www.espoch.edu.

ec
Facultad de Informática y
Electrónica

Prof. Raúl Lozada Yánez Mg.

raul.lozada@espoch.edu.ec
Computación para la
Nube
 ESCUELA SUPERIOR POLITECNICA DE
CHIMBORAZO

Capitulo II - SEGURIDAD DE LA
COMPUTACIÓN EN LA NUBE

Prof. Raúl Lozada Y. Mg.

4
 ¿Cómo definir la seguridad informática?

Real Academia de la Lengua (RAE)

• Seguridad es la “cualidad de seguro”.

• Seguro “libre y exento de todo peligro, daño o riesgo”.

Entonces…
SEGURIDAD INFORMÁTICA es “la cualidad de un
sistema informático exento de peligro”.
 Triada CIA
Propiedad de salvaguardar lade
exactitud y completitud de en
los activos.
Es la propiedad por la que el activo información no se que
Propiedad o característica los activos consistente ponelas

a
Información
entidades
 no modificada
o procesos ni manipulada,
autorizados no alelosfalte
tienen acceso ni lecuando
mismos sobre
disposición o se revela a individuos, entidades o procesos no
nada.
lo requieran.
autorizados.
Garantiza que los
la información no sea alterada, eliminada o destruida
Asegura que sólo las personas autorizadas podrán acceder a aesa
Asegura que usuarios autorizados puedan tener acceso la

por entidadesy a
información o los
personas
mediosnoasociados
autorizadas.
en el momento que lo deseen.
información confidencial o secreta.

El no repudio sirve a emisores

Confidencialidad o receptores para negar
(Confidentiality),
un mensaje transmitido. Por lo que cuando un mensaje
Integridad (Integrity)
se envía, el receptor puede probar que el mensaje fue
enviado por el presunto emisor.
Disponibilidad (Availability).

6
Problemas de seguridad en la Nube

7
 Definición de NIST
• National Institute of Standards and Technology

• "...Cloud Computing es un modelo para permitir acceso conveniente por

demanda a un conjunto compartido de recursos computacionales
configurables, por ejemplo, redes, servidores, almacenamiento,
aplicaciones y servicios que pueden ser rápidamente aprovisionados y
liberados con un esfuerzo mínimo de administración o de interacción con
el proveedor de servicios. Este modelo de nube promueve la disponibilidad
y está compuesto por cinco características esenciales, tres modelos de
servicio y cuatro modelos de despliegue..."

SITIO WEB
Características del modelo
• 1) On-demand self-service:
Autoservicio por demanda
• 2) Broad network access:
Acceso amplio desde la red
• 3) Resource pooling :
Conjunto de recursos
• 4) Rapid elasticity:
Rápida elasticidad
• 5) Measured Service:
Servicio medido
Modelos de Servicios
 Modelos de Servicios

• 1) Cloud Software as a Service (SaaS): Software

como un servicio. Office 365
• 2) Cloud Platform as a Service (PaaS): Plataforma
como un servicio. PHP, JavaScript, C++
personalizado habilitado para .NET
• 3) Cloud Infrastructure as a Service (IaaS):
Infraestructura como un servicio. En el caso de
Microsoft, el conjunto de System Center de productos
y el entorno de servidor de nube Hyper-V.
Modelos de Despliegue
1) Private cloud
2) Community cloud
3) Public cloud
4) Hybrid cloud
Acceso a la nube con Microsoft
 “Si conoce Windows Server, si sabe de System
Center, lo llevaremos a la nube usando las
herramientas que ya está usando”. – Brad Anderson,
vicepresidente corporativo, División de
administración y seguridad, Microsoft”.
• Office 365: versión a petición de SaaS de Microsoft
Office, SharePoint, OneDrive, Teams, etc. Office 365
incluye todas las aplicaciones del conjunto de
empaquetado de MS Office para los servicios de
comunicación y colaboración comúnmente hospedados
por un centro de datos empresarial, partiendo por $ 6,60
por usuario al mes.
• Microsoft Azure: una oferta de plataforma como servicio que entrega ciclos de
proceso, almacenamiento y el marco de aplicaciones integradas de .NET conocidas
para los desarrolladores y profesionales de TI de Windows a petición. Windows
Azure es un recurso informático casi infinitamente escalable que una organización
puede aprovechar según necesite para cargas de trabajo pequeñas o grandes, una
base para servicios integrales de escala empresarial o la eficacia para realizar
proyectos masivos de extracción de datos que pueden llamar datos prácticamente
desde cualquier parte.
• SQL Azure: una base de datos de escala global a petición, SQL Azure
proporciona una versión en línea de SQL Server que se complementa con
Windows Azure o que se puede llamar desde otras aplicaciones para
entregar rendimiento de base de datos de alto vuelto a cualquier escala.
• Microsoft InTune: InTune es el servicio de administración de equipos
basados en la nube de Microsoft que extiende las capacidades
administrativas, como actualizaciones de software, administración de
directivas y copias de seguridad a cada rincón del planeta. Imagine tener
los recursos que Microsoft usa para actualizar los equipos en todo el
mundo, InTune y System Center trabajan en sincronía para aunar todos los
recursos de proceso que una organización posee o usa en una sola consola
con un flujo de trabajo de mantenimiento y administración.
Seguridad
1) Integrated Security
2) Secure Messaging
3)Secure Collaboration
4)Secure Endpoint
5) Identity and Access
Management

VIDEO
6) Information Protection
IDENTIDAD EN LA NUBE
¿Qué es identidad?
• Todo aquello que hace que una entidad sea
definible y reconocible, en términos de
posesión es una serie de cualidades o
características que la distingan de otras
entidades.

• Para los propósitos de aplicaciones software,

esta definición se traduce en “la colección de
información que describe una entidad para
distinguirla de otras”.
 Autenticación: El proceso de probar una identidad

Existen tres escenarios de uso principales que tienen que ver con la
identidad:

• Autenticación: El proceso de probar una

identidad.
• Autorización: El proceso de conceder
permisos a una identidad y de implementar
políticas.
• Consulta de identidad: El proceso de
consultar o buscar información de identidad
para el uso general de la aplicación.
 Escenario básico
La aplicación y el STS establecen una relación de
confianza con el intercambio de claves criptográficas. (1).
La aplicación expone una política que define una lista de
notificaciones que necesita y los STS de confianza que
pueden producir dichas notificaciones.
Luego de recuperar esta política (2), El cliente contacta el
STS (3) y solicita las notificaciones requeridas por la
aplicación. El STS autentica al usuario y le devuelve un
token de seguridad que contiene todas las notificaciones
requeridas por la app.
El cliente luego hace la solicitud a la aplicación (4),
enviando el token de seguridad con la solicitud del
servicio. La aplicación valida el token y usa las
notificaciones para hacerle una revisión al cliente y
formular la respuesta.
 En este nuevo ejemplo (en la nube), la Administración
de Contoso ha emitido órdenes administrativas al
departamento de IT para permitir a los empleados de
su asociado, Fabrikam, el uso de una aplicación que
hasta el momento sólo ha estado disponible para
empleados de Contoso. La política de servicio es muy
sencilla: se presenta el token creado por el STS de
Contoso, y se proveerá el servicio. Los empleados de
Contoso pueden con facilidad recibir el token y usar el
servicio, pero los empleados de Fabrikam no tienen la
habilidad de usar el STS de Contoso. Por lo tanto, en
lugar de incorporar una relación directa con el STS de
Fabrikam a la aplicación, los empleados de Fabrikam
pueden usar los tokens que han recibido del STS de
Fabrikam para que el STS de Contoso les de un token
basado en el hecho de que confía en el STS de
Fabrikam.

