Gupta: ¡°No todas las nubes son igual de seguras, hay que saber distinguir¡±

Tanto particulares como empresas, grandes y peque?as, usan a diario servicios alojados en la nube. Ya sea software de pago por uso (SaaS) o infraestructuras de servicios, como que el que ofrece Microsoft o Google, nos hemos vuelto dependientes de ese ente aparentemente et¨¦reo al que llamamos cloud computing. Rajiv Gupta (Mumbay, 1963) es el m¨¢ximo responsable de seguridad en la nube de McAfee, la compa?¨ªa estadounidense de seguridad inform¨¢tica.

P. ?Hasta qu¨¦ punto es segura la nube?

R. Es m¨¢s segura que muchas otras formas de tratar de proteger datos. Aunque hay que tener en cuenta que no todas las nubes son iguales: algunos proveedores llevan a cabo mejores pr¨¢cticas y otros no, algunos usan autenticaci¨®n multifactorial y otros no, algunos tienen pol¨ªticas muy estrictas para establecer qui¨¦n puede acceder a qu¨¦ informaci¨®n y otros no. Esas son las cosas de las que hay que preocuparse. Los proveedores top como Microsoft, Saleforce o Dropbox son en general m¨¢s seguros que otros. Mucha gente no sabe que ZippyShare es un servicio de alto riesgo comparado con OneDrive. A veces tenemos la sensaci¨®n de que un servicio gratuito puede funcionar bien, pero aqu¨ª no hay nada gratis.

Una segunda consideraci¨®n es que, aunque uses un sistema seguro a priori, la responsabilidad es compartida con los empleados. Si mis empleados son v¨ªctimas de phishing o alguno de ellos decide hacer da?o, entonces ser¨¢ culpa de la empresa, no de la nube.

P. Muchos gobiernos est¨¢n pensando en alojar informaci¨®n sensible sobre los ciudadanos en la nube. ?Qu¨¦ tipo de infraestructuras hacen falta para hacerlo de forma segura?

R. La gente no necesita tener ning¨²n conocimiento a?adido: puede acceder, por ejemplo, a la informaci¨®n de su carnet de conducir sin interferir en nada. No porque haya m¨¢s y m¨¢s ciudadanos accediendo al servicio en la nube esta se convierte en menos segura. Es cierto que cuantos m¨¢s usuarios haya, m¨¢s posibilidades de que alguien cometa errores y sus cuentas se comprometan, pero de ese modo solo obtendr¨ªan su informaci¨®n personal, no la del resto del sistema.

M¨¢s informaci¨®n

¡°Los antivirus no sirven para los dispositivos inteligentes¡±

Autorizo, ?y ahora qu¨¦?

La ventaja de apostar por la nube, lo que normalmente se tarifica en pago por uso, es que no tienes que preocuparte en invertir en servidores, infraestructura, etc¨¦tera. Eso libera dinero para invertirlo en otras partidas, aunque no hay que perder el foco.

P. ?Hasta qu¨¦ punto est¨¢ preparada la nube para interactuar con el IoT?

R. En algunos sentidos lo complica todo y en otros lo simplifica. Los dispositivos conectados, ya sea un coche, una nevera o una planta nuclear, est¨¢n generalmente enfocados a funciones muy espec¨ªficas. Por norma general solo necesitan conectarse a un punto concreto de la red para relacionarse con otros dispositivos muy concretos. As¨ª que eso es m¨¢s sencillo que asegurarse de que cualquier aparato conectado pueda hablar con cualquier otro en un entorno seguro.

Tambi¨¦n se supone que la mayor¨ªa de aparatos conectados ser¨¢n m¨¢s simples que los que hoy est¨¢n en la Red. En general no nos descargaremos apps en lavadoras, una gran v¨ªa de entrada de malware.

P. ?Crees que la actual arquitectura de defensa servir¨¢ para un entorno con decenas de millones de aparatos conectados?

R. No. Los vectores de ataque ser¨¢n ligeramente distintos, por lo que las medidas de defensa tambi¨¦n. Depende del uso de cada aparato conectado. Si no tiene que interactuar con muchos otros s¨ª se podr¨¢ apoyar en la infraestructura tradicional; en caso contrario, deber¨¢ protegerse mejor.

