Ciberseguridad en la

nube
QUE ES? Y QUE PROTEGE?
Las plataformas en la nube han cambiado por completo la forma en que consumimos tecnologías, adaptándonos a
sistemas de todo tipo.

Atrás quedó el modelo de distribución de licencias para dar paso a un enfoque mucho más orientado a los servicios. Ahora, esta
tendencia está modificando las operaciones de todo tipo de organizaciones, sin importar tamaño, industria o ubicación
geográfica, con el objetivo de proteger los entornos informáticos cloud, así como sus aplicaciones y datos almacenados en la
nube.
 
Desde su origen, la seguridad en la nube o ciberseguridad consta de las siguientes categorías:

• Seguridad de datos.

La seguridad de datos se refiere a sus políticas y normas para proteger sus datos: en su red, en su infraestructura y sus
aplicaciones, y en múltiples capas.

• Gestión de identidades y accesos (IAM, por sus siglas en inglés).

Identity and Access Management (IAM), o lo que es lo mismo, la gestión de identidades y accesos, es un término genérico
para los procesos internos de una organización que se enfocan en administrar cuentas de usuario y recursos de red corporativa,
incluidos los derechos de acceso para las organizaciones, usuarios.
• Gobernanza (políticas de prevención, detección y mitigación de amenazas).

Hace referencia a como delegar funciones asignando responsabilidades a quienes deban medir que se cumplan un ejemplo es
crear un comité de seguridad en donde cada integrante debe velar por su tarea asignada

• Planificación de la retención de datos y la continuidad del negocio .

Lo mas importante de una empresa son sus datos, dado esto la retención y seguridad de estos permita la continuidad del negocio.
Cualquier ataque a los datos de una empresa conlleva a impedir la continuida del negocio.

• Cumplimiento legal.

Cuando nos enfrentamos a la ciberseguridad debemos ser auditados periódicamente y someternos a certificaciones que nos
permitan garantizar nuestro status a nivel de seguridad. Importante tener en cuenta certificaciones como ISO 27001 – ISO 27018
A modo general, la ciberseguridad en la nube está capacitada para proteger de vulnerabilidades y riesgos los siguientes
aspectos:

• Redes físicas: enrutadores, energía eléctrica, cableado, controles de clima, etc.

• Almacenamiento de datos, tales como discos duros internos y externos, pendrives, etc.
• Servidores de datos habilitados como hardware y software informáticos que operan en una única red central.
• Plataformas de virtualización de equipos informáticos, tales como software de máquinas virtuales, máquinas anfitrionas y
máquinas externas (invitadas).
• Sistemas operativos (OS) disponibles, como el software que soporta todas las funciones informáticas de la empresa.
• Middleware, que se refiere a la gestión de la interfaz de programación de aplicaciones (API).
• Entornos de ejecución y mantenimiento de un programa en ejecución.
• Datos y toda la información almacenada, modificada y a la que se ha accedido desde diferentes usuarios.
• Aplicaciones o servicios tradicionales de software, como son el correo electrónico, software de impuestos, paquetes de
productividad, entre otros.
• Hardware de usuario final o de uso personal, como son los ordenadores, dispositivos móviles, etc.
Como conocemos la seguridad en la nube ha generado grandes desafíos en áreas como cloud computing y ciberseguridad. Cada
empresa es diferente pero al momento de pensar en la nube deben enfocar su prioridad en adquirir componentes tecnológicos
que les permitan enfrentar estas nuevas plataformas.

McAfee en su ultima participación acerca de estos temas evidencio un informe llamado “Construyendo confianza en un cielo
nublado”, del que se puede resaltar.

• Los servicios en la nube son utilizados por más del 90% de las organizaciones de todo el mundo.
• 49% de los profesionales encuestados afirmó que no habían ralentizado su adopción de la nube a causa de la falta de
personal especializado en ciberseguridad.
• Los profesionales que confían en nubes públicas superan en proporción de 2 a 1 a aquellos que desconfían de ellas.
• Un 52% de los encuestados aseguran haber rastreado un malware o infección en una aplicación SaaS.

Datos como estos nos permiten concluir que las empresas confían cada vez más en los servicios en la nube, pero que la
seguridad es un factor al cual se debe prestar siempre especial atención.
¿De quién es responsabilidad la seguridad en la nube?