• Los empleados seran autenticados en el STS local de la organización (1), recibirán un token (2), y lo
presentarán ante el STS de Contoso (3).
• Cuando se ha establecido la confianza entre dos STS, las reglas de asignación de notificaciones se
definieron. Usando estas reglas, el STS de Contoso asigna las notificaciones suministradas por el STS de
Fabrikam y las utiliza para crear un token válido para la aplicación (4).
• Luego de recibir el token producido por el STS de Contoso, los empleados de Fabrikam pueden enviarlo a
la aplicación para recibir el servicio (5).
 GRACIAS

www.espoch.edu.ec
www.espoch.edu.ec
Facultad de Informática y
Electrónica

Prof. Raúl Lozada Yánez Mg.

raul.lozada@espoch.edu.ec
Computación para la
Nube
 ESCUELA SUPERIOR POLITECNICA DE
CHIMBORAZO

Capitulo II - SEGURIDAD DE LA
COMPUTACIÓN EN LA NUBE

Prof. Raúl Lozada Y. Mg.

4
CLOUD COMPUTING
Tipos de Infraestructuras Cloud
Público
Privado
Comunitario
Híbridos
Tipos de servicios Cloud
Software como Servicio (SaaS)
Plataforma como Servicio (PaaS)
Infraestructura como Servicio (IaaS)
 Tipos de Infraestructura Cloud
Público
Es aquel tipo de cloud en el cual la infraestructura y los recursos lógicos
que forman parte del entorno se encuentran disponibles para el público
en general a través de Internet.
Suele ser propiedad de un proveedor que gestiona la infraestructura y el
servicio o servicios que se ofrecen.

VENTAJAS
Escalabilidad.
Eficiencia de los recursos
mediante los modelos de pago por
uso.
Gran ahorro de tiempo y costes.
INCONVENIENTES
Se comparte la infraestructura con
más organizaciones.
Poca transparencia para el cliente,
ya que no se conoce el resto de
servicios que comparten recursos,
almacenamiento, etc.
Dependencia de la seguridad de
un tercero.
 Tipos de Infraestructura Cloud
Privado
Este tipo de infraestructuras cloud se crean con los recursos propios de la
empresa que lo implanta, generalmente con la ayuda de empresas
especializadas en este tipo de tecnologías.

VENTAJAS
Cumplimiento de las políticas
internas.
Facilidad para trabajo colaborativo
entre
sedes distribuidas.
Control total de los recursos.
INCONVENIENTES
Elevado coste material.
Dependencia de la infraestructura
contratada.
Retorno de inversión lento dado su
carácter
de servicio interno.
 Tipos de Infraestructura Cloud
Comunitario
Un cloud comunitario se da cuando dos o más organizaciones forman una
alianza para implementar una infraestructura cloud orientada a objetivos
similares y con un marco de seguridad y privacidad común.

VENTAJAS INCONVENIENTES
Cumplimiento con las políticas Seguridad dependiente del
internas. anfitrión de la infraestructura.

Reducción de costes al compartir Dependencia de la infraestructura

la infraestructura y recursos. contratada.

Rápido retorno de inversión.

 Tipos de Infraestructura Cloud

Híbridos
Este es un término amplio que implica la utilización conjunta de varias
infraestructuras cloud de cualquiera de los tres tipos anteriores, que se
mantienen como entidades separadas pero que a su vez se encuentran
unidas por la tecnología estandarizada o propietaria, proporcionando una
portabilidad de datos y aplicaciones.

En este caso las ventajas e inconvenientes son los mismos que los
relativos a los tipos de cloud que incluya la infraestructura.
 Tipos de Servicios Cloud
Software como servicio (SaaS)
Este modelo, Software como servicio o SaaS (del inglés, Software as a
Service) consiste en un despliegue de software en el cual las aplicaciones
y los recursos computacionales se han diseñado para ser ofrecidos como
servicios de funcionamiento bajo demanda, con estructura de servicios
llave en mano. De esta forma se reducen los costes tanto de software
como hardware, así como los gastos de mantenimiento y operación.

Las consideraciones de seguridad son controladas por el proveedor del

servicio. El suscriptor del servicio únicamente tiene acceso a la edición de
las preferencias y a unos privilegios administrativos limitados.
 Tipos de Servicios Cloud
Plataforma como servicio (PaaS)
Este es el modelo de Plataforma como servicio o PaaS (del inglés,
Platform as a Service) en el cual el servicio se entrega como
bajo demanda, desplegándose el entorno (hardware y
software) necesario para ello. De esta forma, se reducen los costes y la
complejidad de la compra, el mantenimiento, el almacenamiento y el
control del hardware y el software que componen la plataforma.

El suscriptor del servicio tiene control parcial sobre las aplicaciones y la

configuración del entorno ya que la instalación de los entornos dependerá
de la infraestructura que el proveedor del servicio haya desplegado. La
seguridad se comparte entre el proveedor del servicio y el suscriptor.
 Tipos de Servicios Cloud

Infraestructura como Servicio (IaaS)

El fin principal de este modelo es evitar la compra de
recursos por parte de los suscriptores, ya que el
proveedor ofrece estos recursos como objetos
virtuales accesibles a través de un interfaz de
servicio.
El suscriptor mantiene generalmente la capacidad de
decisión del sistema operativo y del entorno que
instala. Por lo tanto, la gestión de la seguridad corre
principalmente a cargo del suscriptor.
Seguridad en Cloud
 SEGURIDAD EN CLOUD
Amenazas según CSA (Cloud Security Alliance)
Abuso y mal uso del cloud computing
Interfaces y API poco seguros
Amenaza interna
Problemas derivados de las tecnologías compartidas
Perdida o fuga de información
Secuestro de sesión o servicio
Riesgos por desconocimiento
Riesgos detectados por Gartner
Accesos de usuarios con privilegios
Cumplimento normativo
Localización de los datos
Aislamiento de datos
Recuperación
Soporte investigativo
Viabilidad a largo plazo
 Amenazas según CSA

Cloud Security Alliance

Abuso y mal uso del cloud computing: afecta

principalmente a los modelos IaaS y PaaS.
◦ Cualquier persona puede acceder a la nube.

Recomendaciones:
◦ Implementar un sistema de registro de acceso más restrictivo.
◦ Monitorizar el trafico de clientes para la detección de posibles
actividades ilícitas.
◦ Comprobar las listas negras públicas para identificar si los rangos IP de
la infraestructura han entrado en ellas.
Interfaces y API poco seguros:
◦ Los servicios de control, monitorización y
provisión se realizan a través de las API,
las cuales muestran debilidades por
parte de los proveedores.

Ejemplos:
◦ Permitir acceso anónimo, reutilización de tokens, autenticación sin
cifrar, etc.
◦ Limitaciones a la hora de gestión de logs (registros de actividad) y
monitorización.

Recomendaciones:
◦ Analizar los problemas de seguridad de las interfaces de los
proveedores de servicio.
◦ Asegurarse que la autenticación y los controles de acceso se
implementan teniendo en cuenta el cifrado de los datos.
Amenaza interna :
◦ La amenaza que suponen los usuarios es una de las más importantes, ya que
estos pueden desencadenar incidentes de seguridad provocados por empleados
desconectados, accidentes por error

Recomendaciones
◦ Especificar cláusulas legales y de confidencialidad en
los contratos laborales.
◦ Los proveedores de servicio deberán proveer a los consumidores del servi de medios
y métodos para el control de las amenazas internas.

Problemas derivados de las tecnologías compartidas:

◦ Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como Servicio
los componentes físicos (CPU, GPU, etc.) no fueron diseñados específicamente para una
arquitectura de aplicaciones compartidas.

