Aunque el principal temor de muchas organizaciones sean los atacantes en la sombra que despliegan exploits de día cero hechos a medida desde la distancia, las mismas, y sobre todo aquellas que se embarcan en ambiciosos proyectos de transformación digital, afrontan hoy un riesgo mucho más real: el error humano.
Los “errores varios” representaron el 17% de los robos de datos el año pasado, según Verizon. Tal y como advierten los expertos en ciberseguridad de ESET, cuando se trata de la nube, hay una tendencia particular que destaca por encima de todas las demás: la mala configuración, responsable de la filtración de miles de millones de registros cada año y que sigue siendo una gran amenaza para la seguridad, la reputación y los resultados de las empresas.
Desde ESET aconsejan que, para mitigar esta persistente amenaza con forma humana las organizaciones deberán centrarse en obtener una mejor visibilidad y control de sus entornos en la nube, utilizando herramientas automatizadas cuando sea posible.
Índice de temas
¿Cómo de graves son las fugas de datos en la nube?
La transformación digital salvó a muchas organizaciones durante la pandemia. Y ahora se considera la clave del éxito para salir de la crisis económica mundial. Las inversiones en la nube se sitúan en el centro de estos proyectos, ya que respaldan las aplicaciones y los procesos empresariales diseñados para impulsar nuevas experiencias de los clientes y la eficiencia operativa. Según Gartner, se prevé que el gasto mundial en servicios en la nube pública crezca un 18,4% en 2021 hasta alcanzar un total de casi 305.000 millones de dólares, y que aumente un 19% más el próximo año.
Sin embargo, tal y como señalan los expertos de ESET, esto abre la puerta a los errores humanos, ya que las configuraciones erróneas exponen los datos sensibles a actores potencialmente maliciosos. A veces estos registros contienen información personal identificable (PII), como la filtración que afectó a millones de personas en un desarrollador español de software de reservas hoteleras el año pasado. A veces, se trata de algo aún más sensible. El mes pasado se supo que una lista de vigilancia terrorista clasificada de Estados Unidos había sido expuesta al público en Internet.
La mala noticia para las organizaciones, afirman desde ESET, es que los actores responsables de las amenazas buscan cada vez más estas bases de datos expuestas. En el pasado, se han borrado y se ha pedido un rescate por ellas, e incluso se han atacado con un código digital de rastreo de la web.
¿Cuál es el problema?
Gartner predijo que para 2020, el 95% de los incidentes de seguridad en la nube serían culpa del cliente. Entonces, ¿de quién es la culpa? Se reduce a una serie de factores, como la falta de supervisión, el escaso conocimiento de las políticas, la ausencia de supervisión continua y el exceso de APIs y sistemas en la nube que hay que gestionar. Esto último es especialmente grave a medida que las organizaciones invierten en múltiples entornos de nube híbrida. Las estimaciones sugieren que el 92% de las empresas tienen hoy en día una estrategia de nube múltiple, mientras que el 82% tiene una estrategia de nube híbrida que aumenta su complejidad.
La desconfiguración de la nube puede adoptar muchas formas, según ESET:
- La falta de restricciones de acceso. Esto incluye el problema común del acceso público a los cubos de almacenamiento de AWS S3, que podría permitir a los atacantes remotos acceder a los datos y escribir en las cuentas de la nube.
- Políticas de grupo de seguridad demasiado permisivas. Esto podría incluir hacer que los servidores AWS EC2 sean accesibles desde Internet a través del puerto 22 de SSH, lo que permitiría ataques remotos.
- Falta de controles de permisos. No limitar los usuarios y las cuentas al mínimo privilegio puede exponer a la organización a un mayor riesgo.
- Rutas de conectividad a Internet mal entendidas.
- Funciones de redes virtualizadas mal configuradas
Los expertos de ESET advierten de que la tecnología de la información (TI) en la sombra también puede aumentar las posibilidades de que ocurra lo anterior, ya que la TI no sabrá si los sistemas en la nube se han configurado correctamente o no.
Recomendaciones de ESET para solucionar la desconfiguración de la nube
Los expertos de la compañía explican que la clave para las organizaciones es encontrar y solucionar automáticamente cualquier problema lo antes posible. Dichos profesionales, sin embargo, parecen estar fallando. Según un informe, un atacante puede detectar las desconfiguraciones en 10 minutos, pero sólo el 10% de las organizaciones solucionan estos problemas en ese tiempo. De hecho, la mitad (45%) de las organizaciones están arreglando las desconfiguraciones entre una hora y una semana después.
Entonces, ¿qué se puede hacer para mejorar las cosas? El primer paso que recomiendan hacer desde ESET, es comprender el modelo de responsabilidad compartida para la seguridad en la nube. Esto denota de qué tareas se encargará el proveedor de servicios (CSP) y cuáles son competencia del cliente. Mientras que los CSP son responsables de la seguridad de la nube (hardware, software, redes y otras infraestructuras), los clientes deben asumir la seguridad en la nube, lo que incluye la configuración de sus activos.
Una vez establecido esto, ESET también recomienda que las empresas lleven a cabo las siguientes buenas prácticas:
- Limitar los permisos: Aplicar el principio del mínimo privilegio a los usuarios y a las cuentas en la nube, minimizando así la exposición al riesgo.
- Cifrar los datos: Aplicar un cifrado fuerte a los datos críticos para el negocio o altamente regulados para mitigar el impacto de una fuga.
- Comprobar el cumplimiento de la normativa antes del aprovisionamiento: Dar prioridad a la infraestructura como código y automatizar las comprobaciones de configuración de políticas lo antes posible en el ciclo de vida del desarrollo.
- Realizar auditorías continuas: Los recursos de la nube son notoriamente efímeros y cambiantes, mientras que los requisitos de cumplimiento también evolucionarán con el tiempo. Esto hace que las comprobaciones continuas de la configuración con respecto a la política sean esenciales. Las compañías deben, asimismo, considerar la posibilidad de utilizar herramientas de gestión de la seguridad en la nube (CSPM) para automatizar y simplificar este proceso.
Los expertos en ciberseguridad de ESET aseguran que, con la estrategia adecuada, las compañías podrán gestionar el riesgo de la seguridad en la nube de forma más eficaz y liberar al personal para que sea más productivo en otros ámbitos. A medida que los actores de las amenazas mejoran en la búsqueda de datos expuestos en la nube, no hay tiempo que perder.
