A finales de 2022, Gartner preveía un aumento del 20% del gasto mundial en la nube pública en 2023. Tal crecimiento ha suscitado una serie de preguntas, y cada vez más personas cuestionan públicamente la filosofía de "todo en la nube". ¿Por qué? Porque las cuestiones de la gobernanza de los datos, el cumplimiento normativo y la seguridad de los datos en general siguen suscitando otras tantas preguntas en respuesta a los crecientes riesgos cibernéticos. Entonces, ¿son esos riesgos imaginarios, o realidad?
Un estudio de 451 Research, publicado a finales de 2022, citaba incluso una cifra del 54% de los encuestados que habían retirado sus datos de la nube pública en el último año. Pero, ¿están justificados estos riesgos? ¿Deberíamos plantearnos volver al modelo tradicional en local? ¿Podría ser la clave una seguridad en la nube más eficaz? Ofrecemos algunas explicaciones y respuestas.
Los peligros de la nube
Ya se trate de infraestructura, software o plataforma, el modelo "as-a-service" se ha convertido en imprescindible para muchas empresas e instituciones. Sus ventajas son innegables: flexibilidad, escalabilidad, alta disponibilidad, accesibilidad a los datos y opciones de pago por uso. Pero cualquier debate sobre la nube debe abarcar los conceptos de nubes públicas y privadas, así como SaaS (Software-as-a-Service), IaaS (Infrastructure-as-a-Service) y PaaS (Platform-as-a-Service). Y cada uno de estos tipos de nube conlleva sus propios aspectos económicos y sus propios riesgos.
A pesar de la ubicuidad de estos servicios, la preocupación por la seguridad de los datos en la nube se manifiesta cada vez con mayor insistencia. Una cierta sensación de pérdida de control ha creado la percepción de un vínculo entre la nube y la fragilidad de los datos. En primer lugar, preocupa la confidencialidad de los datos almacenados a través de plataformas estadounidenses, tras la adopción del Cloud Act por parte de Estados Unidos en 2018. En segundo lugar, preocupa el riesgo de error humano, ya que una configuración de seguridad incorrecta puede dar lugar a fugas masivas de datos.
El segundo temor generalizado es el coste oculto de la nube. A menudo presentada como una solución menos costosa que las infraestructuras de TI "in situ", la verdad sobre la nube es en realidad algo más matizada. En un evento, el CEO de Computacenter, Mike Norris, hizo una afirmación tajante: "El control de costes es el mayor reto (con el modelo) de la computación en nube porque no es software como servicio, es software como rehén". Hay varias razones para gastar más de la cuenta: mayores costes de almacenamiento, mayores costes operativos y de eliminación de datos, costes de tránsito mal calculados, etc. Mientras tanto, la crisis de los precios de la energía ha (re)abierto los ojos sobre el consumo energético de los centros de datos.
El último temor vinculado al uso de la nube es la vulnerabilidad de los datos almacenados en ella, que constituyen un objetivo primordial para los ciberdelincuentes. Para acceder a estos datos, los ciberdelincuentes pueden atacar diversos elementos de la nube, como los servicios de TI, los servicios de almacenamiento y las aplicaciones. En 2021, por ejemplo, un estudio anunció que el 90% de los buckets S3 de la plataforma Amazon Web Services eran vulnerables al ransomware. Ese mismo año, Cognite, Facebook y Kaseya fueron víctimas de ciberataques contra bases de datos en la nube. En diciembre de 2022, Rackspace Technology, uno de los mayores proveedores de alojamiento en la nube de Estados Unidos, también sufrió un ciberataque que provocó cortes en su servicio alojado de Microsoft Exchange. Estos pocos ejemplos de ataques (entre muchos otros) están contribuyendo a la sensación de inseguridad que las empresas tienen sobre la nube. Después de todo, incluso las soluciones de ciberseguridad están siendo atacadas en la nube; por ejemplo, los motores de búsqueda están llenos de artículos sobre ataques a LastPass y sus servicios de almacenamiento seguro de contraseñas. Y es que, aunque la ciberseguridad no es un obstáculo para la adopción de la nube, sigue siendo una gran preocupación para el 95% de las empresas, según una encuesta realizada por otro fabricante.
Y la situación es aún más compleja, ya que además de atacarlos, los ciberdelincuentes están utilizando los entornos en la nube como vehículo para algunos de sus ataques. Así es: el malware se distribuye cada vez más a través de servicios en la nube. En su último estudio, Cloud and Threat Report, el fabricante Netskope informó de que el número de aplicaciones en la nube que propagan malware se había... triplicado para 2022.
¿Ha llegado el momento de abandonar la nube?
