En lo que va de año ya se han contabilizado cinco casos de organizaciones que han dejado expuestos sus datos almacenados en buckets S3 (sistema de AWS) o en bases de datos en la nube que han sido mal configurados de forma intencionada.
Estos casos no han sido producto de un error, sino que alguien ha eliminado o reducido las medidas de seguridad incluidas por defecto con el fin de permitir el acceso a estos recursos por parte de usuarios no autorizados.
Los investigadores de F5 Labs han rastreado las organizaciones cuyos recursos en la nube han sido expuestos desde 2017 debido a inseguridad intencional
Los investigadores de F5 Labs han rastreado las organizaciones cuyos recursos en la nube han sido expuestos desde 2017 debido a inseguridad intencional. La sorpresa es que el número de estas organizaciones ha crecido un 200% en 2018 con respecto a un año antes. Si este ritmo se mantiene, esperamos contabilizar hasta 90 brechas de seguridad en la nube durante este año, aunque probablemente haya muchas más que no lleguen nunca a documentarse.
Esta situación no es aceptable. No solo se exponen los datos privados de las empresas, sino de personas como tú y como yo, que podemos llegar a sufrir perjuicios en nuestras vidas muy concretos, como por ejemplo:
- En 2017, una empresa de servicios de reparación de créditos expuso los datos de sus clientes. ¿Cuánto tiempo crees que tardaron los estafadores en sacar partido de la información de las personas que lo único que trataban era intentar encauzar el curso de sus vidas?
- En 2018 se detectó que una empresa de seguridad residencial usaba en sus sistemas las mismas claves que en su servidor de almacenamiento de AWS al que se enviaban todas las grabaciones que se realizaban en los hogares que supuestamente protegían. Los hackers no tuvieron ningún problema en utilizar toda la información que estas grabaciones ofrecían de cada casa: distribución, patrones de comportamiento de sus habitantes, etc.
- Recientemente, una empresa de analítica de datos que ofrece servicio a entidades financieras filtró una base de datos que no tenía ninguna contraseña con 24 millones de registros de préstamos realizados en Estados Unidos. Seguramente, los ciberdelincuentes organizaron una fiesta ese día.Industria, Banca, Administración Pública… Ningún sector está fuera de peligro y todos llevan papeletas para ganar el gran concurso “Quién puede perder más datos por malas prácticas de seguridad”. En realidad, se trata de un concurso que nadie debería querer ganar, ni siquiera participar.Ya hemos asumido el nuevo modelo de economía digital, sin embargo, aún no nos damos cuenta que los bits y los bytes no solo representan dólares. yenes o libras, sino que representan personas reales cuyas vidas van a verse afectadas por estas violaciones de seguridad de una forma que nunca podremos llegar a saber, porque es algo sobre lo que nunca se informa.¿Cómo y por qué ocurre esto?¿Por qué alguien comprometería intencionadamente la seguridad de otras personas al configurar los buckets S3 y las bases de datos en la nube? En nuestra experiencia, los culpables rara vez se encuentran en el lado de las operaciones: los ingenieros de redes, administradores de bases de datos, ingenieros de sistemas e ingenieros de seguridad sabrían hacerlo mejor.
- Los ingenieros de redes son los responsables de administrar el acceso a los sistemas que van sobre la red, determinando qué sistemas pueden ser públicos. Por lo general, nunca permiten que una base de datos sea pública.
- Los administradores de bases de datos normalmente son los responsables de administrar el acceso a la base de datos y los permisos asociados. Nunca permitirían el acceso sin autenticación ni políticas de contraseñas débiles.
- Los ingenieros de sistemas administran las aplicaciones según los estándares de seguridad definidos. Si administraran un servidor web con una base de datos pública, lo asegurarían adecuadamente con un firewall de aplicaciones web.
- Los ingenieros de seguridad normalmente realizan evaluaciones independientes de todos los sistemas y de la red para garantizar el cumplimiento de las políticas de seguridad.Por el contrario, suele ser en el lado del desarrollo de producto en el que se decide no incorporar capacidades de seguridad existentes. En la mayoría de los casos porque puede retrasar el time to market.Moverse a la nube permite a los desarrolladores eludir los roles tradicionales de TI pero, obviamente, estos roles siguen siendo necesarios, sobre todo, si tenemos en cuenta el creciente número de brechas que se producen en este entorno. Al prescindir de esas funciones, los desarrolladores implementan sistemas con funciones de seguridad mal configuradas. En realidad, no lo hacen porque quieran, sino porque no son conscientes de las consecuencias o porque piensan que es improbable que llegue a producirse una infracción.
Qué se puede hacer para mantener la seguridad en la nube
¿Cómo solucionamos este problema? Nadie sugiere que volvamos a los retrasos prolongados en el despliegue de los sistemas (una queja común de los desarrolladores), pero tal vez deberíamos comenzar a hablar de DevSecOps como disciplina para infundir buenas prácticas de seguridad en el ámbito del desarrollo. Todos los equipos tienen que formar parte de la conversación. Hay que recordar que la mayor parte de organizaciones que están en la nube pública están adquiriendo herramientas de auditoría de seguridad de la nube externas que lo único que hacen es producir los informes que el equipo de seguridad podría haber obtenido con datos de otros equipos internos.
Sí, la seguridad es complicada y sí, la seguridad a veces ralentiza los proyectos. Pero ignorar intencionadamente o degradar la seguridad porque acelera los procesos es simplemente inaceptable, además de poco ético. Las personas reales pueden sufrir perjuicios reales, y no solo financieros. Esas personas existen de verdad, no son encarnaciones digitales que interactúan y confían sus datos a las empresas cada día.
Es hora de dejar de explicar estos incidentes como el resultado de una mala configuración y comenzar a llamarlos lo que son: prácticas de inseguridad intencional y deliberada. Más importante aún, los profesionales de InfoSec deben comenzar a denunciar estas prácticas con más firmeza. Tal vez recordando que la seguridad es una cuestión que afecta a las personas y no solo a los procesos.
