Guía Seguridad del CNI para Utilización Servicios Cloud (01) - REQUISITOS DE SEGURIDAD

Guía Seguridad del CNI para Utilización Servicios Cloud (01) - REQUISITOS DE SEGURIDAD

Hace casi un año el Centro Criptológico Nacional editó una guía de seguridad con normas, instrucciones y recomendaciones sobre seguridad en la utilización de servicios Cloud.

El Centro Criptológico Nacional (https://www.ccn-cert.cni.es/) es un centro perteneciente al Centro Nacional de Inteligencia, y es el responsable de garantizar la seguridad en las Tecnologías de la Información y la Comunicación además de asegurar la protección de la información tanto para las administraciones públicas como para organizaciones privadas consideradas de interés estratégico.

Entre las principales misiones de este centro se encuentra la elaboración de guías orientadas a la aplicación de políticas y procedimientos de seguridad, así como recomendaciones sobre el empleo de tecnologías con suficiente seguridad a fin de mejorar el grado de ciberseguridad de las organizaciones y de la administración. Dentro de la serie de guías CCN-STIC, existe una guía (CCN-STIC-823) dedicada a la seguridad en la “Utilización de servicios en la nube”.

Dada la extensión y el interés de esta guía, desde Spain Cloud Computing vamos a dedicar un serial de artículos según la temática que recoge la propia guía. Este artículo corresponde al primero de la mencionada serie y está dedicado a los Requisitos de Seguridad que deben cumplir los servicios Cloud. 

¿Qué son los Requisitos de Seguridad?

Los Requisitos de Seguridad son los requerimientos que deben exigir las organizaciones que hacen uso de servicios Cloud a los Proveedores de Servicios Cloud en materia de seguridad para estar alineados con el ENS (Esquema Nacional de Seguridad) y la LOPD. En este sentido ambas partes, usuarios y proveedores de servicios, son responsables de cumplir los requisitos de seguridad aunque el grado de responsabilidad de cada parte vendrá definido según las características de los servicios y el tipo de cloud que se implante.

De esta manera en función del entorno de despliegue (puedes consultar más información haciendo click AQUÍ) el hecho de que sea una Nube Pública, Privada o Híbrida, condiciona el modo de afrontar las obligaciones sobre los Requisitos de Seguridad.

• En el caso de que la organización sea propietaria y administradora del sistema Cloud (Nube Privada), la adecuación y cumplimiento de la normativa vigente recae directamente sobre la organización.
• En caso contrario, si el sistema Cloud está operado o provisto por un tercero (Nube Pública) este deberá cumplir con toda la normativa relativa a los Proveedores de Servicios en Internet.
• En caso de Nubes Híbridas pero también en las Públicas, las organizaciones y los proveedores deben alinearse y trabajar conjuntamente para asegurar que entre ambos se cumplen los Requisitos de Seguridad.

No obstante la guía subraya que la responsabilidad sobre la información recaé en todo caso sobre el organismo propietario de la información, y que en ningún caso la existencia de acuerdos entre las partes, seguros u otras medidas, eximen al propietario de su responsabilidad.

Roles y Funciones.

La guía identifica una serie de roles que deben definir las organizaciones y los proveedores de servicios y sus funciones asociadas, para asegurar que cumplen con sus requisitos de segurida.

El siguiente esquema identifica estos roles así como las relaciones entre roles de la organización y del Proveedor de Servicios:

• Responsable de la Información: Se trata de un rol que deben definir las organizaciones. Su prioridad es garantizar que se cumplen los deberes y obligaciones de custodia de la información, además de la persecución de incumplimientos legales, normativos y contractuales, especialmente cuando se han contratado recursos externos con diferentes ubicaciones geográficas.
• Responsable del Servicio: Establecen los requisitos de seguridad según legislación y normativa y son los máximos responsables del servicio.
• Responsable de Seguridad: Este rol debe existir tanto en la organización como en el proveedor de servicios y además deben trabajar conjuntamente ambos. Deben garantizar la Disponibilidad, Integridad, Confidencialidad, Autenticidad y Trazabilidad de los servicios. Ambas partes no tienen por qué garantizar todas estas condiciones sino que dependiendo del tipo de Cloud pueden estar repartidas y recaer sobre uno u otro.
• Responsable del Sistema: Son respnsables de que sus servicios operen correctamente y de la contratación de productos y servicios a terceros.

