Día: 22 abril, 2014

Hasta el almacenamiento en la nube más seguro, “puede no serlo tanto”, afirma estudio

Hasta el almacenamiento nubeLos servicios cloud de “conocimiento cero” funcionan normalmente almacenando los datos de los clientes de forma cifrada y dando solo a los clientes las claves para descifrarlo, en lugar de que el proveedor tenga acceso a las claves.

Pero los investigadores han descubierto que si los datos están compartidos en un servicio cloud, esas claves podrían ser vulnerables a un ataque que permitiría a los proveedores tener acceso a los datos de los clientes si quisieran.

Nubes de “conocimiento cero”

El estudio arroja dudas sobre estas nubes de “conocimiento cero” y refuerza los consejos de los expertos de que los usuarios deberían conocer en detalle cómo gestionan los proveedores sus datos.

Los proveedores cloud de “conocimiento cero” analizados por los investigadores –en este caso Spider Oak, Wuala y Tresorit– utilizan normalmente un método donde los datos son cifrados cuando se almacenan en la nube y son descifrados sólo cuando el usuario los descarga de nuevo de la nube.

El modelo es seguro. No obstante, los investigadores advierten que si los datos están compartidos en la nube, lo que significa que son enviados por el servicio en la nube sin que el usuario los baje a su sistema, los proveedores tienen la oportunidad de verlos.

“Siempre que los datos estén compartidos con otro beneficiario en el servicio de almacenamiento en la nube, los proveedores pueden tener acceso a los archivos de los clientes y otros datos”, afirmó el autor del informe, Duane Wilson, estudiante de doctorado en el Instituto de Seguridad de la Información en el Departamento de Informática de la Universidad Johns Hopkins.

Es normal para estos proveedores tener un servicio intermediario que verifique a los usuarios antes de proporcionar las claves para cifrar los datos. Los investigadores han descubierto que los proveedores a veces proporcionan su propia verificación.

Esto representa una oportunidad para los proveedores de potencialmente ofrecer credenciales falsas que descifrarían los datos y les permitiría ver la información. Es similar al tradicional ataque de seguridad del “hombre intermediario”.

Buenas noticias, pero…

Los investigadores no encontraron evidencia de datos de clientes que fueran comprometidos, ni han identificado ningún comportamiento sospechoso de los proveedores. Sin embargo, los investigadores afirman que esto podría ser una vulnerabilidad.

“Aunque no tenemos ninguna evidencia de que algún proveedor de almacenamiento seguro en la nube esté accediendo a la información privada de sus clientes, queremos que se sepa que esto podría ocurrir fácilmente”, aseveró Giuseppe Ateniese, profesor asociado que ha supervisado la investigación.

“Es como descubrir que los vecinos han dejado la puerta sin echar la llave”, dijo Ateniese. “Quizá nadie haya robado nada todavía, pero ¿no creen que les gustaría saber que es muy fácil que puedan entrar los ladrones?”

Representantes de Spider Oak, uno de los proveedores mencionados en el informe, afirman que están de acuerdo con algunos aspectos del estudio.

Y es que Spider Oak anima a los clientes a que utilicen una aplicación para transferir los archivos en vez de usar el portal web de la compañía. La utilización de la aplicación de Spider Oak asegura la verificación de los usuarios finales para el descifrado de los datos, eliminando la oportunidad de que el proveedor pueda comprometer los datos.

Al firmar el servicio de Spider Oak, se requiere a los usuarios que marquen una casilla indicando que comprenden que para conseguir un “conocimiento cero” completo, deben utilizar la aplicación indicada.

Esta compañía permitirá servicios colaborativos en su plataforma cloud, lo cual significa que los datos serían transferidos dentro de su nube. Para ofrecer esta funcionalidad, Spider Oak piensa utilizar una combinación de identificaciones seguras RSA junto con una clave y una plataforma de cifrado.

También espera ofrecer a sus usuarios una forma de verificar de forma segura la identidad de cualquiera que esté viendo sus archivos. Algunos proveedores –como el proveedor de comunicaciones cifradas Silent Circle– utilizan una herramienta de reconocimiento de voz para ofrecer esta funcionalidad, y Spider Oak está investigando formas similares “elegantes” para verificar que los datos son compartidos únicamente con personas aprobadas por el propietario.

 

BYOD replantea las políticas de seguridad empresarial

BYOD replantea políticas de seguridadLa “doble vida” –privada y profesional– que mantienen nuestros smartphones, y que se conoce como tendencia BYOD (Bring Your Own Device), es uno de los cambios que más afecta a la seguridad TI de las organizaciones.

