Analisis y comparativas de almacenamiento en la nube

Fallos de seguridad en iCloud. ¿Estamos seguros en la nube?

Los últimos días la noticia del pirateo de contenidos privados a personajes famosos ha sacudido la red con tremenda viralidad, señalando como culpable al servicio de almacenamiento en la nube iCloud, de Apple. Actrices como Jennifer Lawrence, Kate Upton o Kirsten Dunst se suman a una lista que alcanza el centenar de famosas que han sido víctimas del robo de fotografías y videos.

La intrahistoria del caso está aún pendiente de dilucidar por parte del FBI, pero lo que está claro es que al afectar a decenas de personas demuestra que no es un caso aislado, y que iCloud tiene o ha tenido algún tipo de vulnerabilidad.

La Seguridad en iCloud.

Las prioridades fundamentales de cualquier usuario que guarda sus ficheros en la nube son pocas e importantes: seguridad, privacidad y acceso. Los proveedores de servicios de almacenamiento en la nube se toman la seguridad muy en serio e invierten grandes cantidades en hacer más sólidos sus sistemas.

En el caso de iCloud, si bien no es la empresa puntera en cuanto a seguridad se refiere, sí que es cierto que ofrece unos estándares de seguridad más que correctos en este tipo de productos.

Estas son algunas de sus características obtenidas en Apple.com.

Caracteristicas de seguridad de iCloud

iCloud proporciona encriptación en la transferencia de archivos así como en su almacenamiento. Es decir, desde el momento que la información abandona nuestro dispositivo, bien sea un smartphone, tablet u ordeCombinacionesnador de sobremesa, los datos ya van cifrados con claves de, como mínimo, 128 bits. Esto significa que aunque alguna persona tuviera acceso a tus ficheros no les servirían de nada puesto que no tendrían la clave que consigue descifrar la información.

Tal vez 128 bits se te haga poco, pero ten en cuenta que conforme el número de bits crece, el número de combinaciones que se pueden establecer aumentan exponencialmente.

El número de combinaciones de una clave de 128 bits es de 3,4×1038 , que constituye una cifra asombrosa: 340000000000000000000000000000000000000 combinaciones. El tiempo que tardarían los ordenadores más potentes del mundo en descifrar una clave de 128 bits mediante ataque de fuerza bruta sería asombroso: miles de billones de años con la tecnología actual. Tiempo en descifrar claves de 128bits

Esto significa que aunque alguna persona tuviera acceso a tus ficheros no les servirían de nada puesto que no tendrían la clave que consigue descifrar la información.

Además iCloud utiliza tokens de seguridad para evitar que nuestra clave quede almacenada en dispositivos, así como la reciente verificación en dos pasos o Doble Verificación, que sigue la tendencia de muchas aplicaciones bancarias y bursátiles estableciendo claves individuales según el dispositivo y la operación solicitada. Es decir, una vez introducimos nuestra clave recibimos en nuestro teléfono móvil una segunda clave temporal que hace que el servicio esté realmente operativo.Doble verificación icloud

 

Por lo tanto, en teoría, iCloud no debería tener fisuras en su sistema de seguridad.

 

Vulnerabilidades de iCloud.

Es cierto que en el escándalo del hacking a Apple iCloud todavía están por demostrarse muchos factores. Lo que sí que está claro es que durante la transferencia y almacenamiento de archivos no hay lagunas de seguridad.

Aunque la investigación está en proceso, se apuntan a fases del servicio en los que los datos están más “al descubierto”, como a la hora de compartir algún archivo o carpeta con terceros, opción que se puede llevar a cabo en iCloud así como en el resto de proveedores de backup en la nube.

Vulnerabilidades en iCloud

También se especula con un ataque de fuerza bruta a la herramienta iCloud más reciente y por lo tanto menos madura o testada: “Find my iPhone” (Encuentra mi iPhone), herramienta mediante la cual podemos localizar nuestro iPhone, bloquearlo y eliminar la información contenida en el terminal.

