Datos clasificados del Pentágono quedaron expuestos durante años debido a una vulnerabilidad de la nube de Amazon.

El negocio de almacenar datos en internet es cada vez más lucrativo para los gigantes de la web. De hecho, fue una de las mayores inversiones de Amazon en el último año.

Sin embargo, varios expertos en seguridad consideran que Amazon Web Services (AWS) tiene demasiadas fallas.

Una investigación de la BBC encontró hasta 50 «advertencias amistosas» en los servidores de la empresa por parte de analistas hacia los usuarios de ese servicio.

Algunos de los clientes son grandes empresas (mayoritariamente estadounidenses) como Tesla, FedEx, Verizon, Unilever, Kellogg’s, Netflix, Airbnb o Uber, y también instituciones públicas como el Pentágono, la NASA y el ejército estadounidense, además de decenas de miles de usuarios privados.

Según Amazon, más de un millón de personas alrededor del mundo usan sus servicios en la nube.


¿Qué es el almacenamiento en la nube?

  • Son redes de computadoras que actúan como un disco duro.
  • Las compañías que ofrecen estos servicios operan con enormes centros de procesamiento de datos.
  • En ellos se pueden almacenar prácticamente todo tipo de datos o archivos.
  • Las empresas usan la nube para guardar imágenes, documentos y otros datos de sus sitios web.
  • Su popularidad radica en que a veces solo hace falta una tarjeta de crédito para crearlas y ofrecen un servicio rápido.
  • Algunos de los más populares son Dropbox, Google Drive, iCloud (Apple) y Onedrive (Microsoft).

Pero los especialistas dicen el sistema tiene errores que permiten hacer públicos datos que deberían ser privados.

En sus mensajes, los investigadores urgen a los propietarios de las cuentas a que pongan a salvo su información antes de que sea sustraída por hackers maliciosos.

Y esta no es la primera vez que la nube de Amazon falla.

Servicios en la nube de Amazon, Google, Dropbox, Microsoft y Apple.
Amazon compite con Google, Microsoft, Dropbox y Apple en una línea de negocio cada vez más lucrativa para los gigantes de la web.

«Altas tasas de error»

En febrero de 2017 hubo varios problemas en Estados Unidos. Los responsables de Amazon dijeron entonces que sus servidores estaban experimentando «altas tasas de error» y que están trabajando «activamente para solucionar el problema».

Usuarios de Netflix y Spotify dijeron que experimentaron reproducción lenta de los contenidos y el sitio de preguntas y respuestas Quora, así como la agencia de noticias Associated Press, también quedaron afectados.

Desde entonces, ha habido varias alertas.

En algunas de ellas, los expertos en seguridad advierten que los datos están siendo expuestos. En otras más explícitas, cuentan también qué consecuencias podría tener algo así para la empresa o el individuo (por ejemplo, la ralentización de una página web).

«Por favor, arreglen esto antes de que una persona con malas intenciones lo encuentre», se lee en uno de los textos a los que tuvo acceso la BBC, que envió a Amazon su lista con los cerca de 50 sitios que recibieron advertencias de seguridad.

advertencia
«Cualquiera puede escribir en este ‘bucket’. Por favor, arreglen esto», dice una advertencia.

«Buckets» extraviados

El investigador de seguridad Robbie Wiggins, quien trabaja analizando sistemas de nube poco seguros, dice que a menudo, las propias empresas complican la tarea de denunciar los problemas porque no dejan datos de contacto o administradores a cargo del servicio para que los equipos de seguridad les llamen.

Wiggins fue uno de los analistas que emitió advertencias y afirma que tiene una lista de unos 2.000 buckets de Amazon («cubos» contenedores de archivos) que no están protegidos.

almacenamiento en la nube
Los «buckets» en los que se almacenan los archivos pueden llegar a extraviarse.

«Muchos buckets parecen haber sido abandonados u olvidados», le dijo el especialista a la BBC.

Los expertos de seguridad están analizando principalmente los servidores S3 (Simple Storage Service), que forman parte del AWS de Amazon y dan servicio a unos 150.000 sitiosalrededor del mundo, la mayoría en Estados Unidos.

Durante los últimos 18 meses, Uber, Verizon, el World Wrestling Entertainment (WWE), la consultoría estadounidense Booz Allen, el índice bursátil Dow Jones, la empresa de cotización de acciones Alteryx y tres compañías de minería de datos han visto sus datos expuestos debido a buckets de Amazon mal configurados.

Las empresas perdieron datos que incluían información sobre identidades digitales de millones de personas, según investigó la BBC.

El consultor de seguridad británico Robin Wood, quien desarrolló una herramienta para escanear buckets para quienes investigan estos asuntos, le contó a la BBC que la facilidad con la que se pueden comprar y configurar los servicios de almacenamiento los hace atractivos para muchas empresas.

Wood asegura que son especialmente útiles para proyectos a corto plazo que deben gestionarse con rapidez.

El problema es que muchas veces esos buckets no quedan protegidos una vez finaliza el proyecto y los datos terminan siendo abandonados y desprotegidos, por lo que son un blanco fácil para los hackers.

«Es increíble cómo muchas grandes empresas tienen una página web o un paquete de alojamiento web que los equipos de informática y seguridad desconocen», añadió el experto.

Cualquiera que se encuentre con los datos podría obtener información valiosa, como archivos de bases de datos o claves de inicio de sesión que les den acceso a otras redes, explicó.

almacenamiento en la nube
Existen herramientas, como la encriptación de archivos, para mejorar la seguridad de los datos en la nube.

¿Cómo protegerte?

Una vocera de Amazon declaró que su nube sí mantiene los datos privados.

Sin embargo, dijo que la compañía ha creado varias herramientas para que a sus clientes les resulte más fácil garantizar la seguridad de sus datos y averiguar quién puede acceder a ellos.

Por ejemplo, la pantalla principal que se usa para administrarlos tiene un sistema de «luces de semáforo» que muestra cuándo están abiertos al público.

También declaró que el hecho de que esos datos estén «abiertos» no significa que estén mal configurados, y que muchas grandes organizaciones tienen información pública a propósito.

Sin embargo, James Hatch, director de inteligencia aplicada en BAE Cyber Services, cree que a pesar de ello muchas empresas no gestionan bien los datos que publican en la nube.

«Es como un terreno vacío. Tienes los elementos adecuados para establecer la seguridad apropiada, pero depende de ti hacerlo«, le contó a la BBC.

«Es vital que realices un chequeo de la seguridad de lo que tienes en la nube, y más aún si recibes advertencias o percibes comportamientos sospechosos en tus cuentas», se lee en el blog de la compañía de seguridad Tripwire.

Amazon ofrece opciones como la encriptación de archivos, la comprobación de permisos o los inventarios, pero también puedes usar aplicaciones externas.

Fuente: BBC Mundo