Javier Hijas, Cloud Security Team Manager – Europe

Todas las previsiones indican que las empresas continuarán moviendo sus datos a la nube progresivamente durante los próximos años. El uso de entornos Cloud es una de las mejores herramientas digitales para acercarse lo máximo posible a los estándares de eficiencia. Aunque los entornos cloud son cada vez más comunes, siguen siendo una tecnología relativamente nueva y en constante evolución, motivo que dificulta su implementación.

Las empresas españolas siempre han sido reticentes a la adopción temprana de nuevas tecnologías informáticas. Ya sea por falta de confianza en el uso correcto por parte de los empleados o por miedo a caer en fallos de seguridad, en nuestro país solo un 27% de las empresas cuentan con cloud hibrida actualmente, situándonos por debajo de la media europea. Con un 2019 plagado de incertidumbres económicas, la adopción de tecnologías Cloud permitirá al tejido empresarial español enfocar energías en su negocio principal y no en las infraestructuras IT que los soportan.

Incluso desde las instituciones europeas quieren promover el uso de la nube, para ello han unificado la normativa común para todo el continente en el Reglamento General de Protección de Datos (RGPD). Así facilitan a las empresas proveedoras de servicios cloud la posibilidad de ofrecer un producto que pueden contratar organizaciones de cualquiera de los 28 países miembros de la UE sin miedo a incumplir la ley. Con estas medidas ya han conseguido que el 70% de las empresas adopten soluciones cloud hibridas en Europa.

Una tecnología con un futuro prometedor

Los primeros teóricos empezaron ver posible la computación en la nube en los años 60, pero no será hasta mediados de la década de los 2000 cuando surjan los primeros productos cloud para empresas de la mano de Google Cloud Services, Amazon Web Services, Microsoft Azure o Alibaba Cloud. Se trata de una tecnología que cuenta solamente con un par de décadas de desarrollo y aún resulta difícil vislumbrar las capacidades que tendrá en el futuro. Lo que si podemos saber es que es especialmente prometedor, sobre todo cuando se apliquen y optimice la inteligencia artificial en entornos cloud.

La contrapartida de ser una tecnología tan joven son las vulnerabilidades a pulir para crear nubes 100% seguras. Estas pueden proporcionar a los ciberdelincuentes backdoors mediante las que acceder a las redes corporativas y distribuir malware. Además, se tiene un concepto erróneo sobre los niveles de seguridad necesarios para mantener la nube protegida, muchas organizaciones ni siquiera llegan a designar un responsable de protección que se encargue de monitorizar y actualizar los sistemas de seguridad de la misma.

Durante el último año, más del 50% de los problemas de seguridad gestionados por el equipo de respuesta a incidentes de Check Point estaban relacionados con la nube. Las filtraciones de datos siguen siendo una de las principales preocupaciones de las organizaciones que utilizan la nube, especialmente debido al uso de los servicios de envío de archivos. Por otra parte, la creciente adopción del correo electrónico basado en SaaS como Office 365 y Google G Suite, así como el modelo IaaS, convierten a la nube en un objetivo muy atractivo para los ciberdelincuentes, y que seguirá siéndolo durante los próximos años.

¿Cómo entran los ciberdelincuentes a la nube?

Los tres vectores de ataque más populares que hacen vulnerables a las organizaciones y a los que suelen recurrir los cibercriminales para adentrase en la nube son:

• Los “Account Hijacks”: sucede cuando un ciberdelincuente con acceso no autorizado al correo electrónico o a la cuenta de ordenador de un individuo u organización lo usa con propósitos maliciosos. Según una encuesta de Check Point, los secuestradores de cuentas fueron la mayor preocupación entre clientes y socios de grandes empresas.
• La propagación de malware: se suele dar especialmente a través de servicios para compartir archivos, como las aplicaciones cloud Box o One Drive, cuando un cibercriminal accede a ellas puede cometer una gran variedad de delitos.
• Las fugas de datos: se producen más fácilmente de lo que puede parecer, ya sea intencionada o involuntariamente, siempre puede escapar información cuando se utilizan estos servicios fruto de un error humano o de software. De hecho, el pasado día 22 de noviembre, Amazon declaró haber sufrido una fuga de datos debido a un error técnico.

La seguridad cloud se vuelve imprescindible

Desde la entrada en vigor del nuevo RGPD que aumenta las exigencias para las empresas e instituciones que manejen datos de consumidores europeos, la legislación sobre políticas de ciberseguridad no solo se ha unificado, también se ha endurecido. Ahora, el nuevo reglamento obliga a comunicar las violaciones de seguridad en un plazo de 72 horas. De esta manera, se busca ayudar a coordinar la respuesta ante este tipo de eventos por parte de las autoridades y concienciar a las organizaciones de la importancia de implementar medidas de seguridad eficaces.

Además, se han impuesto altas sanciones en caso de no cumplir los requisitos en seguridad y privacidad, un estímulo para que las empresas adopten las medidas adecuadas. En caso de tener que enfrentarse a un ciberataque que provocase una fuga de datos podrían llegar a enfrentarse a una gran sanción, por no salvaguardar adecuadamente la información confidencial de los usuarios y por no tener las correctas medidas de seguridad informática implementadas, en caso de que el ataque pudiera haberse evitado con los recursos actuales.