¿Se avecina el Chernóbil de la computación en la nube?

Hace 23 años, la energí­a nuclear con usos pací­ficos sufrió un golpe casi demoledor, que demoró durante muchos años su desarrollo en todo el mundo.

El 26 de abril de 1986, el cuarto reactor de la central nuclear de Chernóbil (en la foto superior), en la entonces Unión Soviética (hoy Ucrania) explotó. Fue la consecuencia de un experimento que buscaba comprobar si la inercia de las turbinas podí­a generar suficiente electricidad para las bombas de refrigeración en caso de fallo. Una sucesión de errores provocó una enorme subida de potencia y una gran explosión dejó al descubierto el núcleo del reactor emitiéndose una gigantesca nube radiactiva hacia toda Europa. Todos los residentes permanentes de la ciudad y aquellos que viví­an en la zona de exclusión fueron evacuados debido a que los niveles de radiación sobrepasaron todos los estándares de seguridad.

Hasta esta tragedia, que costó la vida de miles de personas, la energí­a nuclear aparecí­a como la panacea perfecta para la crisis energética mundial. Pero después de este accidente, se frenaron la mayorí­a de los planes de construcción de centrales atómicas.

Salvando las distancias, la computación en la nube ("cloud computing", en inglés) corre un riesgo similar, a partir de factores humanos sencillos pero vitales como la fortaleza de la contraseña con la que el usuario accede a sus servicios y documentos ubicados en la Web, y factores tecnológicos como los procesos de reinicio de una clave cuando su dueño se la olvida.

¿Qué es la "cloud computing"? Según Wikipedia, "es un paradigma que permite ofrecer servicios de computación a través de Internet". En este entorno todo lo que puede ofrecer un sistema informático se ofrece como servicio, de modo que los usuarios puedan acceder a los servicios disponibles "en la nube de Internet" sin conocimientos (o, al menos sin ser expertos) en la gestión de los recursos que usan.

Según el IEEE Computer Society, "es un paradigma en el que la información se almacena de manera permanente en servidores en Internet y se enví­a a cachés temporales de cliente, lo que incluye equipos de escritorio, centros de ocio, portátiles, etc". Esto se debe a que, pese a que las capacidades de las PC mejoraron en forma sustancial, gran parte de su potencia es desaprovechada, al ser máquinas de propósito general.

¿Ejemplos de "cloud computing"? El servicio de aplicaciones Google Apps y Microsoft Azure, que proveen aplicaciones comunes de negocios en lí­nea accesibles desde un navegador Web, mientras el software y los datos se almacenan en los servidores.

Los beneficios de este paradigma son varios para los usuarios y las organizaciones: Rapidez y simplicidad. Las personas y las empresas se olvidan de las computadoras y los programas. El correo electrónico, la agenda de contactos, el procesador de textos, la planilla de cálculos, el sistema de gestión se encuentran en la Web.

Todo en la WebLa semana pasada Google lanzó su Chrome OS, un sistema operativo pensado para Internet y diseñado para terminar con la era de la PC. Todo está en la nube y el gigante de la Red ofrece herramientas y espacio.

Para esto no importa el programa que se utilice ni si está actualizado el sistema operativo. Tampoco cuenta mucho el dispositivo, porque el usuario puede acceder desde una PC, una notebook, una netbook, un celular inteligente. La única condición es que exista una conexión a Internet.

Estos servicios permiten al usuario acceder a sus documentos de texto, hojas de cálculo o agenda desde cualquier lugar con acceso a Internet, porque se almacenan en servidores externos y no en la computadora del usuario.

¿Dónde aparece el riesgo del Chernóbil informático? Por un lado, en la concentración de datos en la Red. Pau Garcí­a-Milí , cofundador de la empresa de software española eyeOs, calificó de "peligrosa" esta tendencia, en especial en el caso de Google Apps, según advirtió recientemente en una cumbre tecnológica europea.

EyeOs es un proyecto español que pretende ser la respuesta del software libre a los escritorios Web de las grandes empresas como Google o Microsoft, que utilizan la computación en la nube.

Garcí­a-Milá señaló que estas plataformas conllevan un serio riesgo de seguridad, así­ como pérdida de privacidad, cedida en unos términos de uso que nadie lee.

"Yo puedo tener datos en el servidor de un tercero con total privacidad", explicó durante una presentación ante los asistentes a la edición 2009 de la Campus Party de Valencia. "Pero con servicios de 'cloud computing', normalmente no pasa lo mismo. Facebook se queda los derechos de las fotos que subimos. Cuando alguien se dio cuenta y (...) salió en el periódico, Facebook tení­a 200 millones de usuarios, son 200 millones de personas que aceptaron las condiciones sin leérselas", recordó.

Además, añadió, agrupar los datos de millones de personas en un servidor dispara los riesgos en caso de que un pirata informático logre acceder al sistema.

El caso de TwitterEste año, un anticipo de lo que puede ocurrir si se cumple la advertencia de Garcí­a-Milá fue el caso, conocido como "Twittergate", que dejó en evidencia cómo una organización está expuesta al robo de información confidencial con sólo vulnerar una "password".

El episodio, que consistió en la sustracción de datos secretos de la red social de microblogging Twitter cometida por un intruso, puso bajo discusión las aplicaciones de oficina de Google, con las que el buscador busca confrontar con Microsoft.

El caso fue revelado por la página Web de noticias tecnológicas TechCrunch, que publicó unos documentos importantes de Twitter, entre ellos proyectos financieros, ofreciendo una visión de los planes de la ascendente red.

El documento, con fecha de febrero, estaba titulado "Previsión financiera" y describí­a cómo Twitter esperaba obtener cuatro millones de dólares en el cuarto trimestre y guardar 45 millones en el banco.

