Seguridad en la nube: una tarea pendiente que nos deja 2009

screenshot005

foto: quemandochirucas

Tengo el correo electrónico en Gmail, las presentaciones en Slideshare, los tutoriales alojados en Vimeo o en Youtube, documentos de trabajo compartidos almacenados en Google docs, mi cuenta de Facebook. Recopilo mucha información en Netvibes, tengo mis enlaces en Delicious, algunas fotos en Flickr, y pongo mis pequeños comentarios en Twitter. Cada vez menos cosas en la web del servidor de mi centro, cada vez menos en mi ordenador personal, cada vez más información en servidores que ni mi organización ni yo controlamos.

De forma similar muchas empresas e instituciones utilizan espacios en servidores virtuales para alojar sus propias aplicaciones y desarrollos informáticos, y almacenar sus datos. La computación en la nube se ha convertido en un servicio eficiente, barato y fácilmente accesible no sólo para los individuos sino también para pequeñas empresas, centros de investigación y organizaciones administrativas. No se trata de que las empresas tengan sus propios servidores situados en otras empresas, es que ni siquiera tienen “sus servidores”.

Estos días se publica en Technology Review un excelente y extenso artículo de 8 páginas titulado “Security in the Ether” , de David Talbot, que trata del tema y que pretendo resumir aquí con algún comentario de mi cosecha.

Se puede decir que el 2009 ha sido un año de espectacular crecimiento de datos en “la nube”, concepto difundido a partir del EC2 (Elastic Compute Cloud) de Amazon en 2006, cuando esta empresa ofrecía el alquiler de espacio en servidores virtuales a terceros para utilizar sus propias aplicaciones y programas. El alquiler era elástico porque las aplicaciones se podían crear y configurar en instantes, porque se podía aumentar el espacio en el servidor y desaparecían aplicaciones y espacios cuando ya no se necesitaban. Tanto Amazon como Google, Salesforce o Microsoft han sido los grandes proveedores de la nube, ofreciendo espacio en servidores, servicios y alojamiento de datos. Empresas como The New York Times (información), Pfizer (medicamentos), La Alcaldía de Los Angeles (administración) utilizan los servicios virtuales de la nube.

cloud_computing_growth

Pero la nube tiene sus riesgos, especialmente cuando en un mismo servidor operan simultáneamente algunos programas (por ejemplo, del tipo Oz-like). Sería posible atacar y obtener datos mediante un programa de espionaje que entrase a la memoria compartida en el servidor virtual. Hasta hace poco se pensaba que era imposible, en la inmensidad de la nube, atacar de esa manera a un servidor remoto. Pero recientes experimentos llevados a cabo por científicos de la Universidad de California, San Diego, y el MIT han demostrado que sí es posible: el experimento se hizo sobre máquinas virtuales que contrataron en Amazon. No obstante Amazon argumentó que nadie había atacado su EC2 de ese modo y que la compañía había puesto solución a ese posible ataque.

A pesar del riesgo, tanto los individuos como las empresas e instituciones necesitan y utilizan estos servicios: no hay que ocuparse del hardware, se pueden contratar programas y aplicaciones. La actualización y el mantenimiento corren a cargo de los proveedores. El negocio ha pasado de contratar hardware a contratar software, cuantas más personas utilizan un software más barata resulta su contratación. El crecimiento de la nube depende la cantidad de angelitos incautos que volamos sobre ella, pero los riesgos de seguridad en su mantenimiento también aumentan con la cantidad de personas que utilizan el mismo software y el mismo hardware.

Los riesgos no sólo provienen de los posibles ataques externos, pueden existir averías de los proveedores que eliminarán millones de datos de miles de usuarios a la vez. Pero los defensores de la nube argumentan que los servidores virtuales son mucho más seguros y están mucho mas controlados que nuestros ordenadores personales y nuestros USB, Iphones, etc. En esto creo que llevan bastante razón, especialmente cuando nuestros dispositivos están conectados a las redes: “Si deseas que tu ordenador sea seguro, desconéctalo de fuentes externas, no lo unas a la red, aléjalo de las ventanas y guárdalo en una caja fuerte”.

No obstante John Chambers (director de Cisco Systems) llamó a la nube “pesadilla de seguridad” y Ron Rivest (científico del MIT) la calificó de “pantano de la informática”. Peter Mell (NIST. National Institute of Standards and Technology Computer Security Division) habla de la necesidad de revisar el funcionamiento de la nube y de la importancia de establecer normas que garanticen la seguridad. Es necesario que los usuarios puedan pasar sus datos de unos servidores de la nube otros con facilidad, con seguridad y con eficacia: interoperabilidad entre Facebook y Myspace, por ejemplo.

Se intenta aumentar la seguridad y la privacidad con “murallas virtuales” que contemplan la creación de espacios más restrictivos, memorias virtuales en ordenadores diferentes y otros mecanismos para hacer software más seguro. Otras soluciones actualmente, por parte de los clientes, pasan por utilizar sistemas mixtos en los que las aplicaciones y los datos clave se mantienen en local, y se aprovecha de la nube lo que no genera riesgo, infrautilizándola. Otra opción es la de mantener los datos claves encriptados en la nube y copias sin encriptar en nuestros ordenadores. Pero eso plantea problemas porque los datos encriptados apenas se pueden utilizar: no permiten búsquedas, recuperación de informaciones precisas, ni realización de cálculos.

La solución a la seguridad debe encontrase en el desarrollo de nuevos modelos de encriptación que solucionen los problemas anteriores y, además, establecer niveles de acceso según los diferentes tipos de usuarios. Ello permitiría la amplia utilización de la nube por instituciones como hospitales y otras instituciones “ciudadanas”. Concluye David Talbot diciendo que no es la primera vez que una innovación tecnológica que ofrece grandes beneficios conlleva riesgos de seguridad en sus comienzos, la sustitución del telégrafo por la radio es un ejemplo que llegó a un buen fin gracias al descubrimiento de sistemas de encriptación adecuados.

La seguridad debe prevenir el control político de la nube y el monopolio que se puede generar sobre el desarrollo de la red. De ello nos alerta Jonathan Zittrain en The future of the Internet and How to Stop It” . Si todos utilizamos las mismas aplicaciones “pret-a-porter” la creatividad de la red se verá mermada. Mi opinión es que la creatividad no tiene límites y que si algo tenemos las personas es capacidad para aburrirnos de lo que siempre nos ofrecen y querer cosas nuevas. Eso es ocurrirá también en la nube.

Publicado por

Juan García

Divulgador tecnológico y formador. Creo en la tecnología como herramienta para formar ciudadanos más libres y felices. + Sobre mí en http://about.me/juangarciaalvarezdetoledo

3 comentarios sobre “Seguridad en la nube: una tarea pendiente que nos deja 2009”

  1. Pingback: Bitacoras.com
  2. Excelente análisis, ahora es cuando más el Internet está en todo su apogeo. Para estar en la red es necesario utilizar aplicaciones y archivos alojados en diversos servidores por un tema de servicios o de caracter económico; y esto nos lleva a perder el “control” de nuestros archivos.

Los comentarios están cerrados.