Probablemente, algunas empresas asumen que si contratan un proveedor de servicios de ciberseguridad, la responsabilidad ante
cualquier riesgo o vulnerabilidad recaerá directamente en el software. Pero no es así. La realidad es que la seguridad en la nube
es una responsabilidad compartida entre el proveedor y el cliente.

Mientras que el primero protege los componentes del sistema operativo, alojamiento y las instalaciones físicas; el cliente debe
vigilar sus plataformas, sistemas, aplicaciones, configuración y redes, además de prestar especial atención a los permisos y la
privacidad con la que los usuarios acceden a sus plataformas en la nube. De esta manera, es el cliente quien controla la
arquitectura de seguridad, la fuerza de sus contraseñas, permisos de acceso, etc.
 
Esto quiere decir que, a diferencia de lo que ocurre con la seguridad de TI tradicional, la seguridad en la nube pasa a ser un
modelo de responsabilidad compartida debido a que el proveedor de servicios tiene el deber de gestionar la seguridad de la
infraestructura subyacente remota, mientras que el cliente, la seguridad de todo lo que se encuentra por encima del hipervisor,
como son los sistemas operativos invitados, accesos de usuarios, aplicaciones, datos, entre otros.
Tipos de servicios en la nube

Hay tres modelos principales de servicios de computación en la nube: infraestructura como servicio (IaaS), plataforma como
servicio (PaaS) y software como servicio (SaaS).

SaaS (Software as a Service): este tipo de servicio en la nube se caracteriza por la implementación del software a través de
Internet para varias empresas que pagan mediante suscripción o un modelo de pago por uso. El proveedor administra en sus
servidores las diferentes aplicaciones del cliente, sus datos, tiempos de ejecución, middleware y sistema operativo. Algunos
ejemplos de software del tipo SaaS incluyen Google Drive, Slack, Webdox CLM, Microsoft 365, y Evernote.

PaaS (Platform as a Service): el servicio PaaS ofrece plataformas como servicios, es decir, el proveedor implementa la
infraestructura y el marco de software, pero es el cliente quien desarrolla y ejecuta sus propias aplicaciones. Los proveedores
administran el tiempo de ejecución, el middleware y el sistema operativo, mientras que los clientes se encargan de gestionar sus
aplicaciones, datos, acceso de usuarios, dispositivos de usuarios finales y redes de usuarios finales. Algunos ejemplos de
soluciones PaaS son Windows Azure, IBM Smartcloud y Longjump.
IaaS (Infrastructure as a Service): la infraestructura como servicio, es cuando un proveedor aloja la infraestructura de sus
clientes. Es un tipo de solución en la nube que ofrece recursos de computación, red y almacenamiento para los clientes a
pedido. Es decir, el usuario final puede alojar la mayor parte de sus tareas informáticas, incluido el sistema operativo en los
hardware y plataformas de conectividad remota, gestionando todo lo que se apila en el sistema operativo, mientras que el
proveedor solo se encarga de administrar los servicios básicos en la nube. Ejemplos de empresas que aplican el modelo IaaS
son: Amazon Web Services (AWS), Microsoft Azure y Google Compute Engine (GCE).
Tipos de entornos en la nube

Existen tres tipos de entornos en la nube que se aplican en las empresas actualmente, los que tienen como objetivo segmentar
las responsabilidades de gestión, incluida la seguridad entre los clientes y los proveedores.

Nube pública: este tipo de entorno cloud, permite que varios usuarios puedan acceder a una interfaz de autoservicio de manera
automática.  Es decir, un cliente comparte los servidores de un proveedor con otros usuarios y clientes, por lo que es una
solución práctica y accesible. En definitiva, la nube pública consta de servicios de terceros dirigidos por el proveedor para dar
acceso a los clientes a través de la web. Normalmente, las implementaciones de nube pública se usan para proporcionar correos
electrónicos web, aplicaciones de Office en línea, almacenamiento, y entornos de desarrollo y entornos de pruebas.
 
Nube privada: la infraestructura de este tipo de entorno en la nube, debe ser operada por una única organización, por lo que el
servicio es más costoso ya que es diseñado a medida.
La nube privada puede ubicarse físicamente en el centro de datos de la organización u hospedarse en un proveedor de servicios
externo. Habitualmente, las nubes privadas suelen ser adquiridas por agencias gubernamentales, instituciones financieras y
cualquier organización que realice operaciones esenciales para la empresa y busque aumentar el control sobre su entorno.
 