TechCrunch explicó que un hacker anónimo habí­a tenido "acceso fácil" a cientos de informaciones internas de Twitter, desde códigos secretos hasta las minutas de reuniones, y después le reenvió los datos.

Una de las conclusiones de este caso es que entrar al correo electrónico de una persona es algo sencillo para los intrusos. Y para Twitter no es algo nuevo.

Por tercera ocasión en este año esta compañí­a con sede en San Francisco fue ví­ctima de una falla de seguridad. Esta vez, el intruso obtuvo la clave del correo personal de uno de los empleados de la compañí­a, quizá tan sólo con responder una pregunta de seguridad, que le permitió conseguir documentos confidenciales de la empresa.

Uno de los fundadores de Twitter desligó a Google de la responsabilidad en el episodio. Sin embargo, las técnicas que emplean los intrusos subrayan los peligros de esta tendencia general promovida por Google y otras empresas, sobre almacenar más datos en Internet en vez de computadoras bajo el control de los usuarios.

Olvido fatalPero esta tendencia a utilizar más la Red para guardar datos significa que los errores que los empleados cometen en su vida privada también pueden afectar a sus empleadores pues una simple cuenta de correo puede unir dos mundos independientes.

Por ejemplo, como explicó Jordan Robertson, periodista de la agencia AP, si alguien obtiene la contraseña, para ingresar a la cuenta de Gmail de alguna persona no sólo tiene acceso a su correo personal sino a otras aplicaciones de Google que sirven para hacer trabajos en la oficina como hojas de cálculos y presentaciones.

En el caso mencionado de Twitter y TechCrunch, parte del material que el intruso, denominado Hacker Croll, obtuvo de las aplicaciones de Google y publicó en Internet resultó ser más vergonzante que comprometedor, como los planos para un nuevo piso en la oficina y una propuesta para un programa de televisión sobre el sitio de Internet cada vez más popular.

Twitter dijo que lo más probable es que sólo una cuenta fue violada porque una impresión de una pantalla estaba incluida entre los documentos afectados.

Pero cierta información importante sobre Twitter fue robada sólo con esa cuenta. El intruso ha dicho que cuenta con información sobre los salarios de los empleados, números de tarjetas de crédito, CV de personas interesadas en trabajar con ellos, reportes de juntas y proyecciones de crecimiento.

El autor del robo publicó en el blog francés Korben que el objetivo de su acción era únicamente llamar la atención de los cibernavegantes sobre la vulnerabilidad de sus datos en la Red.

Korben publicó el material robado y relató que Hacker Croll obtuvo acceso al correo de distintos empleados de Twitter, entre ellos los de Evan Williams, el CEO de la empresa, y su esposa.

Cambio de paradigmaFran Rosch, vicepresidente de Servicios de Autenticación de VeriSign, una empresa encargada de la administración de los dominios de Internet ".com", advirtió que "la solidez de su seguridad personal y profesional sólo equivale a la de su contraseña más vulnerable. Y, para los gerentes de TI, la seguridad de los recursos basados en la nube de una organización sólo es tan fuerte como la contraseña más vulnerable de su empleado más descuidado".

El ejecutivo señaló que la información personal puede recabarse de diversas maneras, y "la viabilidad de los nombres de usuario y las contraseñas tradicionales es socavada por los procesos de ‘olvidó su contraseña’ que emplean actualmente gran cantidad de sitios Web".

"Muchos hackers tienen éxito debido a la información que recopilan, utilizándola para vulnerar ese tipo de medidas de ‘reinicio’ y luego apoderarse de la información de inicio de sesión de las cuentas profesionales", explicó Rosch, en una nota enviada por VeriSign a iProfesional.com.

"La fortaleza de una contraseña carece de sentido si alguien puede reiniciar su contraseña. El principal mecanismo de acceso seguro a servicios Web es vergonzosamente inapropiado. De hecho, la migración de la TI a la nube puede señalar la muerte del nombre de usuario y contraseña tradicionales y conducir a la adopción de medidas más sólidas de seguridad en Internet", estimó Rosch.

DispositivosUna medida preventiva pueden ser las soluciones de contraseña de uso único, como el caso de los "tokens plásticos, memorias USB, dispositivos habilitados para SMS o software que funcione en dispositivos móviles".

Soluciones como éstas han estado disponibles por años para aplicaciones corporativas, pero los costos inherentes a la distribución de estas soluciones entre un gran número de usuarios han sido prohibitivos.

Pero, según indica Rosch, al entregar una autenticación con dos factores a través de un servicio gestionado, "la costosa inversión en infraestructura propia de los modelos no representa una barrera tan intimidante. Un servicio de ese tipo puede reducir drásticamente los costos de propiedad, tanto fijos como operativos. Además, un dispositivo móvil puede simplificar en gran medida la implementación".

"Irónicamente, o tal vez no tanto, la autenticación Authentication-as-a-Service (AaaS) (autenticación fuerte que se entrega a través de la nube) puede ser una gran solución para el desafí­o más obvio en materia de seguridad que enfrenta el paradigma de la nube", afirmó el ejecutivo de VeriSign.

Desde ya, se puede influir sobre las conductas temerarias de los seres humanos, pero no controlarlas definitivamente, como lo demuestra la historia de Chernóbil. Por otra parte, la vida digital de la gente se desarrolla a través de cuentas en lí­nea personales y privadas. "Pero la autenticación con dos factores –señaló Rosch-- puede implementarse en cuentas profesionales y personales (desde una cuenta de correo electrónico libre hasta una cuenta de planeamiento de los recursos empresariales –ERP-- basada en la nube) para garantizar que las vulnerabilidades de las contraseñas sean una cosa del pasado y que los servicios basados en la nube sean seguros en el futuro". César Dergarabedian(©) iProfesional.com