Ideas poco claras sobre la Nube

El desastre de iCloud de Apple (se publicaron fotos privadas de algunos famosos) confirma la cruda realidad: incluso los usuarios más expertos no saben lo que pasa realmente en la Nube.

iCloud

En estos días hemos visto en los principales medios un largo hilo de noticias sobre la fuga de datos de iCloud: entre los datos filtrados, había también fotos comprometedoras de famosas como Jennifer Lawrence y Kate Upton, entre otras.

Seguro que no vivís en la inopia y conocéis toda la historia, así que no os contaremos los detalles. De todas formas, si acabáis de volver de unas vacaciones en una isla desierta, aquí va un enlace para poneros al día.

El problema no es tanto cómo los cibercriminales hayan podido acceder a iCloud (o a cualquier servicio de Apple), sino si consiguieron explotar una vulnerabilidad en la aplicación para encontrar el smartphone y qué herramientas utilizaron.

Incluso cuando un servicio es de pago, a menudo siguen existiendo problemas de seguridad, porque las cuentas “premium” ofrecen más opciones que no tienen mucho que ver con la privacidad o la seguridad.

El problema es que la mayoría de los usuarios no tiene idea de los datos que se encuentran en la Nube. Y entre los que lo saben, casi nadie sabe decir dónde se encuentran los datos exactamente, quién tiene acceso a ellos y cuánto están protegidos. Me puedo imaginar el nivel de conocimientos sobre estos temas de famosas como Jennifer Lawrence o Kate Upton, pero también los más expertos al final no saben mucho más.

Consideremos los servicios de gigantes de la tecnología como Google, Facebook o Apple, que cambian continuamente. Consideremos también los cambios que a menudo hacen en las políticas de privacidad y en las configuraciones.  Añadimos el ciclo infinito de encontrar vulnerabilidades y publicar actualizaciones de seguridad; finalmente llegan los usuarios, que no tienen ganas de instalar los parches o simplemente no se han enterado de los cambios. En fin, ¡es imposible que todo funcione a la perfección!

Hace algunos años, uno de mis compañeros de trabajo cayó víctima de este sistema. Fue entonces cuando Apple empezó a habilitar iCloud en todos los dispositivos iOS. Mi colega intercambió estos mensajes con un amigo suyo a través de iMessage:

Amigo: ¿Dónde quedamos esta noche?

Colega: Me da igual. En cualquier sitio que esté cerca y que nos sirva algo de beber.

Una conversación bastante normal, ¿verdad? Pues, exactamente el mismo día, iCloud sincronizó los datos de iMessenger en todos los dispositivos iOS. Podéis imaginar lo que pasó. Los mensajes de mi colega llegaron al iPad de su hijo, que los enseñó a su madre. Al volver a casa, a mi colega le cayó una bronca.

Hay que decirlo, desde entonces Apple ha tomado algunas medidas para solucionar estos inconvenientes.  Los padres más precavidos ahora saben qué hacer para que los niños no utilicen servicios de pago, configurando cuentas especiales para ellos.

El problema sigue siendo el mismo: ¿Dónde se encuentran los datos? ¿Quién tiene acceso a ellos? ¿De qué manera están protegidos?

Por lo que se refiere a la seguridad de los servicios en la Nube (sobre todo los servicios para usuarios particulares), hay que decir que el sistema de autenticación no es nada eficaz, se puede hackear con unas herramientas que no requieren ningún talento técnico. Podemos acudir a la verificación en dos pasos pero tampoco es muy buena (principalmente porque no es nada cómoda).

Además de todo esto, los usuarios no tienen idea de lo que les pertenece y de lo que no, en parte porque nadie (en serio, nadie) lee el contrato de uso de estos servicios. Y es prácticamente imposible o muy, muy difícil controlar o gestionarlo todo.

Ahora podríais comentar que esto es lo que pasa cuando se contrata un servicio gratuito.

Se trata de un argumento bastante válido pero hay que decir que, incluso cuando un servicio es de pago, a menudo siguen existiendo problemas de seguridad, porque las cuentas “premium” ofrecen más opciones que no tienen mucho que ver con la privacidad o la seguridad.

Estos dispositivos que tanto están de moda como iPhones, Macs e iPads transmiten silenciosamente nuestros datos a la mítica Nube, o sea un servidor en Cupertino, California (o en otro sitio más barato) y ofrecen servicios que al final nos salen caros, por lo menos en términos de privacidad y seguridad.

Parémonos a pensar un momento en las herramientas online. Una pequeña empresa (o un empleado de una pequeña empresa)  utiliza estos servicios gratuitos en la Nube porque no le queda más remedio, si no quiere gastar más de la cuenta. Es cuestión de productividad, nada más.

Todas las herramientas  que forman parte del mundo de Internet y de los ordenadores crean, transmiten y almacenan datos, ¿pero dónde se encuentran estos datos? Se trata de un detalle importante para una empresa que opera, por ejemplo, en otro país diferente de donde se encuentra el servidor. ¿Se indexan estos datos? ¿Quién tiene acceso a ellos? ¿Los gobiernos pueden acceder a estos datos indexados? ¿Y si puede hacerlo alguien de la competencia? La frase que escuchamos a menudo “no tengo nada que esconder”, en todo este panorama no tiene sentido, porque todo el mundo tiene algo que esconder, y no se trata necesariamente de asuntos ilegales o criminales.

Hasta ahora hemos hablado de empresas (y para ellas el problema irá empeorando en el tiempo), pero podemos aplicar todo esto a un usuario normal y corriente: ¿a dónde van a acabar todos los datos almacenados en esas aplicaciones gratuitas que descargamos para controlar nuestra salud? ¿Quién accede a estos datos? ¿Hay alguna consecuencia económica para las prestaciones sanitarias? Las empresas y los consumidores deberían estar más concienciados sobre la gestión de los datos personales. Quien trabaja con el mundo de Facebook, ya está al tanto. ¿Dónde van a acabar los mensajes de Facebook Messenger?

La solución no es sólo enfadarse o quejarse. Apple y otras grandes empresas están ganando un montón de dinero gracias a unos servicios que siguen teniendo problemas de seguridad. En el caso de las fotos de las famosas, muy probablemente se trató de una campaña APT, como la misma Apple insinúa. Pero hay que admitir que el problema de la seguridad de los datos en la Nube es algo muy serio y tenemos que afrontar esta realidad.

Por cierto, Kaspersky se está ocupando de este asunto. Pensamos en ello. Aunque sepamos que nuestros productos para endpoints pueden reducir los riesgos, también somos conscientes de que no son la solución al problema. Nos queda mucho trabajo por hacer. ¿Nos ayudáis?

Consejos