Nube híbrida: este tipo de entorno, se caracteriza por unificar lo mejor de la nube pública y la privada. Es decir, es una
arquitectura informática que incorpora parte de las cargas de trabajo en dos o más entornos. Comúnmente, se define como
cualquier combinación de soluciones cloud que funcionen conjuntamente en entornos locales y externos para proporcionar
servicios de informática a una organización. Este tipo de entorno en la nube es ideal para nuevas empresas que aún no están en
condiciones de invertir en servidores propios de alto costo.
¿Qué protege la ciberseguridad en la nube?

También conocidos como la peor pesadilla de un administrador de sistemas, los ataques DDoS (Distributed Denial of Service,
Denegación de Servicio Distribuido) pueden causar estragos fatales en redes corporativas y costar a las empresas importantes
sumas de dinero en caso de no estar preparados, por lo que se consideran como una de las mayores amenazas en términos de
ciberseguridad.

Mientras que las empresas que cuentan con un servidor local propio son por lo general quienes resultan más afectadas, aquellas
que utilizan sistemas de cómputo en la nube, tales como Google Cloud , Amazon Web Services (AWS) o Microsoft Azure, no
están exentos de tales amenazas.
 
A continuación, revisaremos algunas de las mejores prácticas para prevenir y mitigar este tipo de ataques en configuraciones de
cloud computing, pero primero, vamos a lo básico.
En que consiste un ataque DDoS?

Un ataque DDoS (Distributed Denial of Service) es un intento de agotar los recursos disponibles para una red, aplicación o
servicio para que sus usuarios legítimos no puedan acceder.
 
Hace algunos años, e impulsado en gran parte por el aumento del “hacktivismo”, se ha visto un renacimiento en los ataques
DDoS que ha llevado a la innovación en las áreas de herramientas, objetivos y técnicas utilizadas para ejecutarlos.
 
En la actualidad, la definición de "ataque DDoS"  se sigue complicando. Los hackers utilizan una combinación de ataques de
gran volumen, junto con infiltraciones más sutiles y difíciles de detectar que apuntan a las aplicaciones, así como a la
infraestructura de seguridad de red existente, como firewalls e IPS (sistemas de protección contra intrusiones).
¿Cómo evitamos estos ataques al trabajar con servidores en la nube?
 
Desarrollando soluciones escalables: una infraestructura escalable es fundamental para un sistema bien estructurado, sin
embargo, también es una técnica de gran efectividad a la hora de evitar ataques DDoS. Escalar para cumplir con los volúmenes
de tráfico adicionales, ya sean válidos o de un ataque DDoS, aumentará la capacidad de los servidores para seguir funcionando.
 

Minimizando el área de superficie de ataque: en este caso, es clave desacoplar las partes de la infraestructura de red. Por
ejemplo, al ejecutar sitios web públicos, se recomienda separar la aplicación de la base de datos y, si es posible, los medios y su
contenido estático también. Las aplicaciones desacopladas limitan el acceso a Internet a los componentes críticos del sistema,
protegiéndose de un ataque.
Como mitigar un CiberAtaque?

Aislando el tráfico interno de la red exterior: es decir, implementando instancias sin IP públicas a menos que sea necesario.
Por ejemplo, configurando una puerta de enlace NAT o un bastión SSH para limitar el número de instancias que están expuestas
a Internet. Una vez disponible, se ejecuta el equilibrio interno de carga para que las instancias internas de los clientes accedan a
los servicios implementados internamente, evitando así exposición al mundo externo.
 
Equilibrando la carga con la ayuda de Proxys: AWS y Google Cloud poseen herramientas de balance de carga HTTP(S) o
balance de carga SSL Proxy, por lo que la infraestructura de sus servidores cloud es capaz de mitigar y absorber muchos ataques
de Capa 4 y otros, tales como inundación SYN, inundación de fragmento de IP, etc. Al contar con una herramienta de balance de
carga HTTP(S) en múltiples regiones, logran dispersar cualquier posible ataque a través de las instancias de sus servidores
alrededor del globo.
 