Se trata de una realidad a la que las empresas se deben adaptar rápidamente, pues supone un auténtico quebradero de cabeza para los administradores de sistemas que ven cómo estos dispositivos móviles se convierten en una brecha de seguridad difícil de sellar.

La consecuencia inmediata de este fenómeno es que el número de clientes que deben ser administrados en una organización crece rápidamente y la interacción, dentro de la propia red empresarial, del parque tradicional de PC, servidores y portátiles, con estos nuevos dispositivos móviles pondrá a prueba la infraestructura empresarial, pues multiplica las puertas de acceso a las amenazas informáticas.

Por ello, las redes corporativas, cada vez más complejas, requieren una estrategia de gestión basada en soluciones capaces de gestionar, asegurar y, en definitiva, “tratar” a los dispositivos móviles tal y como se hace con el resto de clientes. Las compañías necesitan saber que los smartphones y tablets conectados a su red se encuentran administrados porque, lamentablemente, lo que no está administrado no se puede proteger.

Una amenaza que crece

El sistema operativo Android, con más de mil millones de dispositivos activos en todo el mundo, es uno de los principales objetivos de la industria del cibercrimen. Si bien el número de amenazas es notablemente inferior a las que existen para Windows, su crecimiento, año tras año, no deja lugar a dudas.

El año pasado, G Data registró 1.2 millones de nuevas aplicaciones maliciosas que, en la mayoría de las ocasiones, incorporaban funciones espía y eran capaces de enviar información a servidores remotos.

Otro dato interesante es que en nuestro país se descargan a diario casi cuatro millones de apps, de manera que, en el mejor de los casos, parece cuestión de tiempo que más tarde o más temprano no nos “toque” alguna de las fraudulentas.

Una vez llegados a este punto, la información profesional almacenada en nuestro smartphone podría estar en poco tiempo circulando en los mercados negros de Internet. Por no mencionar la posibilidad de infectar la propia red empresarial si accedemos desde una terminal que aloje una de estas apps.

De igual forma, la posibilidad de que un empleado pierda o le roben el dispositivo móvil no es remota. A todos nos ha pasado alguna vez. O tenemos a alguien cerca que le ha pasado. En ese caso sería un alivio saber que, si dicha terminal está integrada en la red corporativa, bastará enviar un comando para borrar en remoto toda la información almacenada. Esta es una manera rápida y sencilla de minimizar las consecuencias para la empresa.

Android y Windows, juntos en la consola central

Es imprescindible, pues, que las empresas se enfrenten a esta nueva realidad y busquen soluciones de seguridad capaces de operar con los dispositivos móviles como ya lo hacían con el resto de clientes y que, en consecuencia, todas las configuraciones de seguridad que les afecten puedan ser gestionadas desde la consola central, desde escaneos rutinarios a las funciones antirrobo.

Esto incluiría el bloqueo de apps maliciosas o la protección de agendas o correos electrónicos con contraseña. Lo anterior resulta imprescindible para blindar redes heterogéneas donde conviven sistemas Windows y Android.

___________

Eulogio Díaz es director general de G Data México.

Proliferación de apps, un reto para las áreas de TI

Proliferación de appsUna reciente encuesta efectuada por LogMeIn y Edge Strategies revela que los profesionales de TI subestiman significativamente el alcance de la tendencia ‘bring-your-own-app’ (BYOA) en su lugar de trabajo.

Como indica el estudio, LogMeIn, mientras que aproximadamente el 70% de las empresas encuestadas informa del uso activo de las aplicaciones introducidas por los empleados en el lugar de trabajo, los profesionales TI encuestados estiman que su número es de 2.8 por organización. Sin embargo, los datos posteriores recogidos de organizaciones de tamaño similar a través de una tecnología de descubrimiento de aplicaciones ponen de relieve que el número promedio de aplicaciones BYO se acerca a 21 por empresa, es decir, siete veces más.

El área de TI subestima significativamente el número de empleados que introducen aplicaciones en el lugar de trabajo. Así lo pone de manifiesto el estudio, que concluye que, si los profesionales TI registran un promedio de 2.8 aplicaciones BYO en el lugar de trabajo, los datos posteriores de descubrimiento muestran un promedio más cercano a 21 aplicaciones, una disparidad siete veces mayor.

Asimismo, aproximadamente el 70% de las empresas informan que las aplicaciones introducidas por los empleados están siendo utilizadas activamente en su lugar de trabajo, y el 42% de los encuestados espera que BYOA crezca significativamente en los próximos cinco años.

Otra conclusión del estudio señala que las pymes reportan la mayor prevalencia de BYOA. Para las empresas entre 11 y 100 empleados, BYOA es incluso más grave, con un 81% que informa del uso activo de las aplicaciones introducidas por los empleados. Por otra parte, casi dos terceras partes de las aplicaciones BYO se introducen y se utilizan, a pesar de que ya existen en la empresa soluciones proporcionadas por TI.

