La “nube” está de moda. Es decir, subir todos nuestros datos a los servidores de las empresas y utilizarlos desde allí, o tenerlos siempre sincronizados con nuestros dispositivos, es la tendencia más importante del último año. Los usuarios, por comodidad, acumulamos toda nuestra privacidaden servidores seguros de terceras empresas y así podemos acceder a ellos cuando queramos y desde cualquier lugar. Hace unas semanas Apple presentó su sistema más innovador en este campo, iCloud, idóneo para moverse entre el iPhone, el iMac y el iPadsin renunciar a nada. Ahora bien: ¿son lo bastante seguros estos servidores? La respuesta es sí, pero también “hasta cierto punto” y “de momento”. Los ciberdelincuentes ven en la “nube” un jugoso botín y cada vez aprenden mejor a romper sus cerrojos. Sony, Google y Dropbox, entre otros, ya han tenido experiencias negativas.
Imagen: Ricky McGill
Decir Bruce Schneier en seguridad informática es decir Cruyff en el fútbol. Son dos personas provocadoras, que en ocasiones hablan demasiado, pero que rara vez se equivocan en sus predicciones porque saben mejor que nadie de qué hablan. Schneier escribió hace unos meses un post en su blog, titulado «La era dorada para robar cualquier cosa«. En él advertía de que la estructura de seguridad de los servidores que trabajan con «cloud computing«, la «nube», está subdimensionada si se tiene en cuenta el creciente número de datos que albergan.
Una era dorada para la ciberdelincuencia
Schneier vaticinaba que la acumulación de datos provoca un efecto llamada en la ciberdelincuencia, que aprende cada vez más rápido a saltarse los protocolos, motivada por la gran ganancia económica que supone robar datos sensibles de cientos de miles de usuarios. Los mismos, una vez en manos de los delincuentes, se podrían vender en el mercado negro de datos, utilizar para hacer spam o bien para ciberestafas masivas. Schneier termina por comparar la popularidad del sistema operativo Windows con la «nube» y vaticina una larga y constante lucha similar a la de los programas antivirus.
El crecimiento desmesurado de este tipo de almacenamientos ha puesto en el límite de la seguridad a numerosos servicios de gran importancia
Lejos de ser un provocador, esta vez la realidad le ha dado la razón a Schneier en cuestión de semanas. El crecimiento desmesurado de este tipo de almacenamientos ha puesto en el límite de la seguridad a numerosos servicios de gran importancia, como el sistema operativo para móviles Android, la plataforma de sincronización de archivos y copias de seguridad Dropbox o la red social Facebook. En todos ellos se han descubierto importantes agujeros de seguridad que exponían demasiado los datos personales de sus usuarios.
Pero sin duda, el servicio que se ha visto más afectado y quizá el primer gran logro de los delincuentes ha sido la plataforma de videojuegos Playstation Network de Sony. Este servicio, que mantiene en los servidores de Sony los datos y videojuegos comprados por el usuario, de modo que pueda jugar con ellos tanto en su Playstation de salón, como PS3 o PSP, el modelo portátil, sin notar el cambio de dispositivo, ha sido atacado en numerosas ocasiones durante el último mes, algo que ha puesto en la cuerda floja sus protocolos de seguridad.
Playstation Network, la primera víctima
La Playstation Network comenzó a sufrir pérdidas masivas de datos de sus usuarios a principios del mes de mayo, lo que provocó que Sony cerrara la plataforma durante algo más de una semana para estudiar dónde estaba el problema, si era una vulnerabilidaddel sistema o bien ataques coordinados de delincuentes. Durante este tiempo, los usuarios se vieron privados de las ventaja se sincronizar sus datos, e incluso, muchos no accedieron a los videojuegos que habían comprado, por lo que Sony acordó una compensación con un mes gratuito de uso del servicio.
Las conclusiones fueron que se había registrado un ataque, que aprovechaba diversas vulnerabilidades del sistema de «nube», y se dijo que se había solucionado. Sin embargo, a los pocos días, un nuevo ataque y otra sangría de datos puso en jaque a Sony. Desde entonces, los ataques han sido intermitentes y, aunque la plataforma vuelve a estar operativa, en Japón y en Asia, su principal mercado, todavía está cerrada.
Android y las redes wifi
En otra magnitud se sitúan las vulnerabilidades del sistema operativo para móviles Android, desarrollado por Google. Los delincuentes no han explotado los fallos de Android, pero sí expertos en seguridad de la universidad alemana de Ulm. Estos se ponen de manifiesto cuando el teléfono accede a la red de datos mediante una conexión wifi. El problema es que, para dar de alta determinados servicios del sistema, este pide una autenticación mediante claves al usuario y devuelve la respuesta en forma de fichero de texto, que se almacena durante 14 días en la «nube» del sistema, lo que comprende tanto los servidores como el teléfono.
Un delincuente puede entrar con facilidad al sistema del teléfono y apropiarse del fichero si la red no tiene los niveles de seguridad adecuados
En un acceso wifi, es posible una sincronización del fichero interferida por terceros o bien que un delincuente entre con facilidad al sistema del teléfono y se apropie del fichero si la red no tiene los niveles de seguridad adecuados, algo muy frecuente. Ante el descubrimiento de este fallo, Google se comprometió a aumentar los niveles de seguridad con que se guarda el fichero con las claves y a reducir el tiempo de permanencia del mismo.
Otros casos
La plataforma de sincronización de archivos Dropbox también se ha cuestionado. Aunque sus niveles de seguridad son muy elevados, un estudiante de medicina comprobó que podía entrar a los archivos de su cuenta sin necesidad de escribir las claves, ya que antes habían quedado grabadas en el navegador. En consecuencia, puso una reclamación y el servicio tuvo que modificar sus condiciones de garantía, en las cuales incluía literalmente que era imposible acceder sin escribir las claves.
La empresa de seguridad Symatec comprobó a mediados de mayo que algunas aplicaciones de Facebook habían filtrado datos confidenciales de unos 100.000 usuarios, entre ellos fichas con claves de acceso, a algunos de los anunciantes que utilizan la plataforma para promocionarse. La filtración se debió a fallos de seguridad y se ha recomendado el cambio de claves de acceso a la red.