En conclusión, si bien los ataques DDoS continúan siendo una amenaza permanente para las infraestructuras cloud, existen
muchas formas de estar preparados y enfrentarlos de manera exitosa para mantener los sitios web o aplicaciones siempre
disponibles en caso de recibir un intento de saturar la red. Siempre es necesario tener estos datos en mente para mantener una
red saludable y estable.
Prácticas recomendadas para mejorar la seguridad en la nube

A pesar de que la responsabilidad de la ciberseguridad en la nube es una tarea compartida, es crucial que los clientes establezcan
por cuenta propia una serie de medidas de seguridad para proteger sus aplicaciones y los datos almacenados en la nube, con el
objetivo de mitigar riesgos de seguridad. Entre las principales prácticas recomendadas en ciberseguridad, destacan:

Resguardar los datos de la consola de gestión cloud: todos los proveedores de servicios de ciberseguridad cuentan con una
consola en la nube, sistema que otorga una completa interfaz web para la organización, que permite gestionar y consultar toda la
información de los servicios cloud, como aplicaciones web, administración de cuentas, gestión de bases de datos, sistemas
virtuales, redes o almacenes de datos. Una buena práctica para proteger la información almacenada en este entorno, es que las
organizaciones controlen el acceso y lo supervisen estrictamente, limitando los privilegios de accesibilidad a la consola para
evitar los ataques y la filtración de datos, ya que son unos de los principales blancos de los ciberdelincuentes.
 
Proteger la infraestructura virtual: este es otro de los objetivos de interés de los ciberatacantes: servidores virtuales,
contenedores, almacenes de datos y otros recursos similares pueden ser vulnerados si no se protegen adecuadamente. En este
sentido, los ciberdelincuentes pueden hackear las herramientas de aprovisionamiento automático explotandolas para organizar
ataques e interrumpir servicios. Por lo mismo, es esencial que los clientes establezcan sólidas prácticas de seguridad para evitar
el acceso no autorizado a los scripts de automatización y las herramientas de aprovisionamiento de la nube.
Protección de claves SSH de API: un servidor SSH puede autenticar a los clientes a través de distintos sistemas. La forma
más común es la autenticación por medio de contraseñas, que es fácil de usar, pero no es la más segura. Por lo mismo, otra
buena práctica de resguardo para la ciberseguridad, es proteger las claves SSH de API, eliminando las claves SSH incrustadas
de las aplicaciones y asegurándose de que solo las aplicaciones autorizadas tengan acceso a ellas, evitando que queden
instaladas en repositorios públicos.
 
Protección en el desarrollo y administración de DevOps: los procesos de desarrollo y operaciones de aplicaciones son
probablemente uno de los aspectos más importantes a considerar en términos de ciberseguridad.  Los ciberdelincuentes
generalmente intentan explotar las consolas y herramientas de administración de DevOps con el objetivo de lanzar ataques o
robar datos. Por lo mismo, es fundamental que las empresas en su papel de clientes, controlen y evalúen constantemente el
acceso a las herramientas y consolas de administración utilizadas en cada etapa del desarrollo de aplicaciones y del proceso de
entrega para mitigar el riesgo.
 
 
Proteger el código de los procesos de desarrollo y operaciones: es habitual que los desarrolladores inserten las credenciales
de seguridad en el código fuente almacenado en el almacenamiento compartido o en los repositorios de código públicos en la
nube. Esto puede generar vulnerabilidades en el proceso de DevOps cuando las credenciales de aplicaciones son mal
administradas, robando por ejemplo información de propiedad exclusiva y generando problemas más graves para el cliente. En
este sentido, la recomendación es que la organización elimine los secretos del código fuente, implantando sistemas y prácticas
para supervisar y controlar el acceso de forma automática de acuerdo a cada política del negocio.

Proteger los accesos de administración para los proveedores en la nube: como mencionamos anteriormente, todos los
proveedores de servicios en la nube (SaaS) cuentan con una consola de gestión integrada para administrar usuarios y servicios.
Sin embargo, estas cuentas de administración son otro blanco para los ciberatacantes. Para evitar riesgos, los clientes deben
controlar y supervisar periódicamente y de forma estricta los privilegios de acceso a la consola de administración SaaS para
garantizar la seguridad de los datos.
 
Los principales proveedores de servicios en la nube como Amazon Web Services o Google Cloud, sobre los cuales operan gran
parte de los servicios en la nube ofrecidos en el mercado, han abordado de manera proactiva sus controles de seguridad
realizando verificaciones independientes de las políticas de seguridad, privacidad y cumplimiento, poniendo estos informes a
disposición del público.
Docente
DANIEL MATUS DE LA PARRA SANDOVAL