Es decir, los empleados eligen sus propias soluciones, ya que más del 64% de las aplicaciones introducidas por ellos se utilizan en lugar de las aplicaciones existentes de la empresa para cubrir las mismas necesidades.

La mayoría se va “por la libre”

Cuando se les preguntó a los responsables del área TI si se les consulta la introducción de aplicaciones en el lugar de trabajo, el 56% de ellos contestó afirmativamente. En cambio, los empleados dieron una respuesta muy diferente, pues sólo el 45% aseguraron que consultan o informan a TI antes de introducir aplicaciones cloud en su lugar de trabajo.

Incluso después de que los profesionales TI respaldan las aplicaciones introducidas por los empleados, sólo un pequeño porcentaje de éstas se gestionan de forma centralizada. De hecho, en el caso de las apps de sincronización y compartición de archivos, el 54% de los empleados utilizan versiones libres no gestionadas; el 20% versiones de pago de uso individual sin administrar y sólo el 26% usa versiones empresariales gestionadas de forma centralizada. En las aplicaciones de colaboración, esas tasas son del 46%, 25% y 29%, respectivamente, y del 42%, 42% y 15% en lo que se refiere a las aplicaciones de productividad.

A la pregunta de qué problemas limitan la adopción o el apoyo de BYOA en su empresa, más de la mitad (54%) destacó las preocupaciones en torno a la seguridad de los datos, y el 45% citó la falta de control/gestión de las aplicaciones. Además, sólo el 38% de las organizaciones tienen una política BYOA en su centro de trabajo y apenas un 20% de los profesionales de TI siente que está muy preparado y cuenta con políticas y tecnologías para mitigar la mayoría, o todos los riesgos de seguridad asociados a BYOA.

Tres estilos de gestión en torno a BYOA

Tres perfiles/estilos de gestión de TI emergen alrededor de BYOA. Se consideran “guardianes activos” al 30% de los profesionales de TI, que administran BYOA bloqueando activamente las aplicaciones cloud en su lugar de trabajo.

En segundo lugar, figuran los “facilitadores estratégicos”, que representan el 29% del total, gestionan BYOA a través de una combinación de análisis de registros de tráfico web, detección de paquetes y/o supervisión de dispositivos. Finalmente, el 39% actúan como “observadores pasivos”, que son los que ni supervisan ni gestionan BYOA en absoluto.

El estudio, cuyo propósito fue explorar el uso y la adopción de las aplicaciones cloud introducidas por los empleados en Estados Unidos, Canadá, Reino Unido, Irlanda, Australia y Nueva Zelanda, profundizó en los tipos y las cantidades de aplicaciones que entran en el lugar de trabajo, así como la respuesta del departamento TI a su gestión y control.

En el “Día de la Tierra”, ¿por qué no reciclar nuestros dispositivos móviles?

Día de la TierraCoincidiendo con el “Día de la Tierra”, que se celebra este martes, Recyclia dio a conocer un estudio que indica que gran parte de los materiales que componen un móvil actual es aprovechable para fabricar nuevos productos. Es decir, son, en casi su totalidad, reciclables.

Lo anterior se desprende del último estudio sobre “reciclabilidad” de los Residuos de Aparatos Eléctricos y Electrónicos (RAEE), realizado por la plataforma medioambiental Recyclia. El informe establece que el 65% de las materias primas recuperadas de un móvil es plástico, el 25%, metal; y el 10% restante, sustancias irrecuperables como fibra de vidrio. En el caso de las dos primeras, su destino más obvio sería la industria del automóvil y la electrónica de consumo.

De un teléfono móvil con un peso medio de unos 100 gramos, las técnicas de tratamiento actuales permiten extraer 62 gramos de plásticos –una mezcla de propileno, poliestiereno y policarbonato, entre otros– y 25 gramos de metales, sobre todo aluminio y cobre.

Además, según el estudio, contiene 8 PPM (Partes Por Millón, es decir, 0.0008 gr) de metales preciosos recuperables –entre ellos oro, plata y paladio–, lo que significa alrededor de 8 gramos por cada tonelada de residuo. En conclusión, unos 10,000 teléfonos móviles podrían producir una tonelada de estos materiales, según Recyclia.

El estudio también confirma que el teléfono móvil registra uno de los índices de reciclaje más elevados de las diez categorías establecidas. Y, entre éstos, sólo la PC registra un índice de reutilización superior al del dispositivo móvil. En concreto, 93%.

Recyclia señala que el ciclo de renovación de los móviles es de 18 meses.