Sin seguridad, un contenedor de almacenamiento en la nube es solo un colador para datos

En los últimos años se ha producido un aumento espectacular del número de reglamentos sobre datos en todo el mundo, y también ha aumentado la cuantía de las multas que pueden imponerse por su incumplimiento. Sin embargo, a pesar de esto, los informes sobre la fuga de datos en la nube están aumentando día a día.

Las fugas en los contenedores Cloud de Amazon Web Services (AWS) S3 son uno de los ejemplos de crimen más comunes en cuanto a datos no seguros en la nube se refiere. Un “cubo” o contenedor cloud, es un servicio de almacenamiento de AWS S3, que guarda tanto los archivos de datos como sus respectivos metadatos descriptivos. El problema es que, con demasiada frecuencia, se les deja con permisos de acceso mal configurados, lo que provoca que dichos datos queden expuestos al acceso público.

Estos incidentes tienen gran alcance y ejemplos no faltan: investigadores descubrieron que la compañía de software en cuestión había expuesto datos confidenciales de diversos dispensarios de marihuana en Estados Unidos, así como información de sus clientes. La filtración incluía identificaciones escaneadas del gobierno y empleados, exponiendo información personal identificable (PII) de más de 30.000 individuos. Este agujero se descubrió en vísperas de la pasada Navidad y no se cerró hasta el pasado 14 de enero.

Estos mismos investigadores, y como otro ejemplo más, descubrieron otro caso de un contenedor cloud no asegurado de AWS, propiedad de una compañía británica desconocida. Los datos involucrados incluían archivos altamente sensibles de varias consultoras británicas, con información detallada de 1.000 profesionales británicos. Los datos englobaban escaneos de pasaportes, documentación fiscal, solicitudes de trabajo con verificación de antecedentes y registros penales, y pruebas de dirección. En este caso, los hackers lucharon por identificar y contactar al dueño del contenedor afectado de AWS y terminaron teniendo que reportar la fuga a AWS directamente, así como al Equipo de Respuesta a Emergencias Informáticas del Reino Unido (CERT-UK), la organización responsable de monitorear y manejar la seguridad de los datos en el Reino Unido.

Una respuesta mucho más rápida vino de una productora de publicidad del Reino Unido, que actuó muy rápidamente para asegurar un contenedor cloud AWS S3 que contenía una amplia gama de archivos de producción de su trabajo con clientes de alto perfil, incluyendo la marca Dove de Unilever. Al ser alertada sobre el tema, la compañía cerró su acceso público, sin embargo, se piensa que los datos habían estado expuestos desde 2018, y se calcula una exposición de más de 1.500 archivos con información sensible, incluyendo detalles bancarios y escaneos de pasaportes de involucrados en una de sus campañas.  

Aún está por ver si alguno de estos sucesos desembocará en multas de la GDPR, pero considerando la frecuencia de estos incidentes, podemos empezar a sentir compasión por los comisionados de información y responsables de resolver cada infracción.

¿Quién es realmente responsable de estas fugas de datos?

Y lo que acabamos de describir son solo algunos ejemplos, pero los casos son interminables. Así que, ¿qué es lo que causa este asunto, aparentemente simple, de que las organizaciones dejen los archivos abiertos al público?

El cuarto Informe sobre las principales amenazas de la Alianza para la Seguridad en la Nube (2019) muestra que los profesionales de la seguridad cibernética no están ciegos ante este problema. 241 expertos de la industria sitúan las violaciones de datos, la mala configuración de la infraestructura cloud y la falta de una arquitectura y estrategia de seguridad en la nube como los tres principales riesgos en el uso de la nube. Sin embargo, son demasiadas las organizaciones que todavía no comprenden plenamente el modelo de "responsabilidad compartida" y sus implicaciones. La responsabilidad compartida establece dónde termina la responsabilidad del proveedor de servicios de la nube (seguridad "de" la nube) y dónde comienza la responsabilidad del cliente (seguridad "en" la nube). ¡Una pequeña preposición crea una gran diferencia de conceptos!

Una nueva investigación del Instituto Ponemon ha revelado que sólo el 32% de las organizaciones creen que la protección de los datos en la nube es su propia responsabilidad. En muchos casos, esta responsabilidad compartida se "nubla" aún más por la complejidad de la cadena de suministro, como vimos en los ejemplos anteriores. A menudo es el tercero -en lugar de los propietarios de los datos- quien debería haber aplicado todas las medidas necesarias para asegurar los datos "en" la nube. Con demasiada frecuencia, hay una cadena de confianza implícita, mal ubicada y con consecuencias devastadoras. Estas infracciones se convierten en una confirmación adicional de que la seguridad de la cadena de suministro debería ser un elemento central de una estrategia de seguridad, y la estrategia de seguridad en la nube no es una excepción en este caso.

Los contenedores de S3 abiertos y visibles al público no son un defecto de AWS, son el resultado de un error del propietario del mismo.  Amazon proporciona instrucciones detalladas a los usuarios de AWS para ayudarles a asegurar estos contenedores cloud de S3 y mantenerlos en privado, por lo que la educación de los usuarios juega un papel importante en la superación de los problemas de seguridad en la nube. Pero también hay múltiples herramientas que pueden automatizar la vigilancia del uso de la nube y ayudar a educar a los usuarios sobre la marcha. Estas herramientas son generalmente bastante sencillas y hacen uso de reglas predefinidas para bloquear los datos en la nube.  La solución en este tipo de contenedores de AWS no seguros es realmente más sencilla de lo que aparentemente parece.

A pesar de la velocidad a la que las organizaciones se mueven hoy día hacia la nube, las mentalidades y estrategias de seguridad (en pocas palabras, el concepto de perímetro) siguen estando en local. En el pasado solíamos implorar a la gente que no dejara notas post-it en sus monitores con contraseñas visibles para todos sus compañeros de oficina. Mi sexto sentido me dice que este asunto no ha desaparecido, pero ahora es un tema menor si lo comparamos con la exposición de conjuntos de datos completos almacenados en contenedores de nubes accesibles al público, sin protección de cualquier usuario de Internet. 

Paolo Passeri, Director de Cyber Inteligencia, Netskope