Leía hace años un artículo que titulaba: «La nube se convertirá en el mayor ciberriesgo del futuro». Data de julio 2019, en él se narraban posibles causas que podrían provocar problemas en el futuro. Leyendo la prensa esta semana (12 de marzo de 2021) igual ese futuro ya llegó, porque la semana viene movidita respecto a nubes, seguridad, hackeos y privacidad de los datos de los usuarios.

· Exchange sistema de correo para Empresas de Microsoft comprometido por varias herramientas disponibles para los hackers y amantes de la información ajena.
· Un centro de datos de OVH que ardió en Estrasburgo.
· Una multa a Vodafone por usar los datos de sus clientes.
· Hackeo, infección o nockeo técnico del servicio del SEPE.

OVH Data Center

Todas estas noticias nos hacen ver que la predicción de ese artículo de 2019 llegó antes de lo previsto. Quizás el problema ya está aquí y no lo vemos o no lo queremos ver.

La dependencia que tenemos de la nube: móviles, videojuegos, administración pública, videoconferencias, acceso a internet, es exagerada. Desde los proveedores (Vodafone), como de los servicios que usamos (Exchange Correo / OVH), como los servicios que nos ofrecen nuestros gobiernos (SEPE). Estamos atados a un proveedor de internet y a unos servicios que aunque queramos, no podemos evitar su uso. Forman parte ya del funcionar colectivo.

Y paso a enumerar mi opinión sobre la situación y las noticias en sí. Un gran servicio para empresas, el más vital de Microsoft (el sistema de correo) Exchange, está en mala racha, entre la competencia titánica que hay y que los hackers han encontrado la forma de entrar sin grandes miramientos en los sistemas que lo mueven, hace que algo que se presupone de un sistema de correo para empresas, Seguridad y Privacidad, no estén ni se les espere durante estos días. Hay empresas grandes e importantes que han puesto medidas pero, ¿qué pasa con las pequeñas y medianas empresas familiares que no saben ni tienen la más minima noticia de la vulnerabilidad en la que se encuentra la información de sus negocios?

Respecto a OVH, un centro de datos enorme, uno de los más grandes de Europa, pensando en un centro de datos como un sitio donde se almacena información, conocimiento, ideas, negocios. Podríamos decir que es como la librería del Vaticano, o la gran biblioteca de Alejandría si es que existió. Es algo que si hacemos caso al marketing cuando alquilamos un huequito de sus servicios nos venden como un Fort Knox infranqueable, inquebrantable, ignífugo y con electricidad perpetua, y no parece ser así. Si se ha incendiado uno es que se puede incendiar. Algo no salió bien. La seguridad que se le presupone, la física en este caso, no parece que funcionara. Este hecho me provoca dudas. Si la vida que llevamos se basa en tecnología de la nube y un gran centro de datos como éste puede caer, igual nuestros datos no están tan seguros ahí arriba. Una caída de un centro de datos deja a todos los usuarios de los servicios / información ahí alojada huérfanos. Deja a las tiendas que usaban ese servicio sin posibilidad de vender, a los servicios gaming sin poder jugar, etc. Tiene mucho mucho valor económico (y hablamos solo de estar desconectado, no de que se filtren esos datos o se roben)

Respecto al tema de Vodafone, me parece de avaricia supina que un proveedor de internet, al cual se le paga por ello, use los datos de los clientes para hacer comercio con ellos ya sea publicidad propia o de entidades afines al grupo empresarial. Es demoledor tener un contrato con alguien para que te dé acceso a la red de redes o usar tu móvil y éste use esa información de tus pagos para lucrarse más. Entiendo la multa pero, ¿y los usuarios? ¿Quién compensa a los usuarios la distribución por medios varios de esa información? ¿Cuánto ganó Vodafone por ese negocio paralelo? ¿Cuánto va a pagar a sus usuarios por ello?

El tema del «hackeo» al SEPE es curioso, porque el hecho de que pase algo así, que un criptolocker entre en una empresa privada por fallo de un usuario es normal, creíble, plausible. Que ocurra en una entidad pública también, pero lo ocurrido ha hecho salir de las profundidades del mar como iceberg que tiene más oculto de lo que parece, los trapos sucios de los entes públicos respecto a seguridad y contención de problemas. Me refiero al hecho que no hubiera una copia actualizada, que se usara un servicio para averiguar qué datos habían, como el de archive.org (menos mal que existe ehh gente del SEPE), pero lo preocupante es el devenir de los acontecimientos. Para los que nos movemos y leemos este tipo de «hackeos», infecciones masivas de una entidad para encriptar los datos útiles y cobrary extorsionar por ello, después sabemos que en este caso el SEPE no ha recibido extorsión, y abre la puerta a valorar otras opciones mucho más preocupantes. Si no ha sido un delincuente con un código acertado en el momento acertado, ha sido alguna entidad más grande con un motivo más grande. Quiero decir, si no es un malhechor normal, debemos haber tocado la fibra a alguien como españolitos para que nos la toquen a nosotros y parece que les ha resultado fácil.

SEPE

Existe en informática un concepto que en la vida real se presupone pero que creo que ha quedado en un mero espejismo fruto de la mercadotecnia global, el concepto es watchdog. Es un servicio que se encarga de vigilar que todo esté bajo control, bajo supervisión y sin que se salga de madre. ¿Quién vigila que un centro de datos soporte un incendio? ¿Quién vigila que el SEPE tenga un mecanismo seguro de mitigación de ataques, copias de seguridad y medios adecuados para lo que tiene que hacer a los ciudadanos? ¿Quién vigila a Vodafone que solo nos cobre en dinero y no demasiado en forma de nuestros datos vitales?

Creo que no existe en la realidad un organismo que vele por esas cosas, que exija que la seguridad que se presupone se cumpla, y esto permite que las cosas malas en el mundo digital pasen y cada vez con más frecuencia. El organismo real único e inequívoco para esto tendria que ser el usuario, debería ser conocedor de que OVH puede incendiarse, que sus datos cedidos al gobierno en forma de web del SEPE para pedir ayudas estarán ausentes una temporada porque pueden ser hackeados y dificilmente restaurados de una copia o que Vodafone cobra dos veces por el mismo hecho, uno en dinero y otro en datos. El usuario en gran medida es el que puede plantearse todos estos temas y decidir en consecuencia. Creo que el artículo inicial de que la nube sería un problema está aquí, es tangible pero, ¿haremos algo o seguiremos mirando cómo arde, venden y comercian? Nos convencen las corporaciones que la seguridad está y se la espera, pero los hechos no parecen refrutar eso, más bien lo contrario, que no son dignas de ser confiables en sus exposiciones sobre seguridad y privacidad, si pueden, venden tus datos al mejor postor o no gastan lo mínimo necesario para que todo esté como se presupone, lo más seguro posible.

Creo que se cruzó una línea y nadie dijo nada. Se siguen cruzando y nadie dice nada. Parece que en el mundo digital todo vale y creo que eso no debe ser así.

Comentarios

  1. Leyendo el artículo, me quedo profundamente acongojado. Hace ya muchos años que me siento vulnerable cuando dejo algún archivo en la nube, por eso y, también, desde hace algunos años, solo subo a las redes sociales y a la Red en general, todo aquello que no me importa que se sepa. No obstante es preocupante lo que se denuncia en este artículo y sobre todo ese repetido «y nadie dijo nada, nadie dice nada» al que yo añadiría «¿se espera que alguien diga algo’?»
    Buen y preocupante, contenido.

Responder a Enrique Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *