La adopción de la computación pública en la nube hace que los datos de los usuarios sean menos seguros. Y no es por las razones que la mayoría de los informáticos se dan cuenta.
En la primera parte de esta serie, explico por qué; las soluciones siguen en la parte 2.
La mayoría de los usuarios experimentan la nube como software y entornos operativos en línea (por ejemplo, el motor de aplicaciones de Google, Chrome OS, Documents); y como sistemas de copia de seguridad en línea, de almacenamiento y de intercambio de archivos (por ejemplo, Dropbox, iCloud).
La adopción de estos servicios tiene sentido. Sus proveedores cuentan con recursos más profundos, mejor talento técnico y más capacidades para predecir y reaccionar ante eventos adversos. Esto reduce la probabilidad de pérdida de datos y de interrupciones, ya sea por causas accidentales o malintencionadas. El uso de servicios basados en la nube reduce los requisitos de potencia de procesamiento interno y también satisface las diversas necesidades de acceso a los datos que tienen los usuarios en la actualidad. Esto reduce los costos de mantenimiento del hardware, el software y el personal de apoyo.
Los servidores FTP pueden ser los blancos principales de los ataques de ransomware o sabotaje. Conozca cómo funcionan estos ataques y aprenda a protegerse.
La Mayoría de las Empresas han Adoptado la Nube Pública
Reconociendo estas ventajas, alrededor del 91 por ciento de las organizaciones en todo el mundo ya han adoptado soluciones de computación en nube pública y se espera que alrededor del 80 por ciento de las cargas de trabajo de las empresas se desplace a las plataformas de nube a finales de año.
Pero las soluciones de computación en nube también traen consigo nuevos desafíos técnicos que pueden exponer a la empresa a ciberataques. Muchos de ellos son bien conocidos en los círculos de la seguridad cibernética y tienen soluciones probadas. Esto incluye mecanismos para auditar las vulnerabilidades de seguridad tanto en el extremo del proveedor como en las máquinas del cliente, para asegurar la disponibilidad e integridad de los servicios alojados a través de la encriptación, y para conceder y revocar el acceso.
Sin embargo, fuera de éstos hay varias vulnerabilidades que surgen del uso de los servicios en la nube. Se trata de cuestiones relacionadas con el usuario y el uso que son ignoradas por la mayoría de los informáticos, que prefieren ignorarlas con el adagio de que "la gente siempre será un problema" en lugar de abordarlas. En consecuencia, la mayoría de estas amenazas rara vez se investigan, pero hacen que los datos alojados en la nube sean aún más susceptibles de ser pirateados.
Por ejemplo, el uso de la nube para compartir archivos rutiniza la recepción de hipervínculos en los correos electrónicos. Tenga en cuenta que cientos de proveedores conforman este espacio de mercado. La mayoría de las organizaciones utilizan por lo menos cinco servicios diferentes en la nube y la mayoría de los usuarios se suscriben a un ecosistema de su agrado. Esto se traduce en numerosos hipervínculos generados por los servicios en la nube que los usuarios envían y reciben frecuentemente a través de correos electrónicos y aplicaciones en diferentes dispositivos.
Pero una vez que los usuarios se acostumbran a cumplir con esos correos electrónicos, se rutiniza la apertura de hipervínculos, lo que hace mucho más probable que hagan clic en hipervínculos maliciosos en el spear phishing que los imitan.
La conveniencia no siempre es segura
Empeorando las cosas es el diseño de los servicios de nubes compartidas. En su intento de hacerlo conveniente, servicios como Google Drive, Google Photos y Dropbox, envían avisos preelaborados por correo electrónico de los archivos compartidos.
El aviso de correo electrónico suele contener solo unos pocos datos variables: el nombre del remitente, el hipervínculo y alguna información sobre el archivo que se está compartiendo a través del enlace. El resto del espacio está ocupado por información de marca (como el nombre del proveedor de la nube y su logotipo). De esta manera, los usuarios tienen sólo unos pocos datos para juzgar la autenticidad de lo que se está compartiendo.
Pero en muchos servicios en la nube, si bien el correo electrónico parece provenir del remitente y tiene su nombre, no proviene de su bandeja de entrada. En su lugar, viene de una bandeja de entrada diferente, una que cambia con el proveedor. Por ejemplo, las notificaciones de Google Drive vienen de una bandeja de entrada de "drive-share-noreply@goolge.com", Dropbox viene de un "no-reply@dropbox.com", mientras que Google Photos viene de un "noreply-010203c023b2d094394a@google.com", donde los caracteres alfanuméricos (elegidos al azar para este ejemplo) cambian cada vez. Ningún usuario puede recordar estas bandejas de entrada, por lo que no hay forma de que los usuarios sepan si estos correos electrónicos son realmente auténticos. Además, la capacitación en materia de ciberseguridad advierte a los usuarios de que no deben abrir correos electrónicos de bandejas de entrada extrañas y desconocidas. Por lo tanto, cada vez que los usuarios abren un hipervínculo compartido en la nube, han violado los principios de seguridad que se les enseñó, lo que erosiona su creencia en la validez de los demás aspectos de su formación en seguridad, abriéndolos a aún más ataques en línea.
