuarios una nube segura donde nuestros archivos quedan lejos del alcance de cualquier otro usuario, cifrando tanto los archivos dentro del servidor como todo el tráfico que generemos desde nuestro equipo o dispositivo hasta ser almacenado allí.

La seguridad de los archivos no sólo se centra en evitar que usuarios no autorizados puedan acceder a ellos, sino que también ofrece la posibilidad de recuperar archivos eliminados y guarda un completo historial de versiones para evitar la pérdida de estos al sobrescribir archivos.

Uno de los principales puntos débiles de este servidor, es que los usuarios gratuitos únicamente cuentan con 2 GB de almacenamiento, espacio muy por debajo del ofrecido por sus principales rivales. Sin embargo, por una suscripción de 10 dólares al mes contaremos con hasta 100 GB de almacenamiento en los que tener nuestros archivos de forma segura.

Tresorit

Este servidor de almacenamiento en la nube, al igual que el anterior, ofrece a los usuarios un cifrado militar de sus archivos punto a punto, donde las claves siempre son almacenadas de forma local por los usuarios sin la posibilidad de que otras personas puedan acceder a ellas.

Tresorit es un servidor de almacenamiento diseñado especialmente con dos fines: el primero de ellos es ofrecer a los usuarios un servidor de almacenamiento seguro en la nube y el segundo facilitar, sin comprometer la seguridad, la participación colectiva en trabajos, proyectos y demás.

Este servidor ofrece a todos los usuarios un total de 5 GB de almacenamiento gratuito, el cual puede ampliarse mediante sus diferentes planes de suscripción en 100 o 1.000 GB según las necesidades de cada usuario.

Para reforzar aún más su seguridad, este servidor de almacenamiento cuenta con un reto para hackers que recompensa con 50.000 dólares a aquellos que consigan romper su seguridad.

BitTorrent Sync

No es un servidor de almacenamiento en la nube propiamente dicho, sino que sus funciones se centran más en la sincronización de archivos y carpetas directamente a través de Internet utilizando la tecnología P2P.

Instalando BitTorrent Sync en dos o más dispositivos vamos a poder configurar carpetas de sincronización de manera que, aunque trabajemos en uno de los dispositivos, siempre se encuentren los archivos sincronizados entre todos los equipos de forma automática a través de conexiones seguras punto a punto, es decir, sin pasar previamente por servidores intermedios, siempre dentro de nuestra red.

Lo más leído