Recomendaciones:
◦ Monitorizar los entornos para detectar cambios no deseados en las configuraciones o la actividad.
◦ Proporcionar autenticación fuerte y control de acceso para el acceso de administración.
Pérdida o fuga de información:
◦ En la nube, aumenta el riesgo de que los datos se
vean comprometidos ya que el número de
interacciones entre ellos se multiplica debido a la
propia arquitectura de la misma.
◦ mal uso de las claves de cifrado y de software
◦ autenticación, autorización y auditoria débil

Recomendaciones:
◦ implementar API potentes para el control de acceso.
◦ proteger el tránsito de datos mediante el cifrado de los mismos.
◦ analizar la protección de datos tanto en tiempo de diseño como en
tiempo de ejecución.
◦ proporcionar mecanismos potentes para la generación de
claves, el almacenamiento y la destrucción de la información.
◦ definir, por contrato, la destrucción de los datos antes de que los
medios de almacenamiento sean.
Secuestro de sesión o servicio:

◦ En un entorno en la nube, si un atacante obtiene las credenciales de un usuario del entorno

puede acceder a actividades y transacciones, manipular datos, devolver información
falsificada o redirigir a los clientes a sitios maliciosos.
Recomendaciones:
◦ prohibir, mediante políticas, compartir credenciales entre
usuarios y servicios
◦ aplicar técnicas de autenticación de doble factor siempre que sea
posible
◦ monitorizar las sesiones en busca de actividades inusuales
Riesgos por desconocimiento :
◦ Uno de los pilares de las infraestructuras cloud es reducir la cantidad de software y
hardware que tienen que adquirir y mantener las compañías, para así poder centrarse en el
negocio.
Recomendaciones:
◦ tener acceso a los logs (registros de actividad) de aplicaciones y datos
◦ estar al corriente, total o parcialmente, de los detalles de la infraestructura
 Riesgos Detectados por Gartner

Gartner S.A. es una compañía de investigación y consultoría de tecnologías de la información, con sede en
Stamford, Connecticut, Estados Unidos. Se conocía como Grupo Gartner hasta 2001.
Accesos de usuarios con privilegios:
◦ El procesamiento o tratamiento de datos sensibles fuera de las instalaciones de la empresa
conlleva un riesgo inherente, ya que es posible que estos servicios externos sorteen los
controles físicos, lógicos y humanos siendo, por este motivo, necesario conocer

Localización de los datos:

◦ Se debe consultar con los proveedores cuál es el marco regulatorio aplicable al almacenamiento y
procesado de datos, siendo una buena práctica cerrar un acuerdo con el proveedor para que el tratamiento
de los datos se subyugue al marco legal del país del suscriptor del servicio.

Los clientes son en última instancia responsables de la

seguridad e integridad de sus datos, aunque estos se
encuentren fuera de las instalaciones y gestionados por un
proveedor de servicios cloud.
 Aislamiento de datos:
◦ Los datos en los entornos cloud comparten infraestructura con datos de otros clientes.
◦ El prestador del servicio debe garantizar que los datos en reposo estarán correctamente
aislados y que los procedimientos de cifrado de la información se realizarán por
personal experimentado, ya que el cifrado de los datos mal realizado también puede
producir problemas con la disponibilidad de los datos o incluso la pérdida de los
mismos.

Recuperación:
◦ Los proveedores de servicio deben tener una política de recuperación de datos en caso de
desastre.
◦ Se debe exigir a los proveedores los datos sobre la viabilidad de
una recuperación completa y el tiempo que podría tardar.
Soporte investigativo:
◦ La investigación de actividades ilegales en entornos cloud puede ser una actividad casi imposible,
porque los datos y logs (registros de actividad) de múltiples clientes pueden estar juntos e incluso
desperdigados por una gran cantidad de equipos y centros de datos.

Viabilidad a largo plazo:

◦ En un entorno ideal un proveedor de servicios cloud siempre permanecerá en el mercado dando un
servicio de calidad y con una disponibilidad completa, pero el mercado es cambiante y cabe la
posibilidad de que el proveedor sea comprado o absorbido por alguno con mayores recursos.

◦ El cliente debe asegurarse que podrá recuperar sus datos aún en el caso de que el proveedor sea
comprado o absorbido por otro o bien contemplar la posibilidad de que los datos puedan ser migrados
a la nueva infraestructura.
Aspectos de Seguridad Según NIST
seguridad en Clud según

El Instituto Nacional de Normas y Tecnología (NIST por sus siglas en inglés,

National Institute of Standards and Technology) es una agencia de la
Administración de Tecnología del Departamento de Comercio de los Estados
Unidos.

La misión de este instituto es promover la innovación y la competencia industrial

en Estados Unidos mediante avances en metrología, normas y tecnología de
forma que mejoren la estabilidad económica y la calidad de vida. Dicha
institución ha publicado una guía «Guidelines on Security and Privacy in Public
Cloud Computing» en las que propone unos refuerzos de seguridad centrándose
NIST

en una clasificación particular. Se resume a continuación:

 Aspectos clave de seguridad en cloud según NIST

Gobernanza
Cumplimiento
Confianza
Arquitectura
Identidad y control de acceso
Aislamiento de Software
Protección de Datos
Disponibilidad
Respuesta a incidentes
Recomendaciones de seguridad según NIST 28
Aspectos clave de seguridad en Cloud según NIST
Gobernanza
Cumplimiento
◦ Ubicación de los datos
◦ Investigación electrónica
Confianza
◦ Acceso desde dentro
◦ Propiedad de los datos
◦ Servicios complejos
◦ Visibilidad
◦ Gestión de riesgo
 Gobernanza
La gobernanza implica el control y la supervisión de las políticas, los
procedimientos y los estándares para el desarrollo de aplicaciones, así como el
diseño, la implementación, las pruebas y la monitorización de los servicios
distribuidos. El cloud, por su diversidad de servicios y su amplia disponibilidad,
amplifica la necesidad de una buena gobernanza.

Garantizar que los sistemas son seguros y que los riesgos están gestionados es
un reto en cualquier entorno cloud. Es un requisito de seguridad instalar
adecuadamente los mecanismos y herramientas de auditoría para determinar
cómo se almacenan los datos, cómo se protegen y cómo se utilizan tanto para
validar los servicios y como para verificar el cumplimiento de las políticas.
 Cumplimiento
El cumplimiento obliga a la conformidad con especificaciones
estándares, normas o leyes establecidas. La legislación y
normativa relativa a privacidad y seguridad varía mucho
según los países con diferencias, en ocasiones, a nivel
nacional, regional o local haciendo complicado el cumplimiento
en Cloud Computing
 Ubicación de los datos
En cloud computing la ausencia de información acerca de cómo se ha
implantado la infraestructura, por lo cual el suscriptor no tiene
prácticamente información de cómo y dónde son almacenados los datos ni
de cómo se protegen los mismos. La posesión de certificaciones de
seguridad o la realización de auditorías externas por parte del proveedor
mitiga, en parte, el problema aunque tampoco es una solución.

Cuando la información se mueve por diferentes países, sus marcos

legales y regulatorios cambian y esto, obviamente, afecta a la forma de
tratar los datos. Por ejemplo, las leyes de protección de datos imponen
obligaciones adicionales a los procedimientos de manejo y procesamiento
de datos que se transfieren a EEUU.
 Investigación electrónica

La investigación electrónica se ocupa de la identificación, la

recolección, el procesamiento, el análisis y la producción de
los documentos en la fase de descubrimiento de un
procedimiento judicial. Las organizaciones también tienen
obligaciones para la preservación y la generación de los
documentos, tales como cumplir con las auditorías y
solicitudes de información. Estos documentos no sólo
incluyen correos electrónicos, adjuntos del correo y otros
datos almacenados en los sistemas, sino también metadatos
como fechas de creación y modificación.
 Confianza
En cloud computing la organización cede el control directo de
muchos aspectos de la seguridad confiriendo un nivel de confianza
sin precedentes al proveedor de cloud.

Acceso desde dentro

Los datos almacenados fuera de los límites de una organización

están protegidos por cortafuegos y otros controles de seguridad
que conllevan en sí mismos un nivel de riesgo inherente. Las
amenazas internas son un problema conocido por la mayoría de
las organizaciones y aunque su nombre no lo refleje aplica también
en los servicios cloud.
Al traspasar los datos a un entorno cloud operado por
un proveedor, las amenazas internas se extienden no
sólo al personal del proveedor sino también a los
consumidores del servicio. Un ejemplo de esto se
demostró por una denegación de servicio realizada por
un atacante interno. El ataque fue realizado por un
suscriptor que creó 20 cuentas y Riesgos y amenazas
en Cloud Computing.

