¿Es la nube el paraíso de los hackers?

A las 11 de la mañana del 21 de octubre de 2016 empezaron a fallar, de forma simultánea, algunas de las grandes webs del planeta: The New York Times, Twitter, Amazon, Netflix, Ebay o Spotify, entre otras. Estaban sufriendo un ciberataque. Las incidencias colapsaron Estados Unidos y se extendieron rápidamente por el Atlántico hasta Europa. La caída, planeada en varias fases, se alargó casi 11 horas. Este ataque de denegación de servicio —más conocido como DDoS por sus siglas en inglés— no tenía como objetivo hacer caer al periódico y a las plataformas de compra online más importantes del mundo. Tenía un propósito mayor: hundir los servidores de uno de los grandes proveedores de Internet, Dyn. A las 11 de la mañana del 21 de octubre de 2016, el mundo se dio cuenta de que el funcionamiento de la Red dependía solo de unos pocos.

En 2011 empezó a despuntar una nueva tendencia entre las empresas: trasladarse a la nube. Este cambio de modelo implica dejar partes de sus servicios en “manos” de un proveedor cloud que se ocupa de garantizar la accesibilidad, la computación, el almacenamiento, la conexión y, especialmente, la seguridad de los servicios, aplicaciones o datos que le ceden otras compañías. Gracias a la agilidad y a los bajos costes, algunos informes apuntan a que el 78% de las empresas utilizarán la nube en unos tres años. Esto implica, que unas cuantas —y muy poderosas— empresas tienen el ‘control’ de servicios bancarios, eléctricos, de telecomunicaciones o de transporte en todo el mundo. Así, atacar con éxito a un proveedor cloud puede convertirse en un negocio redondo para los grupos de ciberdelincuentes.

Nuevos ‘jefes’ de Internet

Estos nuevos jefes de Internet están liderados por Amazon, que controla un tercio del mercado total, Microsoft y Google. Les siguen IBM, T-Systems o HP Enterprise. La acumulación imparable de poder ha llevado a estos proveedores a construir inmensas granjas de servidores y de centros de datos. Son los motores de la Red. Amazon Web Services (AWS) tiene 16 en todo el mundo. “Algunas de nuestras zonas de disponibilidad [grupo de centros de datos] pueden superar los 300.000 servidores. Están diseñadas para ser independientes tanto de suministro energético, refrigeración como seguridad física”, explica a OpenMind, Carlos carús, director de arquitectura de soluciones de AWS Iberia.

Las instalaciones de 35.000 metros cuadrados del centro de datos de Google en Council Bluffs, en Iowa. Crédito: Google

Las instalaciones de 35.000 metros cuadrados del centro de datos de Google en Council Bluffs, en Iowa. Crédito: Google

“Los grandes proveedores cloud como Microsoft y Google tienen 10 o 15 de estas granjas de datos. Cada una de ellos tiene el tamaño de un campo de fútbol”, explica a OpenMind, Marta Beltrán, profesora y experta en ciberseguridad de la Universidad Rey Juan Carlos de Madrid. Ahí están las salas de máquinas de Internet. Ahí están nuestros datos, nuestra información y nuestras aplicaciones. Ahí están unos de los objetivos predilectos de los hackers.

“Estas granjas de servidores reciben ataques constantes. Por lo que tienen estrictas medidas de seguridad tanto física como lógica. Los perímetros están vallados y los controles de entrada son muy estrictos. Aplican el criterio de redundancia. Cada centro depende de distintos proveedores y de infraestructuras de red. Así, si uno cae, los otros se pueden hacer cargo de esa información”, detalla Beltrán. “Lo ideal es ponérselo difícil al atacante. No tener todo solo en un único punto físico, sino que sea redundante en distintas localizaciones”, considera a OpenMind Pedro García Villacañas, director técnico de Kaspersky Lab Iberia.

