Un estudio reciente de la Universidad Johns Hopkins cuestiona cuán
seguras son las tácticas de "conocimiento cero" adoptadas por algunos
suministradores de almacenamiento en la nube.
Brandon Butler, Network World (US)
Los servicios cloud de “conocimiento cero” funcionan normalmente
almacenando los datos de los clientes de forma cifrada y dando solo a
los clientes las claves para descifrarlo, en lugar de que el
suministrador tenga acceso a las claves. Pero los investigadores han descubierto que si los datos están compartidos en un servicio cloud, esas claves podrías ser vulnerables a un ataque que permitiría a los suministradores tener acceso a los datos de los clientes si quisieran.
El estudio arroja
dudas sobre estas nubes de “conocimiento cero” y refuerza los consejos
de los expertos de que los usuarios deberían conocer en detalle cómo
gestionan los suministradores sus datos. Los suministradores cloud de
“conocimiento cero” analizados por los investigadores, en este caso
Spider Oak, Wuala y Tresorit, utilizan normalmente un método donde los
datos son cifrados cuando se almacenan en la nube y son descifrados sólo
cuando el usuario los descarga de nuevo de la nube. El modelo es
seguro. Pero, los investigadores alertan de que si los datos están
compartidos en la nube, lo que significa que son enviados por el
servicio en la nube sin que el usuario los baje a su sistema, los
suministradores tienen la oportunidad de verlos.
“Siempre que los datos estén compartidos con otro beneficiario en el
servicio de almacenamiento en la nube, los suministradores pueden tener
acceso a los archivos de los clientes y otros datos” ha afirmado el
autor del informe, Duane Wilson, estudiante de doctorado en el Instituto
de Seguridad de la Información en el Departamento de Informática de la
Universidad Johns Hopkins.
Es normal para estos suministradores tener un servicio intermediario
que verifica a los usuarios antes de proporcionar las claves para cifrar
los datos. Los investigadores han descubierto que los suministradores a
veces proporcionan su propia verificación. Esto representa una
oportunidad para los suministradores de potencialmente ofrecer
credenciales falsas que descifrarían los datos y permitiría a los
suministradores ver la información. Es similar al tradicional ataque de
seguridad del “hombre intermediario”.
Los investigadores han afirmado que no encontraron evidencia de datos
de clientes que fueran comprometidos, ni han identificado ningún
comportamiento sospechoso de los suministradores, pero los
investigadores afirman que podría ser una vulnerabilidad. “Aunque no
tenemos ninguna evidencia de que ningún suministradores de
almacenamiento seguro en la nube esté accediendo a la información
privada de sus clientes, queremos que se sepa que esto podría ocurrir
fácilmente”, ha afirmado Giuseppe Ateniese, profesor asociado que ha
supervisado la investigación. “Es como descubrir que los vecinos han
dejado la puerta sin echar la llave. Quizá nadie haya robado nada
todavía, pero ¿no creen que les gustaría saber que es muy fácil que
puedan entrar los ladrones?
No hay comentarios:
Publicar un comentario