La guía da el siguiente ejemplo que ayuda a entender mejor la definición del Responsable de Seguridad:
"Un escenario habitual es el de servicios de almacenamiento en la nube, sin tratamiento de datos en la nube. En este caso es recomendable que todos los datos se cifren antes de salir del organismo, de forma que los requisitos de seguridad sobre los proveedores se reducen a la dimensión de disponibilidad. El organismo será el único en poder de las claves de cifra, a las que aplicará lo previsto en el Anexo II del ENS".

Recomendaciones.

Esta guía de seguridad incluye una serie de recomendaciones para mejorar la seguridad en la Utilización de Servicios Cloud. Siendo las más reseñables las siguientes:

• Las claves empleadas para cifrado jamás deberán alojarse en el sistema Cloud, ni deberán emplearse en aplicaciones ejecutadas en el Cloud.
• La gestión de usuarios (CRUD) así como la asignación de sus permisos no debe hacerse desde un entorno Cloud.
• Los registros sobre la actividad de los usuarios no deberán cederse al Proveedor de Servicios.
• La firma electrónica o servicios similares, deben ser provistos por terceros especializados y de confianza y en base a la legislación vigente.

Restricciones.

El Proveedor de Servicios puede asumir alguna de las cuestiones anteriores siempre y cuando justifique que protegen igual o mejor los activos del cliente. Además el proveedor debe realizar un análisis sobre los riesgos. Otras restricciones incluidas en esta guía, atañen a la virtualización en el entorno Cloud, destacando las siguientes consideraciones:

• Los elementos virtualizados se comportan igual que los no virtualizados en lo que a reglas de seguridad y regulación se refiere.
• Las imágenes virtuales se tratan como datos con las mismas restricciones de seguridad que la información.
• Deben garantizar las conexiones mediante el cumplimiento de la norma CCN-STIC-811 (enlace).

Comunidades.

Por último la guía identifica diferentes grupos de usuarios en función de sus Requisitos de Seguridad, estos grupos se denominan "Comunidades" y se clasifican en tres tipos diferentes, Comunidad Baja, Media y Alta. Y algunos de los puntos que deben cumplir estas comunidades son los siguientes:

Comunidad Baja:

• Se registran la creación, traslado, activación y destrucción de elementos virtuales. Así mismo se registrará el montaje y la retirada de soportes de información, físicos o virtuales.
• Los requisitos de identificación y autenticación del administrador del hipervisor (monitorización de máquina virtual) corresponderán a los de un sistema de categoría MEDIA según el ENS.
• La red dedicada a usuarios es una red físicamente diferenciada de otras redes que pueda tener el proveedor.
• Si el usuario contrata una interconexión al proveedor, por ejemplo a Internet, el proveedor tendrá una máquina separada que preste los servicios de frontera.

Comunidad Media:

• Además de los requisitos para Comunidad BAJA.
• No se compartirán equipos con otras comunidades.
• No se compartirá el mismo hipervisor con otras comunidades.
• La administración del hipervisor estará separada de la administración de los elementos virtualizados: diferentes interfaces, diferentes cuentas de administrador, y diferentes administradores.

Comunidad Alta:

• Además de los requisitos para Comunidad MEDIA.
• La red administrativa estará separada lógica (red privada virtual) o físicamente (red específica) de la red administrativa de otras comunidades.

Conclusiones.