Lanzó una instancia de máquina virtual por cada una de

ellas, a su vez cada una de estas cuentas seguía
creando 20 cuentas cada una haciendo que el
crecimiento exponencial llevase los recursos a los
límites de fallo.
 Servicios complejos
Los servicios cloud en sí mismos suelen estar formados
por la colaboración y unión de otros servicios. El nivel de
disponibilidad de un servicio cloud depende de la
disponibilidad de los servicios que lo componen. Aquellos
servicios que dependan de terceros para su
funcionamiento deben considerar el establecimiento de un
marco de control con dichos terceros para definir las
responsabilidades y las obligaciones, así como los remedios
para los posibles fallos.
 Visibilidad
La migración a servicios cloud públicos cede el control de los
sistemas de seguridad a los proveedores que operan los datos
de la organización. La administración, los procedimientos y los
controles usados en el cloud deben guardar cierta analogía con
los implantados en la propia organización interna para evitar
posibles agujeros de seguridad.

Los proveedores de Cloud suelen ser bastante celosos sobre los

detalles de sus políticas de seguridad y privacidad, ya que esta
información podría utilizarse para realizar un ataque.
 Gestión de riesgos
Con los servicios basados en cloud muchos componentes de los sistemas de
información quedan fuera del control directo de la organización suscriptora.
Mucha gente se siente mejor con un riesgo siempre y cuando tengan mayor
control sobre los procesos y los equipos involucrados

Valorar y gestionar riesgos en sistemas que utilizan servicios cloud puede llegar a
ser un desafío. Para llevarlo a la práctica, la organización debe confirmar que los
controles de seguridad están implementados correctamente y cumplen con los
requisitos de seguridad de la empresa. El establecimiento de un nivel de
confianza depende del grado de control que una organización esté dispuesta a
delegar en el proveedor para que sea éste el que implemente los controles de
seguridad necesarios para la protección de los datos y las aplicaciones de la
organización.
 Arquitectura
La arquitectura de una infraestructura cloud comprende tanto
hardware como software. Las máquinas virtuales se utilizan
como unidades de distribución del software asociadas a
dispositivos de almacenamiento. Las aplicaciones son
creadas mediante las interfaces de programación. Suelen
englobar a múltiples componentes de la infraestructura que
se comunican entre sí a través de estas interfaces. Esta
comunicación global de la infraestructura puede derivar en
fallos de seguridad.
Arquitectura
Superficie de ataque
Protección de la red virtual
Datos Auxiliares
Protección del cliente
Protección del servidor
 Superficie de ataque

El hipervisor de las máquinas virtuales se superpone como una

capa extra de software entre el sistema operativo y los recursos
hardware y se utiliza para ejecutar las máquinas virtuales
multiusuario. La inclusión de estos hipervisores supone añadir un
punto de ataque extra con respecto a las arquitecturas
tradicionales. Riesgos y amenazas en Cloud Computing Son
ejemplos de posibles incidentes la revelación de datos sensibles al
realizar la migración de máquinas virtuales o la ejecución de
código arbitrario en el equipo anfitrión al explotar vulnerabilidades
en productos de virtualización.
Protección de la red virtual
La mayoría de los productos de virtualización soportan la
creación de conmutadores de red virtuales y
configuraciones de red como parte del entorno. Así
mismo, soportan la creación de subredes privadas para la
comunicación entre las maquinas virtuales alojadas en un
mismo servidor. Este tráfico no puede ser monitorizado
por los elementos físicos típicos de la red
(cortafuegos, sistemas de prevención de
intrusiones, etc.). Por ello, se deben extremar las
precauciones de la seguridad de la red en estas
conexiones internas para evitar ataques desde dentro de
estas redes virtuales.
 Datos auxiliares
Lo más normal es que la seguridad en estos entornos se centre en los
datos que gestiona la aplicación, pero también existen otros datos no
considerados tan críticos cuya alteración, robo o revelación puede
producir serios incidentes de seguridad (por ejemplo: bases de datos de
clientes, ficheros de pagos, información de usuarios, etc.).

Otro de los problemas puede producirse al no proteger el acceso a los

repositorios de las plantillas de las máquinas virtuales que contienen las
configuraciones por defecto de las mismas. Compartir este tipo de datos
es una práctica bastante común en entornos cloud.
 Protección del cliente
Los navegadores, como parte primordial de los entornos
cloud (ya que típicamente los accesos se realizan vía
web), pueden llevar extensiones o plugins con
importantes brechas de seguridad.

Mantener la seguridad lógica y física de la parte del

cliente puede ser complicado especialmente para
entornos móviles ya que, por su tamaño y
portabilidad, pueden perderse o ser sustraídos. Así
mismo, los sistemas de escritorio no son actualizados de
forma sistemática provocando que las vulnerabilidades
puedan producir brechas de seguridad importantes.
 Protección del servidor
Los servidores en los entornos cloud deben ser
protegidos tanto física como lógicamente, de forma
que los mismos estén segmentados y separados para
que no se puedan producir accesos desde zonas no
autorizadas.

Del mismo modo, en la parte del cliente hay que

asegurar el parcheo de los servidores para que no
tengan vulnerabilidades que comprometan la
seguridad del entorno.
Aspectos clave de Seguridad en Cloud según NIST

Identidad y Control de Acceso

• Autenticación
Creciente número de proveedores cloud están soportando el estándar
SAML* para autenticación federada utilizando el protocolo SOAP *.

• Control de Acceso
Es Necesario un control de acceso a recursos utilizando el estándar
XACML*, el cual complementa a SAML, para una autenticación más
segura.

SAML: Security Assertion Markup Language

SOAP: Simple Object Access Protocol
XACML: eXtensible Access Control Markup Language
Aspectos clave de Seguridad en Cloud según NIST
Aislamiento de Software
• Hipervisor o supervisor de máquina virtual
Ejecuta múltiples servidores virtuales en un mismo servidor
físico esto permite aislar el software de forma mas segura.

• Vectores de ataque
• Códigos maliciosos que puede salir de una VM e
interferir con otras VM o con el hipervisor.
• Desbordamiento de buffer para realizar denegación de
servicios.
• Ataque del hombre en el medio en el proceso de
migración de VM para modificar el código de
autenticación.
• Instalación de rootkits para VM durante la migración de
las mismas.
Aspectos clave de Seguridad en Cloud según NIST

Protección de Datos
• Aislamiento de datos
En los entornos cloud las bases de datos se componen de un único
gestor de base de datos con una instancia por VM, siendo
responsable el proveedor de la seguridad y configuración. Estos
datos son protegidos mediante criptografía.

• Saneamiento de datos
Eliminación de datos que dejan de ser utilizados.
En entornos cloud el medio de almacenamiento es compartido por
varios clientes, por lo cual el saneamiento se debe realizar con
cautela.
Aspectos clave de Seguridad en Cloud según NIST
Disponibilidad

• Fallos temporales
Con una fiabilidad de 99.95% se producirían 4,38 horas de caída en un año,
excluyendo las paradas por mantenimiento.

• Fallos prolongados y permanentes

Esto se puede presentar en proveedores que experimentan problemas serios
como la bancarrota o la perdida de sus proveedores.

• Denegación de Servicios
La distribución dinámica de recursos en entornos cloud habilita posibilidades
mayores de que puedan sufrir ataques.

• Valor concentrado
Los entornos cloud concentran gran cantidad de información
Aspectos clave de Seguridad en Cloud según NIST

• Respuesta a incidentes
• Verificación
• Análisis del ataque
• Contención
• Recolección de evidencias
• Aplicación de remedios
• Restauración del servicio
Recomendaciones de seguridad por área según NIST
Recomendaciones de seguridad por área según NIST
 GRACIAS

www.espoch.edu.ec
www.espoch.edu.ec
Facultad de Informática y
Electrónica

Prof. Raúl Lozada Yánez Mg.

raul.lozada@espoch.edu.ec
Computación para la
Nube
 ESCUELA SUPERIOR POLITECNICA DE
CHIMBORAZO

Capitulo II – GESTION DE IDENTIDAD

Prof. Raúl Lozada Y. Mg.