No es más inseguro que otros entornos

¿Esto significa que la nube es menos segura que otro tipo de opciones, como tener cada empresa sus propios servidores? “No. Depende de la situación de partida de la empresa. Si esta tiene los recursos y los medios para establecer unos estándares altísimos de seguridad, para actualizar sus sistemas y mantenerlos, igual no le interesa ir a la nube. Pero esto no es lo normal. Tus recursos y tus medios van a ser menores de los que tiene un proveedor serio”, señala Beltrán, que también es fundadora del Cybersecurity Cluster de la URJC. “Para una pequeña o mediana empresa puede costar un dinero inalcanzable desplegar un buen control de seguridad. En cambio un cloud experimentado y de calidad, por un precio más módico, sí puede proporcionarlo. La compañía va a estar más protegida”, añade a OpenMind Anabel González, profesora del Computer Security Lab (COSEC) de la Universidad Carlos III de Madrid.

Los servidores de proveedores cloud son un objetivo muy atractivo para los hackers. Crédito: LaboratorioLinux/Flickr

Los servidores de proveedores cloud son un objetivo muy atractivo para los hackers. Crédito: LaboratorioLinux/Flickr

“Una de las principales ventajas de este tipo de servicios es precisamente la seguridad. Cualquier persona que trabaje en Internet debe darse cuenta que hay gente dispuesta a usar la Red de manera malintencionada. Pero, la seguridad, el cumplimiento de la normativa vigente y la protección de datos deben ser la máxima prioridad de cualquier empresa o institución gubernamental que opere en Internet hoy en día”, considera Carús de AWS, que da servicio entre otras instituciones a la NASA, Vodafone o BBVA.

Pero esta protección significa perder el control. “Al contratar un servicio cloud, tienes que evaluar los riesgos a los que vas a someter a tus datos y a tus aplicaciones, en manos de otro. Si son datos muy críticos y valiosos, igual es mejor que te desplieguen una nube local, privada”, sostiene González. Porque no solo existe un tipo de nube: esta puede ser pública, privada o híbrida.

Ataque DDoS, uno de los más frecuentes

El ataque que sufrió Dyn en octubre se ha convertido en uno de los más frecuentes para los proveedores de cloud. Los ataques DDoS tienen un funcionamiento sencillo: millones de dispositivos intentan acceder al mismo tiempo a una página web, de manera, que sus servidores no pueden aguantar la saturación de tráfico y se colapsan. Detrás de esos dispositivos no hay millones de personas, sino un grupo de hackers que los controlan. Es lo que se llama equipos zombies: sistemas que han sido previamente infectados con un virus y ahora están a disposición de estos ciberdelincuentes.

Miles de metros de tuberías recorren los centros de datos de Google, algunos encargados de la refrigeración. Crédito: Google

Miles de metros de tuberías recorren los centros de datos de Google, algunos encargados de la refrigeración. Crédito: Google

Hay desde ordenadores hasta webcams, televisiones inteligentes, routers o cualquier otro dispositivo conectado a la red. “A finales de 2015 fue la primera vez que encontramos que una de las IP que atacaba era la de un frigorífico”, explica a García Villacañas. Según este experto, los proveedores de cloud están muy expuestos a estos ataques. Lo confirma, el director de arquitectura de soluciones de AWS Iberia: “Últimamente hemos visto crecer en popularidad este tipo de ataques”.

Para los usuarios, hay pocas escapatorias. “El miedo a estos ataques es una preocupación real, pero inevitable. Con la sociedad de hoy en día, puedes quedarte estar aislado si te abstraes de usar estas tecnologías”, sostiene González. Sin embargo, el crecimiento de ciberataques ha hecho proliferar otro tipo de alternativas como Nextcloud, Owncloud o Cozy.io. “Se trata de tener tu propia nube. En vez de usar una nube comercial y pública, tú mismo te ocupas de tus datos y de darles seguridad. Puedes hacerlo si confías más en ti que en un proveedor externo. La opción de tener tu propia cueva ya está llegando”.

Por Beatriz Guillén

@BeaGTorres