La Guía de Seguridad CCN-STIC-823 elaborada por el CNI, regula las normas que deben cumplir la administración y algunas organizaciones privadas a la hora de utilizar servicios Cloud.

Esta guía define diferentes roles y las funciones que deberán desempeñar, además define  distintos tipos de grupos (Comunidades) en función de sus requisitos de seguridad y unas obligaciones que han de cumplirse en función del grupo al que pertenezcan.

Además proveé unas recomendaciones sobre seguridad y unas restricciones sobre estas que deberán cumplirse.

Spain Cloud Computing:

http://spaincloudcomputing.blogspot.com.es/

Puedes descargar íntegramente la Guía CCN-STIC-823 desde el siguiente enlace:

https://www.ccn-cert.cni.es/

Read More

EMBAJADAS DE DATOS, EL CLOUD COMO GARANTÍA DE LA SOBERANÍA DE LOS ESTADOS

Spain Cloud Computing

http://spaincloudcomputing.blogspot.com

Introducción:

Las Embajadas de Datos es un término que ha surgido recientemente, se refiere a la idea de almacenar toda la información sensible de un país en un sistema de Nube Privada distribuido entre las diferentes embajadas que este país tiene repartidas entre sus países amigos.

El objetivo de estas Embajadas de Datos es garantizar que ante una invasión militar sobre su territorio el control del país seguirá en manos de su legítimo propietario, valiéndose para ello de los sistemas Cloud que permitirán mantener la gestión de ese país ocupado desde las embajadas que este tenga en el exterior, de manera que aumenta el nivel de defensa ya que no basta con una invasión militar.

Tras conflictos desatados recientemente como el que se lleva a cabo entre Rusia y Ucrania, han aparecido en diversos medios informaciones sobre un proyecto sobre el que está trabajando el Gobierno de Estonia, centrado en Embajadas de Datos que les permitan mantener el gobierno del país ante una hipotética invasión rusa.

¿Por qué Estonia?:

Estonia es un pequeño país de 1.300.000 habitantes y en el que su frontera con Rusia supone en torno al 50% de su frontera terrestre total. Es un país en el que la tasa de penetración de las Tecnologías de la Información y la Comunicación es una de las más altas, de hecho las TIC representan en torno al 9% del PIB de este país... y subiendo. Los siguientes datos demuestran el volumen que llega a alcanzar: 99'8% de las transacciones económicas son electrónicas, 95% de la medicación se prescribe de manera electrónica o ese mismo porcentaje de ciudadanos hacen la declaración de la renta de manera online. Estos datos se han conseguido debido a que a partir de 1991 momento en que lograron la independencia de la URSS, el país estableció como prioritaria la apuesta por el mundo tecnológico.

Dada la importancia del sector TIC dentro del funcionamiento del país, han debido afrontar retos muy exigentes relativos a la seguridad de sus sistemas informáticos. Además el hecho de haber favorecido la administración electrónica permite la gestión remota de este país. Es en este punto donde adquiere valor las Embajadas de Datos. Teniendo en cuenta que el país delimita directamente con Rusia y que dado su pequeño tamaño tanto en extensión como en población no les permitiría plantar cara militarmente a una invasión rusa, el gobierno del país ha encontrado en las Embajadas de Datos y el Cloud la oportunidad de aumentar su capacidad de defensa. Partiendo de todos los servicios que ya ha implementado el gobierno, la idea es almacenar toda la información relevante que va generando el país en centros de datos distribuidos entre las embajadas de sus países aliados, de manera que podrían mantener la soberanía del país remotamente a través del Cloud desde sus embajadas.

Cómo hacerlo:

El siguiente vídeo ofrece una idea general de lo que busca el Gobierno de Estonia mediante las Embajadas de Datos a través de los sistemas Cloud.