4
EVOLUCION DE LAS COMPUTADORAS
EVOLUCION DE LA TELEFONIA MOVIL
Para llegar a un público de 50 millones de personas la
radio necesitó 38 años, la televisión 13 años, la
televisión por cable 10 años, mientras que internet,
tras el desarrollo de la web, solo necesitó 05 años
PROYECCION CRECIMIENTO DE INTERNET
 De los casi 8,000 millones de personas que viven en
nuestro planeta, se estima que 2,400 millones de la
población mundial usa internet. Aproximadamente el
70% de los usuarios navegan por la web todos los días.
 “DESDE LA APARICIÓN DE NUEVAS
PLATAFORMAS INTERACTIVAS COMO FACEBOOK,
TWITTER, YOUTUBE, LINKEDIN, GOOGLE+ Y
BLOGGER, MUCHOS HÁBITOS HAN CAMBIADO
EN EL MUNDO WEB Y EN LA VIDA COTIDIANA”
 CONCEPTO DE IDENTIDAD
La identidad es lo que permite distinguir entre miembros de una
misma especie. Es un concepto relativo al individuo, pero a su vez
sólo tiene sentido en cuanto este forma parte de un grupo social.
¿QUE ES LA IDENTIDAD DIGITAL?
El Conjunto de la información sobre un individuo
o una organización expuesta en Internet (datos
personales, imágenes, registros, noticias,
comentarios, etc.) que conforma una descripción
de dicha persona en el plano digital”.
Fuente: Instituto Nacional de Tecnologías de la Comunicación –Gobierno
de España: “Guía para usuarios: identidad digital y reputación online”
 Sin embargo, es posible que la construcción de la
identidad digital no esté expresamente ligada al “YO”
analógico de la vida real.
Podría darse (y se da) el caso de personalidades online
totalmente ficticias creadas a partir de datos inventados
por el usuario.
 NUESTRA IDENTIDAD EN
INTERNET…LA DEFINIMOS
NOSOTROS.
 Que no le sorprendan…!

Uno nunca sabe con que o

quien nos encontraremos en
ese fascinante mundollamado:

INTERNET…!
 ¿CÓMO SE CONSTRUYE UNA
IDENTIDAD DIGITAL?
• De forma activa, se realiza aportando textos, imágenes y vídeos a Internet,
participando, en definitiva, del mundo web.
• En los sitios de redes sociales, se construye a partir de un perfil de usuario, que
a menudo se enlaza a perfiles de otros usuarios o contactos.

Sin embargo, la construcción de la

identidad digital está ineludiblemente
ligada al desarrollo de habilidades
tecnológicas, informacionales y una
actitud activa en la red, participativa,
abierta y colaborativa.
DESDE EL AÑO 2009, EMPIEZAN APARECER UNA SERIE DE HERRAMIENTAS GRATUITAS
Y ACCESIBLES EN LA INTERNET, A TRAVÉS DE LAS CUALES CUALQUIER PERSONA
PUEDE ESTRUCTURAR SU IDENTIDAD DIGITAL.

Blogs, Microblogs. Wikis.

Portales de noticias y sitios web, Participación en foros.
Sitios de redes sociales genéricas o especializadas, tales
como Facebook, LinkedIn, Twiter, Pinterest, Instagram, etc…
Textos, fotografías o vídeos en la red, con Google Docs,
Picasa, Flickr, YouTube, Vimeo, etc…
¿QUÉ ELEMENTOS ME IDENTIFICAN?
La identidad en internet se construye con muchísimos elementos. Algunos son:

NICK : ¿Usas tu nombre legal o uno ficticio?.

AVATAR: ¿Usas una foto que te representa o una ficticia con la que te identificas?.

LO QUE PUBLICAS: ¿qué tipo de cosas dices? ¿cuándo las dices? ¿cómo las dices?.

LOS CONTACTOS QUE TIENES: ¿Muchos o pocos? ¿Qué tipo de gente es? ¿Cómo
son esas relaciones?

LO QUE ENLAZAS: ¿Enlazas a blogs? ¿A periódicos? ¿A webs institucionales? ¿A

sitios alternativos?

LOS SERVICIOS QUE USAS: YouTube, Wikipedia, Twitter, Gmail, Facebook. ¿Hay algún
servicio que rechaces o uses por cuestiones políticas o por gustos?.

LO QUE VALORAS Y APORTAS: ¿Dejas comentarios? ¿Votas? ¿Qué tipo de valoraciones y

aportaciones realizas? ¿Son agradables, constructivas, destructivas, inapropiadas, útiles?
 EXISTEN 04 COSAS QUE DEBES SABER DE
NUESTRA IDENTIDAD DIGITAL

SOMOS
VA CRECIENDO VAMOS
RESPONSABLES NO PODEMOS
CON EL PASO DEJANDO UN
DE LO QUE NEGARLA.
DEL TIEMPO. LEGADO.
PUBLICAMOS.
 ¿QUE ES LA REPUTACIÓN ON LINE?
• Es la imagen de una empresa, persona o institución en Internet.
• Más allá de la imagen que proyecta la propia marca, la reputación online está también
compuesta por las noticias, comentarios y opiniones expresadas por terceros en redes sociales,
foros, blogs y medios online, (sistemas de recomendación).
• Ser visibles a través de contenidos bien posicionados, actuar con transparencia, tener una
comunidad sólida y escuchar qué dicen los usuarios son algunas de las claves para mantener
una buena reputación online.
 Linkedin es una
red social con una
clara orientación
profesional y una
buena
herramienta para
gestionar la
reputación en
Internet.
 PODEMOS TENER UNA REPUTACIÓN
IMPECABLE PERO SER INVISIBLES … O
TAMBIÉN SER LOS MAS
POPULARES EN INTERNET PERO
TENER MALA REPUTACIÓN
 IDENTIDAD DIGITAL Y REPUTACIÓN ONLINE, SON
DOS CONCEPTOS ESTRECHAMENTE RELACIONADOS,
PERO NO SON LO MISMO:
LA IDENTIDAD ES LO QUE YO SOY, O PRETENDO SER,
O CREO QUE SOY… LA REPUTACIÓN, POR OTRO
LADO ES LA OPINIÓN QUE OTROS TIENEN DE MÍ.
 SER CONSCIENTE DE LA PRIVACIDAD DE LOS DATOS
PERSONALES EN INTERNET Y DEL USO QUE SE PUEDE
HACER DE ESTOS DATOS SE CONVIERTE EN UNA
PIEZA CLAVE PARA LA GESTIÓN EFICAZ DE LA
IDENTIDAD DIGITAL.
 PRINCIPALES RIESGOS
• Invasión de la privacidad.
• Robo de identidad.
• Invasión de perfil.
• Uso indebido de la información.
• Daños a la imagen y a la reputación.
• Filtrado de información.
• Recepción de mensajes que contienen:
• Código malicioso.
• Phishing.
• Contacto con personas malintencionadas.
• Información a disposición de los criminales, la cual puede ser
usada:
• En intentos de secuestro.
• Para planificar robos.
 PROTEJA SU PERFIL

• Tenga cuidado al elegir sus contraseñas.

• Tenga cuidado al utilizar sus contraseñas.
• Habilite las notificaciones de inicio de
sesión (login)
• Recuerde siempre cerrar su sesión (logout)
• Realice una denuncia ante los
responsables de la red social si identifica
abusos, tales como:
• Imágenes indebidas.
• Perfiles falsos.
• Spam.
La correcta gestión de las contraseñas es algo
fundamental a la hora de proteger nuestra
identidad digital, ya que una contraseña fácil
de adivinar podría desencadenar en
problemas de robo de identidad.
“DEDICAR ESFUERZO A CONSTRUIR TU PROPIA
IDENTIDAD DIGITAL Y PROTEGRLA YA NO ES
OPCIONAL. ES UN ACTO DE PURA
RESPONSABILIDAD”
 “ESTAS CONSIDERACIONES IMPORTAN
PORQUE, TENER UNA IDENTIDAD
DIGITAL ES RENTABLE POR EL HECHO DE
QUE CADA VEZ MÁS NOS BUSCAN POR
INTERNET.”
 “LA GESTIÓN DE LA IDENTIDAD DIGITAL
IMPLICA QUE LOS USUARIOS SEAN
CONOCEDORES DEL ENTORNO WEB Y QUE
PARTICIPEN ÉTICAMENTE.”
Hoy en día Internet ofrece numerosas soluciones telemáticas,
como facturación electrónica, visado digital, voto electrónico,
firma electrónica, carné de identidad digital, formularios
telemáticos, certificado digital, receta electrónica, etc., todas
ellas opciones basadas en la encriptación de datos y en la
utilización de dispositivos inteligentes como claves, tarjetas y
generadores de contraseñas, que permiten la autenticación
de un usuario.
Y, para acabar... Debemos hacernos las siguientespreguntas:
¿Quiénes somos ahora mismo en internet?
¿Quién quieres ser en internet?
¿Cómo se aplica todo esto a una organización
social?
 RECOMENDACIONES CLAVE PARA
GESTIONAR LA IDENTIDAD DIGITAL (GDI):
• El método de gestionar la identidad digital debe tener en cuenta
una reflexión sobre las actividades a desarrollar y los objetivos a
1 alcanzar en la actividad en el ciberespacio.

