6.18.

Riesgos y amenazas en entornos cloud

La preocupación por la ciberseguridad en entornos cloud ha hecho que desde el año
2008 se intenten clasificar los riesgos, amenazas y  vulnerabilidades específicos del
paradigma para intentar también proponer soluciones, defensas y contramedidas
particulares que generen confianza en los potenciales clientes. El problema es que no
hay una propuesta estándar, aunque cada vez existe un acuerdo mayor en los aspectos
más importantes.

Vamos a centrarnos en un par de análisis que se encuentran entre los más aceptados en
la actualidad. Según el análisis de riesgos específicos para cloud computing que realizó
ENISA en el año 2009, los 10 riesgos más importantes son los que se muestran en la
siguiente figura (no están ordenados por importancia o criticidad).

El Top10 de riesgos de cloud computing en 2009 según ENISA.

Más recientemente, la Cloud Security Alliance (CSA) ha identificado en su lista The

Notorious Nine las nueve amenazas más importantes en entornos cloud.

 
 The Notorious Nine en 2013 según la CSA.

Como puedes observar, a pesar de que han pasado cuatro años entre un análisis y el
otro, los riesgos y amenazas que más preocupan son prácticamente los mismos. Lo
mismo ha pasado con el último listado de amenazas que ha publicado también la CSA,
"The Treacherous 12 - Cloud Computing Top Threats in 2016", las cosas no han
cambiado prácticamente nada.

Un primer grupo tiene que ver con aspectos legales, organizativos y estratégicos.
Preocupa todo lo relacionado con la externalización, como la cautividad de un
proveedor específico (que puede quebrar, fusionarse con otro, cambiar las condiciones
de prestación del servicio, etc.), la oscuridad, entendida como falta de información que
permita alinear la tecnología con los objetivos estratégicos (es decir, la dificultad en la
gobernanza), la pérdida de disponibilidad (sin tener la oportunidad de intervenir en los
planes de gestión de incidentes del proveedor o en sus planes de continuidad del
servicio) o la imposibilidad de garantizar que se cumplen ciertas normativas y
regulaciones. Pensemos en el típico ejemplo de empresa que opera en España, y por lo
tanto está obligada a cumplir con la LOPD, que utiliza un sistema CRM de un
proveedor estadounidense con centros de datos repartidos por los cinco continentes.
El segundo grupo es el que incluye a los riesgos puramente tecnológicos, es decir,
aquellos que pueden afectar a la confidencialidad, integridad, disponibilidad y
control de acceso por vulnerabilidades de las tecnologías y modelos que subyacen al
paradigma. En este caso, preocupan especialmente los atacantes internos que trabajen
para los proveedores y las vulnerabilidades específicas de las interfaces y APIs de
acceso así como de las tecnologías de virtualización. Estos dos últimos aspectos
aumentan la superficie de exposición de los activos y por una mala gestión del acceso a
través de tecnologías estándar y de Internet o del multi-tenancy (es decir, por un fallo en
el aislamiento entre los usuarios que están utilizando los mismos recursos físicos)
pueden permitir materializar amenazas graves.

En este contexto, cabe destacar que los patrones de ataque que más se observan en la
actualidad ya los conoces: son las inyecciones de comandos y código, los forgeries y los
diferentes secuestros de sesión y/o cuenta debidos a los esquemas IAAA débiles,
normalmente basados, todavía en la actualidad, en un único factor de autenticación (par
nombre de usuario-contraseña).