Vídeo:

Tal y como se desprende del vídeo, a partir de una Nube Privada gestionada por el gobierno y que alberga los datos administrativos del país, generarán redundancia sobre los datos en otros centros de datos distribuidos entre sus diferentes embajadas.

La primera decisión que deberá tomar el Gobierno de Estonia para conseguir este objetivo, será clasificar los datos de los que dispone entre los más críticos y los de menor sensibilidad. Entre los primeros entrarían los relativos al registro de sus ciudadanos, seguridad social, pensiones, impuestos, voto electrónico, DNI y firma electrónica, registros de empresas u otros datos. Para el almacenamiento de estos datos de especial sensibilidad se crearían una serie de Nubes Privadas de gestión e infraestructura propiedad integra del estado estonio, interconectados todos ellos directamente con el Cloud de Estonia, pero también conectados con otras de sus Embajadas de Datos. Para los datos que no son sensibles el gobierno planea almacenar los datos en Nubes Públicas cediendo así la gestión de sus datos a empresas privadas y ponen de ejemplo al proveedor Amazon. De manera que al final tendrían un entorno de Nube Híbrida en el que cada nodo del sistema conecta directamente con Estonia, pudiendo tomar el control cualquiera de ellos ante una eventual contingencia.

Crítica:

Para conseguir el objetivo de las Embajadas de Datos, deberán enfrentarse a una serie de retos algunos de los cuales son los siguientes:

• Para los datos más sensibles deberán implementar una infraestructura propia que de soporte a cada uno de los centros de datos que deseen montar para cada embajada, lo cual a su vez supone una potente inversión económica pero además deberán garantizar que los datos lleguen íntegros y seguros hasta estos centros de datos.
• Los centros de datos situados en sus embajadas deberán garantizar la seguridad de la información, pero cómo van a hacerlo con las comunicaciones, el movimiento de ficheros y las redes entre diferentes embajadas bajo un estándar de seguridad.
• Para el caso de los datos menos sensibles, deberán escoger proveedores que les garanticen un buen funcionamiento del servicio y además que les aseguren la confidencialidad y seguridad de la información, no olvidemos que este caso implica la cesión a un tercero de la gestión de sus datos, y que actualmente los proveedores suelen obligar a aceptar clausulas como poder acceder a los datos para “labores de mantenimiento”, con lo que en este caso habría que negociar nuevos términos y condiciones de uso así como nuevos acuerdos de nivel de servicio (SLA).
• Por otro lado deberá escoger entre sus embajadas en el exterior dónde situará sus centros de datos, aunque las embajadas son territorio bajo soberanía de Estonia, para sus sistemas necesitará de servicios auxiliares propios del país que los aloja, esto supone que deberán tener en cuenta los costes energéticos, laborales o de otra índole de estos países, además de otros más difíciles de superar como la legislación allí vigente.
• Relacionado con el punto anterior entran cuestiones de tipo político, se habla de trabajar con países aliados, pero casos como el de la NSA americana que espiaba a países aliados como Alemania, quién le garantiza a los estonios que no van a sufrir ataques desde sus países aliados. No olvidemos además que un país que hoy es aliado podría cambiar su estatus bien por un cambio político o por un nuevo cambio en sus intereses.
• ¿Realmente conseguiría este proyecto su objetivo de mantener la soberanía y gestión de Estonia frente a una hipotética invasión rusa, o solo salvaría información sensible? 

Conclusiones:

La idea de las Embajadas de Datos se plantean como una buena oportunidad para aumentar la defensa de la soberanía de países con pocos recursos de defensa frente a otros países con mayores recursos pues permiten la gestión remota de los países que las implementen. La manera de conseguirlo será diferenciando entre la información más sensible y la menos, de manera que la primera se distribuirá entre sus embajadas en el exterior y el resto en proveedores externos. Y ante un eventual ataque estarán en opción de gestionar desde sus embajadas la administración del país. Para transformar la idea en una solución óptima deberán superar una serie de retos, los principales relacionados con la seguridad cuestión fundamental para estos sistemas.