• Para ganar visibilidad y, sobre todo, reputación es fundamental

especializarse y encontrar un tema, una forma de expresión o un
2 canal concreto en el que las propias aportaciones sean valoradas.

• Es recomendable no aportar datos personales en la red y, en todo

caso, brindarlos en los entornos más seguros posibles y
3 directamente a personas conocidas.
 CÓDIGO ORGÁNICO INTEGRAL PENAL
(febrero, 2014)
SECCIÓN DÉCIMA - Delitos contra el derecho a la identidad
Artículo 212.- Suplantación de identidad
La persona que de cualquier forma suplante la identidad de otra para obtener un
beneficio para sí o para un tercero, en perjuicio
de una persona, será sancionada con pena privativa de libertad de uno a tres años.
 GRACIAS

www.espoch.edu.ec
Las 12 amenazas en ciberseguridad en la
nube
Si tuvieras que quedarte con una gran ventaja y un inconveniente de trabajar en la
nube ¿cuáles elegirías?
Poner en una balanza los pros y los contras de la nube no es una tarea fácil, como
tampoco lo es detectar los riesgos de ciberseguridad que estas plataformas
aportan. Pero una cosa es segura, la adopción de la nube es cada vez más popular
y está transformando continuamente la manera en la que trabajan las empresas,
independientemente de su tamaño y sector.
¿Cuáles son las amenazas de ciberseguridad en la nube? ¿Pesan más que sus
ventajas? Te invitamos a resolverlo juntos en este post.

¿Qué es la seguridad en la nube?

Comprenderás que, para hablar de las amenazas en la nube, primero tenemos que
definir este concepto. La seguridad en la nube puede ser definida como un conjunto
de controles, políticas y herramientas tecnológicas usadas con el fin de proteger
los datos, las aplicaciones y la infraestructura cloud contra las amenazas internas y
externas asociadas a su entorno.

Ahora bien, ¿cuáles son esas amenazas?

Las amenazas de ciberseguridad en el cloud

Para hablar de riesgos, primero vamos a mencionar las grandes ventajas de trabajar
en entornos cloud. Es cada vez más evidente que la forma en que trabajan las
empresas se está transformando. Primero, porque permite acceder, almacenar y
compartir datos. Y segundo, porque su implementación es rápida, implica
flexibilidad y escalabilidad en los negocios. Junto a estas ventajas, la nube ha traído
importantes desafíos en materia de ciberseguridad.
¡Toma nota de ellos!
1. Errores de configuración
Aunque no lo creas, la mayoría de los problemas de ciberseguridad proceden de los
errores humanos. De ahí la importancia de la formación de los empleados en esta
materia. Se dice que “en 2022, alrededor del 95% de los fallos de seguridad en la
nube sucederán por errores de los clientes”. Sirva de ejemplo el “incumplimiento
de responsabilidades en la nube como violación de datos del banco Capital One en
2019, debido a la mala configuración de un firewall en el proceso de integración de
las soluciones en la nube”.

2. Due Diligence
Cuando se definen, desarrollan e implementan estrategias de negocio, la nube
tiende a ser una de las principales tecnologías a implementar. Sin embargo, muchas
veces nos apresuramos a empezar a utilizarlas rápidamente, sin dedicar el tiempo
suficiente a definir un buen roadmap. Como consecuencia, se eligen proveedores
sin haber investigado o analizado lo suficiente, lo que expone a las empresas ante
numerosos riesgos.

3. Amenazas internas
Supongamos que una persona conectada a la empresa tiene acceso autorizado a las
redes y sistemas de la misma. En caso de hacer un mal uso, podría exponer datos
confidenciales y acarrear graves consecuencias para la organización. Lo más
preocupante es que la compañía no se dé cuenta rápidamente del problema, lo que
puede resultar aún más peligroso.

4. Gestión de credenciales
Las contraseñas son una parte fundamental de las empresas, ya que si no se
almacenan correctamente podrían ocasionar graves pérdidas. Lo ideal es contar con
un formato encriptado, así como soluciones de gestión de contraseñas que permitan
el acceso seguro. Esto ahorraría tiempo y quebraderos de cabeza, además de
aumentar la productividad y la seguridad.

5. Falta de gestión de identidad y acceso

IAM (identity access management) o gestión de identidades y accesos es un marco
donde se encuentran los procesos, las tecnologías y las políticas relacionadas con
la gestión de identidades digitales de la empresa. Si el personal de la misma no
necesita acceso a determinados datos, no debería tenerlo. En definitiva, lo que
establece IAM es que las compañías puedan controlar el acceso de los usuarios a la
información con el fin de garantizar la seguridad en sus sistemas e infraestructuras.

6. Hijacking de cuenta
El secuestro de las cuentas es una amenaza a la orden del día. Si los hackers logran
acceder a las credenciales de un usuario, podrían hacerse con datos confidenciales,
manipularlos, robarlos, etc. En definitiva, ponen la integridad, la confidencialidad
y la disponibilidad de los servicios cloud en un compromiso. ¡Cuídalos!

7. Mayor exposición
Si una compañía realiza copias de los datos, podría realizarlo sobre información
confidencial de prueba en la nube sin la seguridad necesaria. Es decir, es una base
de datos abierta que podría caer en manos de la persona equivocada, por lo que
supone una amenaza importante. Teniendo en cuenta que cada vez las empresas
utilizan cada vez más el cloud para sus pruebas e implementaciones, deberíamos
aumentar la seguridad.

8. Falta de cumplimiento
El Reglamento General de Protección de Datos (RGPD) aplicado desde 2018 debe
ser cumplido por todas las empresas, independientemente de su tamaño y sector.
Lo que la normativa establece en el entorno cloud es la forma de almacenamiento
de la información para atender el derecho de acceso, rectificación, limitación,
olvido y portabilidad de los datos. Además, también considera necesario el
cumplimiento proactivo para garantizar la disposición de todas las medidas técnicas
y organizativas para demostrar el tratamiento conforme al RGPD. ¡Ojo donde
almacenan tus datos de carácter personal!

9. Vulnerabilidades del hardware

¿Sabías que un estudio realizado hace unos años demostró que la mayoría de los
microprocesadores actuales pueden permitir que el contenido se lea a través de un
código JavaScript malicioso? (Marsh)

10. Responsabilidad equipos de ingeniería

Tenemos mucha potencia y versatilidad en la nube, pero eso conlleva que tengamos
que ser muy consistentes y tener mucho cuidado en la manera en que desplegamos.
Es muy fácil dejarse recursos abiertos o que algo se nos quede desprotegido. El
tema de la seguridad no viene embebido en las soluciones cloud. Migrar a la nube
no significa tenerlo todo resuelto. Por eso, las soluciones de ciberseguridad siempre
deben acompañarnos.

11. APIs inseguras

Multitud de proveedores desarrollan interfaces de usuario de software para que los
clientes puedan usarlas y administrar los servicios cloud. La seguridad y la
disponibilidad de los servicios también dependen, en gran parte, de la seguridad de
las APIs de integración, por lo que deben estar bien constituidas para protegerse de
las amenazas.

