Almacenar fotos, documentos y datos importantes en plataformas como Google Drive, Dropbox o iCloud es muy habitual. Obviamente se trata de información personal, y como tal requiere de medidas de seguridad como la encriptación y la autenticación segura para cuidarla.
La encriptación es un escudo que protege los datos, convirtiéndolos en un código ilegible para cualquier persona que no tenga la clave adecuada. Y la autenticación segura garantiza que sólo un usuario/a y las personas autorizadas por él/ella puedan acceder a esos archivos. Pero no todos los servicios en la nube implementan adecuadamente estas medidas de seguridad.
En qué consiste la arquitectura de confianza cero
Cuando empezaron a multiplicarse los problemas apareció el concepto de «la arquitectura de confianza cero» (Zero Trust), filosofía que, en lugar de confiar en la protección perimetral tradicional, donde se establece una barrera de seguridad alrededor de la red, asume que la amenaza puede estar dentro o fuera de esa barrera. ¿Cómo lo hace? Estableciendo diferentes controles que verifican continuamente la identidad de cualquier persona o dispositivo que intenta acceder a los datos. Es una capa adicional de protección que se volvió imprescindible ante la proliferación de ciberataques. Quien propuso este modelo allá por 2010 fue el analista de la consultora estadounidense Forrester Research John Kindervag.
Para un sistema de confianza cero cada usuario es potencialmente hostil, y las amenazas son omnipresentes, tanto dentro como fuera de la red. Entonces se impide automáticamente el acceso a cualquier tráfico que no tenga un permiso explícito. Todos los dispositivos, usuarios y flujos de red se autentican, autorizan y validan cuando solicitan acceso de manera continua.
Además, se conceden los privilegios mínimos, se permite el acceso a los recursos necesarios y se monitorea continuamente, al tiempo que se analiza y se gestiona la actividad en la red en todo momento para tener información en tiempo real sobre las entidades que intentan acceder a los recursos e identificar posibles amenazas, incidentes activos y anomalías.
Consejos para confirmar que tus archivos están protegidos
Al elegir servicios en la nube es importante revisar bien que implementan con eficacia medidas de seguridad robustas que garantizan el resguardo de los datos en todo momento. La seguridad no es sólo responsabilidad de los expertos. Cada usuario deberíamos ser la primera barrera de protección, tomando las medidas adecuadas. Asesorarse con ese objetivo siempre es una buena decisión.
Que en el pasado hayan habido casos concretos de violaciones a la seguridad en la nube, provocó que se pensase en la seguridad desde otra perspectiva, y se estableciesen nuevos controles y formas de protección end to end que hasta ahora eran impensables. Te dejamos alguno de ellos:
-> El caso de Capital One (2019): en este incidente, un ingeniero de software, exempleado de Amazon Web Services (AWS), explotó una vulnerabilidad en los servidores de Capital One, exponiendo información confidencial de aproximadamente 100 millones de clientes, incluyendo nombres, direcciones y detalles de tarjetas de crédito.
-> Ataque a Dropbox (2012): En 2012, Dropbox, uno de los servicios de almacenamiento en la nube más populares, sufrió un ataque que llevó a la exposición de las credenciales de inicio de sesión de varios usuarios. Aunque el impacto fue limitado, resaltó la importancia de la seguridad en la nube.
-> Violación de seguridad en Yahoo (2014): Aunque no es específicamente un incidente de la nube, el ataque masivo a Yahoo en 2014 afectó a millones de cuentas de usuarios. Este incidente puso de manifiesto la necesidad de una seguridad robusta en las plataformas que manejan grandes cantidades de datos personales.