Ya conocéis a Vicente Perez, nuestro responsable de canal, hoy es su turno para comentar una de las últimas brechas de seguridad. Podéis seguirle en twitter aqui, y nuestra cuenta de Sophos Iberia aqui.

 

Por desgracia una vez más salta a la primera página de los periódicos un caso de fuga de información. Esta vez le tocó el turno a Dropbox, una de las compañías más usadas, tanto a nivel personal como profesional, para compartir información.

Sin entrar en los detalles… el origen es interno, consiguen las credenciales de un trabajador de la compañía y con esas credenciales llegan a un fichero que contiene un listado de cuentas de usuarios con información diversa. Lo primero que uno se pregunta es cómo esa información puede estar en un fichero y cómo ese fichero puede estar sin cifrar.

En este caso el ataque no fue silencioso, los usuarios comenzaron a recibir spam lo que les hizo sospechar, pero podrían haber sido peor y permanecer en silencio recopilando cantidades ingentes de información y vendiendo o publicando esta información.

Una vez más surge la duda, todos somos conscientes de las ventajas del cloud pero yo me pregunto, ¿no estaremos facilitando la tarea a los “malos”? Si antes quería acceder a la información de un usuario/empresa, tenía que colarme en su sistema de un modo u otro. Si consigo entrar en uno de estos servicios en la nube tengo acceso a miles, millones de usuarios/empresas.

Esta duda razonable hace que muchas empresas descarten directamente utilizar este tipo de tecnología, reconocen sus aspectos positivos pero descartan almacenar información corporativa en servidores que no son suyos. Lo que no deja de sorprenderme es que muchas de estas empresas utilizan sin ningún reparo tecnología cloud para sus servidores de correos o filtros anti-spam. Sólo se me ocurren tres motivos:

Consideramos menos importante la información que viaja por correo que la que almacenamos en nuestros servidores. La primera pregunta es ¿conocemos la información que envían todos nuestros usuarios?

Los responsables de seguridad no tienen mucho peso en lo relativo a correo. Pesa más la descarga de trabajo y la garantía de servicio que supone sacar los servidores fuera que la seguridad del servicio.

Confiamos más en los proveedores que ofrecen servicios de correo cloud que en los que ofrecen almacenamiento. Este último punto es discutible puesto que alguno ofrece ambas.

Personalmente creo que la problemática existe, no creo que el nivel de seguridad deba ser menor por utilizar tecnología cloud. Utilicemos el cloud, con sus ventajas, pero de forma segura.

Para manteneros al día de las últimas amenazas haceros fans de nuestra página de Facebook, un lugar para intercambiar experiencias en torno al mundo de la seguridad.