12. Mal uso de los servicios cloud

La ciberseguridad en la nube a veces se ve afectada por el mal uso que hacen los
usuarios en sus servicios. Incluso, las pruebas gratuitas y las implementaciones con
escasa seguridad también implican un mal uso. Lo peor es que los ciberdelincuentes
pueden aprovechar estas vulnerabilidades para lanzar correos no deseados,
campañas phishing o lanzar ataques.
Consejos para seguridad en la nube

¿Eres usuario “cloud” y te preocupa tu seguridad en la nube?

El hecho de tener una seguridad en Internet es una de las mayores preocupaciones

de los ciudadanos.

Al popularizarse los servicios de almacenamiento en la nube, este ámbito también

se ha puesto en alerta ante posibles ataques informáticos.

Existen importantes riesgos a los que se enfrentan tanto usuarios particulares como
entidades, al utilizar plataformas en la nube donde se albergan archivos y datos que
pueden ser sustraídos y divulgados por piratas informáticos en caso de no aplicar las
medidas de seguridad necesarias.

Los usuarios, bien por ignorancia o bien por un exceso de confianza, con frecuencia
muestran información personal desde diferentes dispositivos.

Sobre todo acceden desde smartphones y, cada vez más, esto se realiza mediante
aplicaciones o plataformas en la nube, lo que implica un riesgo añadido.

Por eso, se proporcionan ciertos consejos para incrementar la seguridad en la nube

de nuestros datos personales.

Cloud Computing y Protección de Datos

Podemos definir el Cloud Computing o computación en la nube como una

tecnología con la que se pueden tener archivos e información en Internet, sin
preocuparse por poseer la capacidad suficiente para almacenar información en
nuestro ordenador.
Estos servicios de computación en la nube están sujetos también a la normativa de
Protección de Datos en cuanto que estemos manejando datos personales.

Quienes contratan estos servicios son los responsables de los ficheros y el que
presta estos servicios en la nube, es a quien se denomina “encargado del
tratamiento”.

Es decir, los encargados del tratamiento son las personas físicas o jurídicas que
nosotros, como responsables de los datos, contratamos para que puedan tener
acceso a esos datos y gestionarlos según las instrucciones que les hayamos
proporcionado.

Para realizar esa prestación de servicios es necesario firmar un contrato en el que

generalmente se debe precisar que los datos se utilizarán únicamente para lo que se
contrata, que no pueden comunicarse a terceros y que cumplen las medidas de
seguridad a las que obliga nuestra normativa.

Consideraciones a la hora de contratar servicios en la nube

Al contratar la prestación de estos servicios debemos tener en cuenta:

• Dónde se encuentran almacenados los datos y si ese país ofrece garantías

adecuadas de protección de los mismos.
• Si intervienen terceras empresas en la gestión de los servicios, en cuyo caso se
necesitará nuestro consentimiento.
• Si se cumplen las medidas de seguridad exigibles para garantizar la integridad y
recuperación de los datos.
• Si se asegura la confidencialidad de la información.
• Si se garantiza el borrado seguro de los datos cuando lo solicitemos o cuando
finalice la prestación de los servicios contratados.
• Si se establecen procedimientos adecuados para el ejercicio de los derechos
ARCO (son seis: Acceso, Rectificación, Cancelación, Oposición, Limitación y
Portabilidad).

Qué son los derechos ARCO

Los derechos ARCO son cuatro principios generales (Generados a

partir de la LOPD española). Los derechos a los que hace referencia
son Acceso, Rectificación, Cancelación y Oposición, de esta serie de
derechos depende gran parte de la privacidad del usuario durante el
proceso de gestión de archivos.

Derecho de acceso
 El derecho de acceso se refiere a la posibilidad que tiene el paciente
de solicitar información acerca de sus propios datos personales.

La ley permite que una persona tenga acceso a sus datos y a toda la
información referida a su persona, sin embargo, de así requerirlo, está
obligado a exponer la finalidad y el uso que va a realizar de esta
información.

El responsable del fichero, tiene cierto plazo para evaluar la solicitud y

entregar dicha información al solicitante.

Derecho de rectificación

En este caso se hace referencia al derecho que tiene una persona a

que sus propios datos sean rectificados, si hubiese algún error, o si
hubiera alguna información incompleta.

Evidentemente, siempre que una persona solicite un cambio en un

fichero confidencial tendrá que justificar dicho cambio.

Derecho de oposición

Es el derecho de un usuario a oponerse a diversos usos relativos a su

información. Por ejemplo, en algunos casos las empresas aprovechan
los datos de sus clientes para hacerles llegar publicidad, cualquier
persona tiene derecho a oponerse a este tipo de envío.

Derecho de cancelación

En este caso, el derecho reconoce la posibilidad de solicitar la

cancelación y borrado de los datos de una persona por diversos
motivos. Tendrá que exponerse el motivo y suministrar la
documentación requerida, dentro de cierto plazo (generalmente
algunos días), esta información tendrá que ser completamente
eliminada.

¿Cómo proteger los datos y preservar la seguridad

en la nube?
Las medidas básicas a tener en cuenta para evitar robos de datos en la nube son:
1- Establecer Contraseñas

Como ya se mencionó, nuestra primera línea de defensa para evitar ataques

maliciosos a través de Internet son las contraseñas, pero lamentablemente la
mayoría de las personas no “pierde” ni dos minutos de su tiempo en
crear una contraseña segura.

Segura o al menos decente, que no sea 12345 o el nombre de su perro, que todo el
mundo sabe porque tiene 138 fotos de él en Facebook.

A la hora de decidir una contraseña no pensamos en que sea segura sino en algo
que logremos recordar fácilmente.

Y, además, acabamos repitiendo siempre la misma contraseña.

Esto es una terrible idea que no debemos hacer.

Consejo para crear una contraseña segura en 5 pasos

1. Escoge una canción.

2. Selecciona un número.
3. Opta por vocales o consonantes.
4. Escoge un símbolo.
5. Decide el orden.

La idea es utilizar la primera letra de cada palabra de un verso de una canción,

seguido de un número sencillo de recordar (por ejemplo, una fecha importante).

Para identificar la contraseña utilizaremos el nombre del servicio, usando

únicamente las vocales o las consonantes.

Escoger un símbolo al azar y, finalmente, establecer el orden de todos estos

elementos.

Esto se denomina crear una fórmula de contraseña, que puedes repetir casi
completa modificando algo dependiendo de la cuenta.

Gracias a que en esta contraseña incorporamos minúsculas y mayúsculas, números,

símbolos y tiene más de 9 caracteres, a un pirata informático le llevaría más de 40
mil años descifrarla.

Modifica tus contraseñas y recuerda volver a hacerlo al menos cada 3-6 meses.
2- Encriptar los datos

La encriptación se define como el procedimiento por el cual uno o varios archivos o

datos, son protegidos mediante un algoritmo que desordena o cambia sus
componentes, haciendo que no sea posible abrirlos o decodificarlos si no se tiene la
llave.

Si una persona intercepta un archivo encriptado y que no está dirigido a ella,

aunque pueda abrirlo sólo distinguirá un grupo de caracteres ilegibles, ya que, se
necesita una clave especial para convertirlos en formato normal.

Actualmente, los sistemas de encriptación (gracias a los sistemas computacionales)

son mucho más complejos y seguros con distintos niveles de seguridad y algoritmos
más o menos complejos.

Se puede encriptar cualquier elemento; desde un documento de texto a un disco

completo, pasando por claves y toda clase de archivos, del mismo modo que la
información que enviamos y recibimos constantemente, incluyendo correos
electrónicos y mensajería.

Asimismo, los distintos servicios de Internet, encriptan nuestros datos personales,

así, en el caso de ser hackeados, nombres de usuario, contraseñas o información
financiera, no serán legibles.

Hay varias aplicaciones para encriptar y desencriptar archivos y datos.

Una vez encriptados y enviados, el receptor, para poder leer ese archivo, necesita
un programa especial para desencriptarlo, además de la llave que le permite acceder
al contenido del fichero y que es ilegible sin ella.

