La virtualización y el cloud computing permiten simplificar las infraestructuras TI y reducir costes, pero es ahora cuando se empiezan a ver los riesgos de seguridad que implican.

Parece claro que confiar toda la infraestructura tecnológica a la nube deja a las empresas mucho más vulnerables a los hackers  , quienes han redoblado esfuerzos para lanzar ataques de denegación de servicio contra proveedores de servicios basados en Internet como Google o Yahoo, por ejemplo. De hecho, a principios de este año se produjo un bloqueo masivo en el servicio de Google que ilustra a la perfección el tipo de interrupciones y problemas que pueden sufrir los negocios que dependan de la nube.

Ésta es solo una de las preocupaciones que se han reflejado en el estudio Global Information Security, un informe organizado por las revistas CSO y CIO, que lleva a cabo PricewaterhouseCoopers. En él se ha entrevistado a más de 7.200 responsables de negocio y tecnología de todo el mundo y de todo tipo de industrias, desde sanidad a finanzas, pasando por la Administración Pública.  

informatica en la nube

Salto sin paracaídas

Dado el gasto que supone mantener una infraestructura TI física, la idea de reemplazar las salas de servidores y las aplicaciones específicamente configuradas para ellos con servicios en la nube lleva a que casi ninguna compañía se resista al cambio. Sin embargo, apostar por la nube sin una estrategia de seguridad que la respalde es una receta segura de riesgo. Según el informe, el 43 por ciento de las personas que han respondido al mismo están utilizando servicios en la nube tales como SaaS o infraestructura como servicio. Pero hay muchas más que están invirtiendo en tecnología de virtualización que ayuda a desarrollar el cloud computing. Así, el 67 por ciento de los encuestados para el informe afirman que utilizan servidores, almacenamiento y otras formas de virtualización tecnológica. De ellos, el 48 por ciento cree que la seguridad de su información ha mejorado, mientras que el 42 por ciento considera que su nivel de seguridad se mantiene al mismo nivel que antes. Sólo el 10 por ciento cree que la virtualización ha provocado más agujeros de seguridad.

Así las cosas, puede que la seguridad se haya mejorado para algunos, pero expertos como Chris Hoff, director de soluciones de virtualización de Cisco Systems, considera que tanto clientes como proveedores necesitan asegurarse de que entienden los riesgos asociados a los cambios técnicos, operacionales y de organización que implican estas tecnologías.

“Cuando analizas el modo en que la gente piensa sobre virtualización y lo que significa, la definición es muy limitada, declarando que se trata de la consolidación de servidores o la virtualización de aplicaciones y sistemas operativos, consolidando todo ello en menos espacio físico. La otra definición que dan tiene que ver con seguridad, almacenamiento o redes. Así que, a todo esto hay que añadir no solo la confusión que hay en torno al término de cloud computing, sino también a lo que significa para cada empresa en particular y cómo puede impactar en cada infraestructura empresarial en concreto”.

Atisbo de esperanza

Pero afortunadamente, aún hay algunas empresas que están actuando con precaución en este tema. Un ejemplo es el de Atmos Energy, que utiliza Salesforce.com para impulsar los tiempos de respuesta que ofrece a sus clientes, ayudando al departamento de marketing a gestionar su cada vez mayor base de clientes. Es lo que explica su CIO, Rich Gius. Su proyecto está siendo un éxito, al menos hasta ahora, por ello, Gius está analizando la viabilidad de apostar por la nube también para la gestión del correo electrónico corporativo. “Nos ayudará a gestionar el reto que tenemos ante nosotros por la proliferación de dispositivos móviles con capacidades de correo electrónico, como las BlackBerrys, que cada vez son más habituales entre nuestros trabajadores”. Pero aún no cree que estén listos para dar ese paso, sobre todo, por los riesgos que implica, tales como la seguridad.

Un ejemplo de este peligro se produjo el pasado mes de mayo, cuando diferentes compañías dependientes de la informática en la nube vieron cómo se quedaban sin servicios cuando Google, cuyos contenidos suponen cerca del 5 por ciento de todo el tráfico que se mueve en la Red, sufrió un corte en su servicio. Cuando se cayó, muchas compañías que habían apostado por sus aplicaciones de negocio basadas en la nube se vieron en la estacada.

La caída del servicio no fue causada por hackers, pero sí que existen signos de que hay cibercriminales explorando los posibles modos de aprovecharse de la nube para propósitos maliciosos. Aprovechándose de esta caída del servicio, los atacantes inundaron los resultados de las búsquedas de Google con vínculos maliciosos, lo que obligó al U.S. Computer Emergency Response Team (U.S. CERT) a poner en marcha un aviso sobre los peligros potenciales de los sitios de servicios basados en la nube.

El ataque infectó a varios cientos de páginas Web legítimas explotando fallos conocidos en el software de Adobe para instalar programas maliciosos en las máquinas de las víctimas. El programa robaba las credenciales de acceso FTP de las víctimas y utilizaba esta información para seguir extendiéndose. Además, pirateaba el navegador de la víctima, reemplazando los resultados de búsquedas de Google con links elegidos por los atacantes. Aunque las páginas Web afectadas no eran precisamente aquellas que ofrecen servicios basados en la nube, lo cierto es que esquemas similares pueden dirigirse y afectar a proveedores de servicios en l