P. Hay quien cree que en el futuro tendremos unas pocas nubes muy grandes. ?Qu¨¦ opinas?

R. Ya est¨¢ pasando en cierta medida en las infraestructuras como servicios (IaaS). Lo vemos con Amazon, Microsoft o Google; puede que se sume alguno m¨¢s en el futuro, como Facebook o quiz¨¢s IBM, pero me extra?ar¨ªa que veamos m¨¢s de 10 grandes proveedores en ese terreno. Para el SaaS es ligeramente diferente. Aunque Salesforce est¨¢ tratando de consolidarse, la variedad de funciones por las que los clientes recurren a la nube es tan grande y est¨¢ creciendo tanto que no creo que sea f¨¢cil consolidarse en este ¨¢mbito.

P. El a?o pasado fue el del ransomware. ?Qu¨¦ tipo de amenazas podemos esperar para 2018?

R. Hemos visto que el ransomware est¨¢ cayendo en t¨¦rminos relativos, mientras que el secuestro de criptominer¨ªa crece. Secuestrar cuentas ajenas y usarlas para minar es lo que m¨¢s retornos ofrecen ahora, m¨¢s que encriptar tus datos y pedir rescate.

P. ?Crees que los ataques a criptomineros es una burbuja?

R. Creo que esta moda se pasar¨¢, porque el ROI de la criptominer¨ªa cae con el tiempo. Se necesita tanto tiempo y recursos para minar que en cuanto el beneficio caiga, tambi¨¦n lo har¨¢n las amenazas. Uno puede pensar que, como son otros ordenadores los que trabajan para ti, no pasa nada. Pero aun as¨ª, el retorno es tan bajo que no creo que dure mucho.

P. ?Qu¨¦ vendr¨¢ a continuaci¨®n?

R. La parte m¨¢s d¨¦bil de la ecuaci¨®n ha sido y ser¨¢ el ser humano, porque somos emocionales: podemos clicar en ciertos sitios, cometer errores, etc¨¦tera. Creo que cada vez habr¨¢ m¨¢s pruebas de autenticaci¨®n basadas en el comportamiento, que ayuden a determinar si ese que dice ser Manuel es en realidad ¨¦l. Ya se trabaja en ver qu¨¦ podemos deducir de lo que normalmente hace un usuario para construir un perfil sobre el mismo que sea dif¨ªcil de imitar. Creo que habr¨¢ tambi¨¦n ataques al internet de las cosas y a infraestructuras cr¨ªticas. Eso ya est¨¢ sucediendo, de hecho.

P. ?Qu¨¦ otras tendencias os est¨¢n sorprendiendo ahora mismo?

R. Lo que estamos viendo tambi¨¦n es que est¨¢n surgiendo amenazas nativas de la nube que no exist¨ªan antes. Por ejemplo, una amenaza que publicamos se llama Knock-knock. Lo que hac¨ªan los hackers era atacar las cuentas de servicio del Office365. Las cuentas de servicio no cambian tan a menudo de contrase?a, no pertenecen a alguien en concreto. As¨ª que primero buscan en la darkweb passwords y chequean la cuenta 9 veces, porque si lo haces 10 se bloquea. Si no lo consegu¨ªan probaban otras 9 veces en otra, y as¨ª hasta que entraban en una. Necesitamos centrarnos en este tipo de ataques, quiz¨¢s menos complejos t¨¦cnicamente, que surgen en el entorno de la nube.

P. ?Crees que las empresas y los gobiernos se toman suficientemente en serio estas nuevas amenazas?

R. Creo que empezamos a ser m¨¢s conscientes de los riesgos que corremos a medida que estas brechas de seguridad se publicitan. Ma?ana me podr¨ªa pasar a m¨ª. Nadie pens¨® nunca en cu¨¢nto valor tiene la informaci¨®n que sube a Facebook hasta que se us¨® para, quiz¨¢s, ganar unas elecciones. Antes de internet, los datos circulaban en un per¨ªmetro de seguridad muy concreto. La manera de sustraerlos era f¨ªsica: se guardaban en los PC. Luego lleg¨® internet y hubo que crear un per¨ªmetro mayor. Hoy ya no hay per¨ªmetro posible: los empleados pueden entrar en el sistema de la empresa desde cualquier lugar.