Recursos interesantes:

Real Instituto Elcano → www.realinstitutoelcano.org

Sky News → http://news.sky.com

El Mundo → http://www.elmundo.es

Read More

Predicción de la empresa G Data para 2014

Spain Cloud Computing

http://spaincloudcomputing.blogspot.com

La compañia alemana de soluciones de seguridad informática G Data, ha realizado un informe con sus previsiones sobre seguridad para el próximo año 2014.

A ese respecto, para los expertos de G Data, uno de los objetivos prioritarios para los ciber criminales, va a ser la tecnología Cloud. Los ataques podrían dirigirse tanto sobre los clientes como sobre los proveedores de servicios.

A continuación todo el informe en lo relativo a la nube:

"Almacenamiento en la nube, puerta de entrada del malware
Dropbox y servicios de almacenamiento similares son cada vez más populares como almacén de datos y de copias de seguridad. Para los ciberdelincuentes, esos servicios simplemente representan dinero. Los expertos de G Data ya han visto ataques dirigidos al robo de datos este mismo año. En 2014, el proveedor de seguridad TI alemán espera ataques cuyo objetivo no sea sólo el robo de información personal de las cuentas comprometidas, sino la infección de los propios ordenadores de las víctimas. Bastará colocar su propio malware camuflado en archivos PDF, imágenes o documentos de texto capaces de infectar ordenadores a través de descargas manuales o automatizadas y, en un segundo paso, asaltar redes corporativas cuando el usuario opere en un entorno empresarial.

"

El informe completo podreís encontrarlo en el siguiente enlace:
http://www.gdata.es/sobre-g-data/pressecenter/comunicados/articulos/article/3427-aficionados-al-futbol-dispos.html

Read More

Dropbox: “Somos la Suiza de Internet” (El País)

Spain Cloud Computing

http://spaincloudcomputing.blogspot.com

Noticia aparecida en el diario El País el 28/11/2013.

Entrevista publicada en El País a Lars Fjeldsoe-Nielsen responsable de movilidad de DropBox. Sobre esta entrevista yo destacaría las preguntas relativas a la seguridad, y las respuestas, que lejos de disipar las dudas son bastante tibias y nada tranquilizadoras. En especial me parece poco serio el argumento de "En lo personal es donde almaceno los datos de mis hijas".

"Lars Fjeldsoe-Nielsen (Copenhague, 1973), máximo responsable de movilidad en Dropbox, fichó por la empresa de almacenamiento en la nube en 2008, cuando no eran más de 30 trabajadores y apenas contaban con 10 millones de internautas activos. Este mes han superado los 200 millones y cada día gestionan más de mil millones de archivos. Más de la mitad de estos movimientos se hacen desde móviles y tabletas, la divsión de su responsabilidad. El pasado mes visitó Madrid con motivo de OMWeek.

El modelo de negocio de Dropbox es freemium, es decir, en principio gratis pero con opción de pago para conseguir más espacio de archivo. Una de las líneas de expansión que están explorando son los acuerdos con telefónicas, como el caso de HTC y Samsung, que ofrecen 50 gigas de espacio durante dos años al comprar un móvil.
Pregunta. ¿Cuál es la clave del éxito de Dropbox?
Respuesta. La facilidad de uso. Funcionamos sin que se tenga que aprender a hacerlo o se perciba como algo externo. Nuestra integración es total en todo tipo de plataformas. También que cuando un amigo se da de alta, se consigue espacio adicional gratis. Después, comparten entre ellos.
P. Esto último se nota mucho en Twitter, donde se comparten enlaces invitando a darse de alta. ¿Cuánto le deben a las redes sociales en su crecimiento?
R. Muchísimo. Nos han dado a conocer. De hecho, frente a nuestra competencia somos los que menos espacio gratuito damos, cuatro gigas, una cantidad modesta, pero contamos con la mayor base de usuarios. Se nota que se lo toman como un juego, y suman, y suman…
P. Sí pero, ¿cuántos pagan?
R. Ese dato no lo compartimos pero sí puedo asegurarte que nuestra empresa da beneficios. En 2011 recibimos una ronda de financiación de 250 millones de dólares y no los hemos gastado.

