Computación en la Nube: riesgos y beneficios

Seguridad y computación en la nube

La eficiencia y bajo coste de la computación en la nube —programas y servicios distribuidos a través de internet— está atrayendo a muchísimas empresas e instituciones. Además, los nuevos «Chrome» (navegador y sistema operativo, ambos de Google), están pensados para facilitar el acceso a las aplicaciones en la nube.

Incluso algunas alcaldías norteamericanas se están uniendo a esta tendencia, utilizando el servicio App de Google para sus correos electrónicos y otras aplicaciones rutinarias, y la Casa Blanca recientemente lanzó www.apps.gov para animar a las agencias federales a que utilicen los servicios en la nube.

La seguridad y la privacidad en la nube son las grandes preocupaciones en estos tiempos, ya que parece que a las autoridades les ha pillado por sorpresa lo de la computación en la nube y los medios sociales.

Las ventajas de la computación en la nube están influyendo enormemente en nuestra forma de usar los ordenadores: Cada vez usamos más aplicaciones en nube: Gmail, Twitter, Facebok, Youtube… Paradójicamente estas maravillosas ventajas —la facilidad de acceso, lo asequible que resulta, su centralización y flexibilidad— podrían ser también la causa de nuevos tipos de inseguridad.

Cuando en 2006, Amazon presentó su servicio EC2 (Elastic Compute Cloud), nació la posibilidad de que empresas e instituciones alquilaran espacios en servidores virtuales para almacenar sus datos y alojar sus propias aplicaciones y programas. Las empresas ya ni siquiera necesitan tener servidores. El mantenimiento corre a cargo de los proveedores. Esto supone una reducción de los costes y un aumento de la eficacia muy importantes.

Esto fue el nacimiento de la computación en la nube, el «Cloud Computing». Una verdadera revolución informática en la que estamos metidos. La tendencia es más software y menos hardware. El negocio ahora está en contratar software. Cuantos más usuarios utilicen un software más barato es contratarlo.

Pero EC2 también llevó a las masas algo que hasta ese momento estaba confinado principalmente a un uso dentro de los sistemas de IT de las empresas: un tipo de ingeniería mediante la que unos programas llamados hipervisores se encargan de crear y controlar procesadores, redes y unidades de disco virtuales, muchas de las cuales podrían ser ejecutadas en los mismos servidores físicos. Esto suponía una amenaza potencial.

Recientemente unos científicos de la Universidad de California, San Diego, y el MIT han demostrado que es posible atacar a un servidor remoto entrando en su memoria compartida, es decir, cuando dos programas se ejecutan simultáneamente en el mismo sistema operativo.
Hasta hace poco, esto se creía imposible. El experimento se hizo sobre máquinas virtuales que contrataron en Amazon. No obstante Amazon argumentó que nadie había atacado su EC2 de esa forma y que la compañía ya ha tomado medidas para prevenir los ataques.

El tamaño y estructura de las nubes supone un gran problema. La escala es mucho más grande, y no tienes el control físico. Como decía antes, cuantos más usuarios utilicen un software más barato es contratarlo. Pero cuando miles de clientes distintos utilizan el mismo hardware a gran escala, cualquier fallo en el sistema o ataque por parte de hackers podría afectar negativamente a mucha gente. Hay que tener en cuenta que los riesgos de seguridad aumentan con la cantidad de personas que utilizan el mismo software y el mismo hardware.

A esto hay que añadir que si la computación en la nube fuera lo suficientemente segura como para usar todo su potencial, surgirían nuevos y graves problemas: Por un lado, incluso las nubes que están a salvo de los hackers normales se podrían convertir en puntos centrales para el control por internet, -legisladores, tribunales y gobiernos podrían utilizarlo ventajosamente- o los mismos proveedores podrían abusar de su situación sobre los clientes, influenciados por los gobiernos o defensores del los derechos de autor, por poner un ejemplo que en España ahora nos toca de cerca.

Pero para Jonathan Zittrain, cofundador de Centro Berkman para Internet y la Sociedad en Harvard el verdadero problema es “la cada vez mayor capacidad del gobierno para obtener tus datos, y la cada vez menor protección constitucional contra ello; la cada vez mayor capacidad del gobierno para censurar; y la cada vez mayor capacidad de las empresas y gobiernos para controlar la innovación y provocar situaciones verdaderamente negativas.”

La computación en la nube supone un problema parecido al que planteó la implementación de otra tecnología de la información: la radio. A todas luces la radio ofrecía maravillosas ventajas sobre el telégrafo pero al mismo tiempo esas ventajas creaban unos riesgos de seguridad potencialmente intolerables, ya que podía ser captada por el enemigo.

En el caso de la radio, las tecnologías de encriptado y desencriptado rápido y automatizado reemplazaron a los decodificadores humanos, proporcionando con ello la seguridad necesaria.

Igualmente los servicios en la nube por ahora no están exentos de riesgo. Las nubes pasarán por un tipo de evolución similar al de la radio.

Mientras tanto, están surgiendo unas nuevas tecnologías de seguridad. Aunque la protección total de la seguridad en la nube tendrá que pasar inevitablemente por el campo de la encriptación: hacen falta nuevos modelos de encriptación.

Estamos asistiendo a un momento crítico en la evolución tecnológica. A medida que crecen las ventajas de las nuevas tendencias tecnológicas, crece la preocupación por la seguridad y la privacidad.

Algunos expertos en seguridad informática, como el Ponemon Institute sitúan a la computación en la nube entre los primeros puestos en la lista de tendencias más peligrosas para la seguridad informática (39%), junto a Datos no estructurados (79%), Ciberterrorismo (71%), Movilidad (63%), Web 2.0 (52%), Virtualización (44%), La filtración de datos (40%), los delitos informáticos (40%)…

Que la computación en la nube y nuestros queridos medios sociales y teléfonos móviles, smartphones, etc., se sitúen junto a los delitos informáticos es, cuando menos, preocupante y triste.

Pero este tipo de preocupaciones no están limitando el avance y ascensión de la nube, aunque algunas empresas son remisas a alojar en la nube sus datos más delicados.

Y si logramos alcanzar la seguridad dentro de la nube, las ventajas podrían ser asombrosas. “Existe una enorme cantidad de gestiones informáticas y de bases de datos para las que la computación en la nube es claramente relevante,” afirma Dale Jorgenson desde Harvard.

Los defensores de la nube opinan que los servidores virtuales son más seguros que nuestros ordenadores y nuestros USB y nuestros smartphones…

Algunos defensores de la Web 2.0 como Vivek Kundra, informático jefe en el gobierno federal de EEUU, opinan que los políticos están restringiendo innecesariamente el uso de la nueva tecnología. Y que esta tecnología apoya enormemente el trabajo de los gobiernos y es esencial que tengamos acceso a las tecnologías más recientes e innovadoras.

Parece que las autoridades y la justicia siguen sin darse por enteradas, sobre todo en España, donde parece que andan más ocupados en ver la manera de poner restricciones a la nueva tecnología.

Espero que las autoridades reaccionen a tiempo y no dejen pasar esta oportunidad.

Habrá que esperar a ver qué pasa, mientras seguiremos disfrutando de nuestras aplicaciones en la nube pero manteniéndonos alerta.

Si quieres profundizar más en este tema te recomiendo que leas este artículo de 5 páginas de Technology Review: La seguridad en el éter, de donde he sacado la mayor parte de la información. En él se profundiza con detalle en los riesgos y beneficios de la nueva tecnología que nos trae a todos de cabeza. Sobre todo a las empresas e instituciones.

la imagen es de sadagopan