Una cuestión adicional que se le echa en cara al servicio de backup de Apple es que no trae configuradas por defecto las opciones de máxima seguridad en su aplicación, debiendo ser activadas manualmente, como es el caso de la Validación Doble o en Dos Pasos.

 

Contraseñas seguras vs Contraseñas fáciles de recordar

De nada sirve construirte el bunker más seguro, con paredes de dos metros de hormigón y a 10 metros bajo tierra si luego te dejas la llave puesta en la cerradura.

Este ejemplo simboliza la hipótesis más probable en el escándalo del hacking a iCloud: el fallo está en el lado del usuario. Solemos pasar por alto algunas prácticas recomendables que nos evitarán quebraderos de cabeza en el futuro:

 

Contraseñas fuertes.

Por muy encriptado que esté, dime qué contraseña de estas dos crees que es más fácil de reventar en un ataque de diccionario o de fuerza bruta: ¿”Jennifer25″ o “x92JK#1*[email protected]”?.  La respuesta es evidente. Aunque la encriptación sea muy sofisticada se sigue basando en una clave que proporcionamos; si esta clave es poco robusta se presta a ser pirateada o incluso adivinada.

No utilizar la misma contraseña para múltiples aplicaciones.

Supongo que esto sonará a mucha gente: código PIN del teléfono móvil, código de la tarjeta de crédito, contraseña de la universidad, contraseña de gmail, contraseña de hotmail, contraseña de PayPal, contraseña del servicio de empleo, número de la seguridad social, contraseña para firma electrónica, contraseña para el servicio de almacenamiento en la nube, loguearte en tus foros favoritos, en páginas webs, contraseña de facebook, contraseña de twitter… etc etc.

A esto se enfrenta cada día cualquier usuario normal de internet y resulta muy tentador utilizar una o dos contraseñas para todos los servicios. Sin embargo es una práctica muy poco recomendable. No todos esos sitios ofrecen la misma seguridad y es arriesgarse demasiado. Además en el momento que percibas alguna anomalía o agujero de seguridad no sabrás de dónde procede el problema.

Sentido común.

Aquí entra todo lo que resulta recomendable por lógica.

  • No apuntes tu contraseña en un Push-it y la pegues en el lateral del monitor.
  • No comuniques tus claves a nadie.
  • Mantén tu ordenador con el software actualizado, limpio de virus y malware.
  • Cuando vayas a hacer alguna gestión importante cerciórate de que el protocolo en tu navegador muestra HTTPS (encriptado).

 

 ¿Debo fiarme de los sistemas de almacenamiento en la nube?

imagen de persona enfrentada a la nube La respuesta creo que es clara:, pero siempre teniendo cuidado y sabiendo que la cadena de seguridad empieza en nosotros mismos.

Una de las cosas más importantes es saber para qué utilizaremos el espacio en la nube y elegir el proveedor que mejor se adapte a lo que queremos. Si solamente queremos conservar algunas fotos, videos o algunas carpetas de música, proveedores como iCloud de Apple, OneDrive, GoogleDrive… podrán darnos un rendimiento suficiente.

Si aparte de fotografías, música o videos queremos conservar documentos sensibles como expedientes, informes médicos, documentos bancarios, etc… es mejor optar por un servicio premium con empresas especializadas en el almacenamiento en la nube y las copias de seguridad. A veces los pesos pesados como Apple o Google quieren abarcar tanto que terminan compitiendo en muchos sectores, pero a veces a costa de aprender de sus propios errores, y en este caso los errores pueden ser lagunas o brechas de seguridad determinadas.

Personalmente prefiero almacenar la información sensible en la nube, lo considero más seguro que hacerlo en un disco duro, pendrive o DVD, pero para ello es esencial saber qué proveedor elegir. Es fácil aventurarse a toro pasado, pero apostaría a que la posible brecha de seguridad en iCloud no hubiera pasado en compañías como  SOS-Backup o iDrive.

Aprovecha y echa un vistazo a la comparativa global de servicios de almacenamiento en nube.