Por tanto, la encriptación no es utilizada sólo por expertos en seguridad, sino que
será nuestra aliada para conservar seguros datos privados e información
destinada exclusivamente a ciertas personas.

3- Limitar y clasificar la información

Es importante clasificar la información que manejamos y separar aquellos

archivos con información más delicada y no alojarlos en la nube (o al menos no en
la nube púbica).

Con esto, nos ahorraríamos muchos problemas en caso de un ataque o fugas de la

información.
La empresa debe indicar cual es la clasificación de datos que espera para la
seguridad de la información.

Debemos tener en cuenta que no es lo mismo exponer una información que otra.

Sin la clasificación de datos, las decisiones para proteger la información se están

tomando todos los días de manera discrecional por los responsables de seguridad,
sistemas y de bases de datos. Un sistema de clasificación de la información nos
facilita asegurar que las decisiones que debe adoptar la empresa predominan sobre
la protección de la información individual.

4- Revisar las configuraciones por defecto

Hay que prestar atención cuando aceptamos las condiciones de uso de un

determinado programa o aplicación.

El número de personas que leen los Términos y Condiciones de uso de los servicios
en los que se inscriben es muy bajo. Casi todos vamos directamente a la última
página y pulsamos en el botón de aceptar con "los ojos cerrados".

A continuación, se muestran algunos ejemplos de los servicios y aplicaciones más

usadas sobre las condiciones que aceptamos.

• Dropbox

Esta herramienta, para poder acceder desde múltiples dispositivos a toda

nuestra información, se guarda una cláusula que, en caso de conocerla, podría
modificar el uso que hacemos de la misma.

Básicamente la empresa se reserva el derecho de suspender o cancelar los

servicios en cualquier momento. Esto supone que, de un día para otro, se
elimine nuestra cuenta de Dropbox entera, y perdamos todos los datos que
hemos guardado en sus servidores. Si los usuarios de este servicio conocieran
la existencia de esta cláusula, harían copias de seguridad de la información que
almacenan en este servicio, para evitar un posible susto.

Tanto si utilizamos Dropbox como depósito en la nube de nuestra información

como si lo usamos para simultanear nuestra información entre todos
los dispositivos automáticamente, sería aconsejable utilizar otro servicio
adicional de almacenamiento en la nube u otra alternativa para hacer nuestras
copias de seguridad y no perder esa información el día que Dropbox opte
por suspender o cancelar sus servicios.

• Google
 Cualquier información que Google consiga sobre nosotros, puede ser
utilizada para cualquiera de sus servicios.

Esto es bueno para mejorar sus búsquedas y ajustarlas a nuestras

necesidades, pero también la usan para mostrarnos publicidad adaptada a
cada uno de nosotros.

Al aceptar sus términos o condiciones de uso, les estamos dando permiso para
guardar todos nuestros datos y usarlos a su conveniencia.

• Facebook

Esta red social es quizá la que más polémica suscita en sus condiciones de uso
ya que en esas condiciones de uso, deja claro que todo lo que subamos a su
red social (fotos, videos, estados, etc.) pasa a ser de su propiedad.

Es decir que cualquier información que subamos a nuestro perfil, puede ser
utilizada por Facebook.

De hecho, si subimos una foto, y queremos borrarla, no podremos hacerlo. Es

posible deshabilitarla para que no puedan acceder desde el muro, pero
permanece en sus servidores.

Por este motivo, debemos reflexionar muy bien antes de subir determinada
información a nuestro perfil.

• Youtube

De forma semejante a cómo Facebook usa nuestra información, también lo

hace Youtube con los videos que subimos.

Existe la opción de eliminarlos, pero Youtube se reserva la opción de

conservarlos, aunque no se reproduzcan.

Es recomendable, por tanto, que leamos y conozcamos esas cláusulas y condiciones

para hacer un uso seguro y adecuado de esos servicios.

5- Poseer un adecuado sistema de seguridad

Podemos evitar el riesgo de tener malware (malicious software) en los dispositivos

que pueden sustraernos información mediante un buen software antivirus que
debemos actualizar regularmente.
Utilizar un software específico conforme a nuestras necesidades y
conservarlo actualizado en todos nuestros dispositivos es una condición básica
para impedir cualquier problema de seguridad.

Actualmente, muchos usuarios están dejando de instalar software Antivirus en su

ordenador y decidiéndose por algún tipo de protección basado en la nube. De esta
forma, se posibilita una mayor capacidad de almacenamiento en su disco duro.

Los antivirus en la nube son un software de protección que no consume

demasiados recursos y no precisa de un hardware importante para
ejecutarse.

Este tipo de antivirus verifica los archivos y los coteja con los servidores a los que
estén acoplados a través una conexión a Internet.

Por lo que, si se dispone de conexión a Internet, este tipo de software puede

localizar con mayor facilidad y eficiencia cualquier tipo de troyano, spyware o virus,
ya que, su base de datos está constantemente actualizada.

6.- Aplicar “mejores prácticas” de seguridad al momento de configurar las

aplicaciones

Es necesario que los usuarios incorporen buenas prácticas para proteger el entorno
de información y prevenir aún más la posibilidad de formar parte del conjunto que
engloba a potenciales y eventuales víctimas de cualquiera de las amenazas, quienes
constantemente buscan sacar provecho de las debilidades humanas. Para ello se
obligatorio conocer los peligros latentes y la forma de detenerlos a través de
mecanismos de prevención.

Cambiar usuarios y contraseñas por default.

Cambiar periódicamente la contraseña de administración.

Quitar servicios y cuentas no utilizados.

Actualizar frecuentemente sus aplicaciones con los “parches de seguridad”.

Copias de Seguridad de los archivos de configuración de las aplicaciones.

Descargar las aplicaciones y actualizaciones de sitios confiables.

7. Registrar de manera exhaustiva el entorno para detectar actividades o

cambios no solicitados ya sea en procesos, tareas o documentos
Monitoreo de servicios críticos.

Utilización de herramientas que buscan y detectan problemas de seguridad; localizan

intrusos y controlan cambios.

Análisis periódico de logs (bitácoras).

Crear respaldos de configuraciones.

Utilizar antivirus y anti-spyware.

8. Aplicar conforme a lo dispuesto por el proveedor de servicios, parches y

corrección de vulnerabilidades.

Descargar las aplicaciones y actualizaciones de sitios confiables del proveedor.

Aplicar parches en ambiente de prueba antes de aplicarlos a los servidores de

producción.

Elaborar y mantener respaldos de su información personal o de datos críticos, de lo

contrario, si algo le pasa al sistema no podrá recuperar su trabajo.

9. Establecer de forma regular un análisis de vulnerabilidades y auditorías de

la configuración

Realizar auditorías y análisis de vulnerabilidades permitirá identificar debilidades en

aquellos puntos susceptibles a algún ataque malicioso, los cuales pueden propiciar
diversos daños, por ejemplo atentar contra la confidencialidad, integridad y
disponibilidad de los datos concentrados en dicha nube.

Resumiendo, antes de poner la información a viajar a la nube debemos

preguntarnos si es necesario que todos los datos pasen a la nube y seguir una
serie de consejos básicos.

Algunos de estos consejos son crear contraseñas de acceso seguras, encriptar

los archivos y datos más sensibles, acotar y organizar la información,
verificar las configuraciones por defecto e informarnos de las condiciones y
términos de uso, así como disponer de un buen software antivirus actualizado.

Referencias:

CLOUD SECURITY ALLIANCE (CSA). “Top Threats to Cloud Computing V1.0”,

marzo 2010, auspiciada por HP, 14 PP.
(en)http://www.cloudsecurityalliance.org/topthreats/csathreats.v1.0.pdf
http://www.rsa.com/innovation/docs/CLWD_BRF_1009.pdf

http://www.maestrosdelweb.com/editorial/amenazas-seguridad

http://www.tendencias21.net/Problemas-de-seguridad-en-la-nube_a3381.html

http://www.bsecure.com.mx/en-linea/the-cloud-reloaded-seguridad-en-la-nube/