Hiperlinks compartidos a través de servicios de nube
Una cuestión similar plaga los hipervínculos compartidos a través de los servicios de nubes. La mayoría contienen símbolos y caracteres especiales, y no hay una forma sencilla para que los usuarios evalúen su veracidad. Dada la forma en que se generan y comparten, los usuarios no pueden conectar el hipervínculo a un motor de búsqueda o a un navegador sin desplegarlos. Tampoco pueden los usuarios reenviar los enlaces compartidos de forma privada a un dispositivo de caja de arena o a otra persona con experiencia. Lo único que pueden hacer los usuarios es confiar en la información del correo electrónico, para lo cual es necesario desplegar el hiperenlace.
Fuera del correo electrónico de envío y los hipervínculos, el único otro indicador variable en un correo electrónico compartido en la nube es la extensión del documento compartido (como si se trata de un archivo .DOCX o .MOV), que suele ir acompañado de un icono que muestra el tipo de archivo adjunto (por ejemplo, un icono de PDF). Estos nunca fueron diseñados para servir de criterio para medir la veracidad de los archivos compartidos.
Como muestra mi investigación sobre la cognición del usuario, la gente se forma varios supuestos falsos sobre el riesgo en línea. Por ejemplo, muchas personas creen que los documentos PDF son seguros porque no pueden editarlos, lo cual, por supuesto, no tiene nada que ver con la seguridad del tipo de archivo. Estas suposiciones erróneas, lo que yo llamo "creencias de riesgo cibernético", no sólo se desencadenan por los iconos y las extensiones de los archivos, sino que también dictan la forma en que los usuarios reaccionan ante ellos. Por lo tanto, ver una extensión o un icono de PDF -que puede ser fácilmente falsificado- y creer que es seguro, aumenta aún más la probabilidad de que los usuarios abran hipervínculos de intercambio de nubes que pueden ser realmente un "spear phishing".
Por último, la visualización de todos estos datos se circunscribe aún más en los teléfonos inteligentes y las tabletas. Según la aplicación y el dispositivo, a veces no se muestran los logotipos de las marcas y otra información gráfica, la información del remitente se rellena automáticamente desde la agenda de contactos del dispositivo, y los botones de acción de la interfaz de usuario, como en "Abrir" Descargar" y "Ver" se destacan. Estos están diseñados deliberadamente para que el usuario tome una decisión, que casi siempre es la de cumplir con la solicitud en lugar de hacer una pausa o ejercer un cuidado consciente.
Estos problemas de diseño afectan a muchas aplicaciones de comunicación a las que se accede en los dispositivos móviles, algo que resalté en mi redacción del DBIR de Verizon de 2019. Pero son aún más problemáticos en el intercambio de archivos en la nube porque, a diferencia del correo electrónico, que por defecto los receptores esperan que se personalice (como en tener una línea de asunto, algún saludo, y siempre, un mensaje), las normas establecidas para el intercambio de archivos en la nube son exactamente lo contrario: los usuarios rara vez esperan la personalización, casi nunca incluyen un mensaje, y ni siquiera saben cómo inyectar una línea de asunto. Esto no sólo facilita la creación de correos electrónicos falsos para compartir en la nube, sino que a los usuarios les resulta particularmente difícil distinguirlos en los dispositivos móviles.
Terminando con la seguridad en la nube
Todas estas cuestiones están impulsadas por el uso y se derivan del éxito de la nube. Esto significa que es poco probable que desaparezcan y la adopción generalizada de la nube -un mercado que Gartner espera que supere los 220.000 millones de dólares en 2020- sólo aumentará su escala. Dado el volumen de datos que se almacenan cada vez más en la nube, la disponibilidad de tantas vulnerabilidades a nivel de usuario son forraje para los ingenieros sociales que buscan formas fáciles de piratear los datos.
Y esto ya está en marcha: Dropbox, Google Drive, y las cuentas de Adobe están ahora entre los señuelos más comunes utilizados en los correos electrónicos de spear phishing. En 2019, una de cada cuatro infracciones en las organizaciones involucraba activos basados en la nube, y un enorme 77% de estas infracciones ocurrieron debido a un correo electrónico de phishing o un servicio de aplicación web, es decir, los ataques falsificaban correos electrónicos de servicios en la nube y contenían hipervínculos que llevaban a los usuarios a agujeros de agua.
Hay que tener en cuenta que estas vulnerabilidades existen en casi todos los servicios en la nube, lo que significa que las infracciones debidas a ellas pueden ocurrir en cualquiera de ellos. Pero, debido a la forma en que los usuarios se forman creencias sobre los riesgos en línea, una infracción en uno de ellos probablemente socavaría su confianza en todas las plataformas de la nube. Por lo tanto, es necesario resolver estas cuestiones no sólo para proteger mejor los datos sino también para asegurar la adopción continua de la nube.
Cómo lo hacemos, lo discutiré en la parte 2.
Arun Vishwanath
Dr. Arun Vishwanath is an expert on the “people problem” of cybersecurity. He has authored more than two-dozen peer reviewed research papers on the science of cybersecurity. His research has been presented to the principals of national security and law enforcement agencies around the world as well at institutions such as the Johns Hopkins Applied Physics Lab, the U.S. Army Cyber Institute at West Point, and at cybersecurity conferences such as Black Hat.