La nube es objeto de interrogantes desde hace varios años. Algunas empresas han tomado medidas públicas: entre ellas, la rama encargada de la publicidad en France Télévisions cambió sus copias de seguridad en la nube por una infraestructura en local en 2020. Más recientemente, a principios de 2023, 37signals – fabricante de las plataformas colaborativas Hey y Basecamp – anunció un ahorro de 7 millones de dólares al retirarse de la nube de Amazon.
Pero irse de la nube no es una decisión que pueda tomarse a la ligera, y requiere realizar previamente una evaluación de impacto. Tanto las preguntas que hay que hacerse como los recursos necesarios deben considerarse de antemano. Migración de infraestructuras, migración de datos y usuarios, adaptación de las normas de seguridad, gestión del cambio... son sólo algunas de las cuestiones que pueden impedir a las empresas pasarse a la nube. Al externalizar recursos a través de la computación en nube, las empresas se han desvinculado de las competencias humanas y materiales que requieren las instalaciones locales. Por tanto, parece necesario invertir en recursos materiales y humanos. Sin embargo, abandonar la nube no significa necesariamente volver exclusivamente a la infraestructura local. Existen soluciones intermedias, como el alquiler de espacio (alojamiento por unidades de rack o una sala entera) en centros de datos privados, o la suscripción de un contrato de externalización con un proveedor de servicios. Estas dos soluciones permiten a las empresas explotar la infraestructura existente (peering, instalaciones seguras, infraestructura eléctrica, climatización) y las certificaciones de redundancia (Tier I - II - III - IV) para evitar inversiones colosales.
Combinar la nube y la ciberseguridad
Existe otro enfoque: combinar la nube y la ciberseguridad. Este enfoque es tanto más importante cuanto que "seguridad en la nube" significa a menudo "seguridad en las nubes". Los componentes de seguridad específicos de los distintos mercados deben reforzarse o sustituirse por las capacidades de los proveedores especializados de ciberseguridad (segmentación interna, filtrado entre distintos recursos, sistemas de detección de intrusiones, herramientas de gestión de identidades y accesos, enlaces VPN de confianza, etc.). Desde esta perspectiva multi-nube, la elección de una marca de cortafuegos especialista para desplegar en cada nube tiene sentido en términos de experiencia, visibilidad y gestión, en comparación con tener que administrar las distintas configuraciones de los cortafuegos nativos de cada nube.
¿Y cómo elegir entre las distintas plataformas en nube? En otras palabras: ¿cómo elegir una nube segura? El Gobierno francés intenta responder a esta pregunta con el estándar SecNumCloud, que proporciona una calificación a los proveedores de servicios en la nube. Guillaume Poupard, antiguo Director General de la ANSSI, dijo en una ocasión: "Para promover un entorno digital protegido que siga el ritmo de los avances tecnológicos, incluso para los datos y aplicaciones más críticos, es necesario identificar los servicios en la nube de confianza". Esta etiqueta acredita la confianza del gobierno francés al cumplir los estrictos requisitos cibernéticos establecidos por la ANSSI. Cumplimiento del más alto nivel de seguridad en materia de protección de datos, un acuerdo de nivel de servicio preciso y garantía de ubicación de los datos: las nubes calificadas ofrecen una mayor protección frente a las leyes no europeas.
Pero nada de esto debe restar importancia a garantizar que los intercambios en la nube sean seguros. Esto se debe a que, por lo general, los ciberdelincuentes tratarán de explotar un fallo en una instancia cliente y luego intentarán penetrar en el sistema global, en lugar de atacarlo de frente. En un momento en el que las herramientas de colaboración en la nube (como Google Workspace y Microsoft 365) se utilizan cada vez más en las organizaciones, la información está expuesta a los riesgos de interceptación, fuga y robo de datos. Cifrar los archivos permite intercambiar datos sensibles de forma segura: los datos sensibles se cifran y descifran automáticamente para las personas autorizadas. Pero para ser eficaz, la seguridad de los datos sensibles debe combinarse con la facilidad de uso que ofrecen las plataformas. Pero ese es un tema para otra ocasión...
Los temores sobre la fragilidad de los datos en la nube nos obligan a plantearnos las preguntas adecuadas sobre este entorno tan especial. Destacan las vulnerabilidades de la nube y los requisitos de seguridad asociados. La seguridad en la nube no es algo que deba considerarse de forma aislada: las empresas también deben concienciar a sus empleados sobre el alcance más amplio de las ciberamenazas. Esta es la única manera de elevar el nivel de seguridad no sólo de sus activos en la nube, sino también de todo su perímetro. Al fin y al cabo, en la nube, la seguridad es un problema a todos los niveles.