En el caso de los vídeos almacenados, si duran más de 15 minutos los damos de baja

P. ¿Cuál es el usuario tipo?
R. No lo hay. Tenemos de todo, es muy abierto. Desde amigas que se pasan fotos, a una forma fácil de que los abuelos tengan a mano los primeros pasos de unos nietos que no pueden ver a diario. Empezamos como un servicio personal, pero ya tenemos dos millones de cuentas profesionales. Detectamos esta necesidad porque muchos nos descubren en su vida personal, se sienten cómodos y comienzan a usarlo en el trabajo.
P. ¿En qué plataforma se usa más Dropbox?
R. El iPhone es el aparato más usado. Sin embargo, hay más usuarios de Android que de ningún otro sistema operativo.
P. Es curioso, porque los usuarios de iPhone ya tienen iCloud (la nube de Apple)...
R. Sí, pero es solo para sus aparatos. Al menos la experiencia más satisfactoria solo se da en su ecosistema. Los usuarios vienen a nosotros porque no quieren bloquearse en un sistema único, sino que quieren tener todo. Somos la Suiza de Internet.
P. ¿En qué se diferencian de box?
R. Ellos salieron antes y siempre estuvieron centrados en el ámbito profesional. Hacen buen márketing, los consideramos buenos amigos, pero hace tiempo que tenemos más usuarios que ellos. Digamos que hemos hecho el viaje al contrario, del mundo personal al profesional.
P. ¿Y Google Drive?
R. Nosotros llegamos en 2008 y ya creo que fuimos con algo de retraso. Google lleva solo dos años. Ellos se dedican a las búsquedas, nosotros solo hacemos esto.
P. ¿Cuál será el futuro de su aplicación?
R. El mismo que el de Spotify o Netflix, mucho móvil y muchos servicios integrados.
P. ¿Mis datos están seguros en Dropbox?
R. Nuestros usuarios son el mejor aval. En lo personal es donde almaceno los datos de mi hijas. Hemos integrado el acceso en dos pasos para reforzar la entrada. Nuestros patrones de seguridad están tomados de los bancos.
P. Si no ven lo que tengo dentro, como dice, ¿cómo es que detectan que he duplicado un archivo o que lo tiene también un contacto que lo comparte conmigo?
R. Ah, eso es parte de nuestra salsa secreta. No violamos la privacidad de nadie, pero contrastamos entre archivos. Eso es mérito de nuestros ingenieros, muchos vinieron de Google, Facebook y últimamente también de Salesforce. La gente buena atrae gente buena, de ahí que también podamos presumir de diseñadores. En Dropbox se es muy libre, de hecho, se puede elegir en qué equipo trabajar.
P. ¿No tienen miedo a Mega Upload, que regala 50 gigas?
R. No, pensamos que lo hacemos mejor y, además, respetando los derechos de autor.
P. Insisto, si no ven mi contenido, ¿cómo lo saben?
R. Porque contrastamos qué tipo de archivo es. En los vídeos, por ejemplo, si dura más de 15 minutos, lo damos de baja. Todo nuestro contenido está hecho por los usuarios. En cuanto a música no tenemos problemas. Con Apple y Android haciendo buenas ofertas musicales y la irrupción de Spotify, apenas hay pirateo, al menos no en nuestra casa.
P. ¿Dónde se ven en dos años?
R. Queremos ser el pegamento entre sistemas operativos, pero también la forma de llevar tus datos en relojes, televisores y los dispositivos que pronto llegarán. Nuestra meta es que lleves tus datos contigo sin esfuerzo."

http://tecnologia.elpais.com/tecnologia/2013/11/28/actualidad/1385632375_273959.html

Read More

Buscando un guardián para la nube (El País)

Spain Cloud Computing

http://spaincloudcomputing.blogspot.com

Noticia aparecida en el diario El País el 14/11/2013.

