Las vulnerabilidades en los servicios de nube compartida se derivan del uso de múltiples servicios de nube, por lo que los usuarios deben seguir adaptándose y ajustando sus excepciones.
En la primera parte, traté algunas de las principales vulnerabilidades causadas por el uso de los servicios de nube compartida. Entre ellas figuraban el uso rutinario de la nube, que hacía que los usuarios abrieran correos electrónicos de direcciones desconocidas; el cumplimiento de los formularios de correo electrónico sin mensajes personalizados ni líneas de asunto; el hecho de hacer clic en hipervínculos no verificables en los correos electrónicos, y la violación de los ejercicios de capacitación en materia de seguridad cibernética que advierten contra todas las acciones mencionadas. Las fallas de seguridad en los servicios de nube compartida no están en el usuario, sino en el enfoque de desarrollo de varios servicios de nube.
Diferentes consideraciones de autenticación para los servicios de la nube
Algunos servicios en la nube como Google Drive se centran en la integración de sus ofertas en la nube con su sopa de letras de servicios. Otros, como Dropbox, se centran en la creación de un portal independiente y multiplataforma. Otros, como Apple, se centran en aumentar los ingresos de suscripción de su población de usuarios de dispositivos.
En consecuencia, no sólo cada proveedor da prioridad a un aspecto diferente del proceso de compartición, sino que este objetivo más amplio también se presenta ante el usuario, que no es más que un objetivo potencial de ingresos.
Cambiar esto significa algo más que aplicar protocolos de autenticación y normas de cifrado más sólidas. Éstos son necesarios, pero hacen poco por reducir las vulnerabilidades que están enraizadas en el proceso de adaptación del usuario. En todo caso, hacen que los usuarios tengan que adaptarse a implementaciones aún más variadas. La mejora de la capacidad de recuperación de las plataformas en la nube no puede hacerse de manera fragmentaria, sino que requiere un esfuerzo unificado de los proveedores de servicios en la nube.
Integrando diferentes servicios de la nube
En este sentido, grupos de la industria como la Cloud Security Alliance pueden ayudar reuniendo a varios proveedores de nubes y analizando de forma integral cómo los usuarios se adaptan a los diferentes entornos de uso de la nube y estiman el riesgo en ellos.
Una gran parte de este esfuerzo implicará llegar a la raíz de las creencias de riesgo cibernético (CRB por sus siglas en inglés) de los usuarios: sus suposiciones mentales sobre los riesgos de sus acciones en línea. Sabemos por mi investigación que muchas de estas creencias de riesgo son inexactas. Por ejemplo, muchos usuarios interpretan erróneamente el símbolo HTTPS para significar que un sitio web es auténtico, o que un documento PDF es más seguro porque no pueden editarlo, que un documento de Word.
Necesitamos entender cómo se manifiestan las CRB en los entornos de nube. Esto implica respuestas a preguntas tales como si los usuarios creen que ciertos servicios de la nube son más seguros que otros. ¿Y si creen que esos servicios hacen más seguro el intercambio de documentos o el intercambio de ciertos tipos de documentos a través de ellos?
Las respuestas a estas preguntas revelarán la forma en que los usuarios se orientan mentalmente a los diferentes servicios de la nube, lo que almacenan en ellos y cómo reaccionan a los archivos compartidos a través de ellos. Por ejemplo, si los usuarios creen que un portal específico hace que los documentos sean más seguros, podrían estar más dispuestos a abrir archivos que supuestamente provienen de esos portales en un correo electrónico de "spear-phishing". Creencias como éstas también podrían influir en la forma en que los usuarios habilitan diversas aplicaciones en los portales de la nube, en lo que almacenan en línea y en el cuidado que ponen en sus datos almacenados. Debido a que el CRB influye en el uso adaptable de los diferentes servicios de la nube, su comprensión puede ayudar a diseñar una experiencia de usuario de la nube más segura.
La mejora de la seguridad de los usuarios en las plataformas de la nube también requiere el desarrollo de nuevas restricciones técnicas. Dado que muchos ataques de ingeniería social ocultan el malware en hipervínculos, los portales de la nube deben colaborar y desarrollar un espacio virtualizado en el que se generen y desplieguen todos los enlaces compartidos. De este modo, la suplantación de los hipervínculos o la conducción de los usuarios a sitios de agujeros de agua es mucho más difícil porque los dominios a partir de los cuales se generan los vínculos serían más uniformes y reconocibles para los usuarios.
Interfaces de usuario de los servicios de la nube
Otro aspecto que debe tenerse en cuenta es la mejora del diseño de la interfaz de usuario (UI). Por ahora, la interfaz de los programas de intercambio de archivos prioriza la conveniencia en lugar de la seguridad. Este es un sesgo que impregna la comunidad de diseño de tecnología, y su manifestación más marcada es en las aplicaciones móviles, donde es difícil para los usuarios evaluar la veracidad de los correos electrónicos e hipervínculos incrustados que se comparten en la nube.
Para cambiar esto, la interfaz de usuario debería fomentar una mayor personalización de los archivos compartidos. No debería permitirse a los usuarios compartir enlaces sin mensajes o líneas de asunto y debería pedírseles que incluyeran una firma en el mensaje. En el diseño también se deben restar importancia a las medidas que los usuarios deben adoptar y hacer hincapié en la revisión, especialmente en los dispositivos móviles. Esto puede lograrse destacando el mensaje personalizado del usuario, mostrando la dirección URL completa en lugar de acortarla y haciendo necesario el uso de contraseñas para abrir los documentos compartidos.
El diseño de la interfaz también podría centrarse en la integración de los portales de intercambio de archivos con los servicios de correo electrónico, de modo que los enlaces no se generen directamente desde el portal, sino que se creen desde dentro de las cuentas de correo electrónico con las que la gente esté familiarizada. De esta manera, los correos electrónicos no se envían desde bandejas de entrada virtuales desconocidas, y la personalización se hace más fácil.
La nube es una víctima de su propio éxito
Por último, nuestra formación actual sobre la seguridad del correo electrónico está en desacuerdo con el comportamiento de los usuarios finales de compartir la nube. Usar la nube hoy en día implica violar el conocimiento basado en la formación, lo que con el tiempo, cambia la percepción del usuario sobre la validez de la formación. Debemos actualizar el entrenamiento para enfatizar la seguridad en el intercambio y recepción de archivos en la nube. Esto significa fomentar nuevas normas y mejores prácticas, como el uso de contraseñas y mensajes personalizados mientras se comparte. También incluye enseñar a los usuarios a calibrar si un hipervínculo compartido es una falsificación y los enfoques para desplegar tales vínculos en entornos virtualizados, para contener cualquier daño potencial.
La nube se está convirtiendo en víctima de su propio éxito. Con la entrada de muchos más actores en el mercado, la experiencia de los usuarios se está fragmentando cada vez más y aumentando las vulnerabilidades debido a las diferentes formas en que implementan cada plataforma. Hoy en día, hay cientos de proveedores que ofrecen diferentes servicios de nube, y muchos más están en línea.
Se prevé que la industria crezca aún más, ya que apenas hemos aprovechado el mercado potencial general, con entre el 30 y el 90 por ciento de todas las organizaciones de EE.UU., Europa y Asia, que aún no lo han adoptado. Por lo tanto, es probable que los problemas de los usuarios sólo aumenten a medida que más proveedores y usuarios entren en el espacio.
Corregir esto es ahora más importante que nunca. Porque una sola brecha importante puede erosionar la confianza de los usuarios en toda la experiencia de la nube, cambiando para siempre el panorama del uso de la nube.
Arun Vishwanath
Dr. Arun Vishwanath is an expert on the “people problem” of cybersecurity. He has authored more than two-dozen peer reviewed research papers on the science of cybersecurity. His research has been presented to the principals of national security and law enforcement agencies around the world as well at institutions such as the Johns Hopkins Applied Physics Lab, the U.S. Army Cyber Institute at West Point, and at cybersecurity conferences such as Black Hat.