"Espías los ha habido siempre, y cajas fuertes en casa, también; lo novedoso es confiar todos nuestros datos, nuestras claves, nuestras fotos y las de amigos y familiares a alguien que no conocemos ni sabemos dónde está. Es la nube, el cloud computing, un ente como de Star Trek,pero que no es tan anónimo ni tan inmaculado como se creía. Alguien tiene acceso a todos esos contenidos, y no es, precisamente, su propietario.

 El espionaje masivo e internacional de la agencia norteamericana NSA ha sacado a la luz la inseguridad de las comunicaciones de los ciudadanos —entre ellos, algunos destacados gobernantes—, pero también la inseguridad de las grandes empresas de Internet, de Microsoft a Google, de las redes sociales, como Facebook o Twitter, y de sitios comerciales, como Amazon o Apple Store.
“Hace 27 años usábamos otras redes. En España, RedIris. En 1994 la web comenzó a llegar a empresas y particulares. Fue entonces cuando percibimos que Internet no tenía fronteras”, rememora Víctor Castelo, responsable de Comunicaciones y Seguridad de la Secretaría General Adjunta de Informática del CSIC.
Castelo, con Juan Antonio Orgaz, Andreu Veà y David Hernández, participó el martes en Madrid en el V Foro de Industrias Culturales organizado por la Fundación Santillana y la Fundación Alternativas, en un debate dedicado a Cloud computing, ¿Apocalípticos o integrados digitales?

En cuatro años se multiplicará por 10 el almacenamiento en Internet

“La nube es todo, pero hay niveles”, dice Castelo. “Hay que intentar que las plataformas donde se desarrollan las aplicaciones, como Gmail o Skype, sean lo más abiertas e interoperables posible, que funcionen en diferentes aparatos y evitar que se conviertan en monopolios”. A diferencia de otros productos de los mercados físicos, los negocios de Internet, quizás por el carácter misterioso que da la intangibilidad, cuando triunfan tienden a convertirse en monopolios. “Hay que intentar que (estos productos y servicios) se abran, que haya alternativas, que no seamos esclavos de los servicios de éxito”, pide Castelo.
Según el estudio de Cisco sobre Tráfico en la Nube 2012-17, en ese tiempo las personas multiplicarán por 10 el almacenamiento en la nube de su música, fotos o vídeos, impulsadas por la proliferación de los aparatos móviles y la facilidad y el bajo precio del almacén.
El tráfico en la nube es una explosión, con crecimientos anuales del 35%. En cuatro años será casi cinco veces mayor que el actual, según las proyecciones de Cisco, empresa dedicada a las infraestructuras de Internet. El tráfico en la nube será ya dos tercios del total de Internet en 2017, y afectará tanto al consumo individual (crecimientos anuales del 36%) como a las empresas (crecimientos del 31%).
“La nube abarca un gran número de servicios, desde el correo de Gmail a un servidor deslocalizado en cualquier lugar del mundo”, explica Juan Antonio Orgaz, asesor jurídico de Canal+ . “La nube es el acceso a cualquier servicio digital de manera flexible, con recursos compartidos, de rápida elasticidad y demanda ajustable. Se puede alquilar o subcontratar”.

Gartner prevé que la Administración externalice cada vez más estos servicios

“Gmail es una nube abierta”, explica Orgaz. “Si hay un ciberataque no discrimina. Si hay un cuello de botella, tampoco. Es un servicio cuyos términos no se leen casi nunca, pero se le está dando permiso para leer el contenido a cambio de incluir publicidad”.
La rápida adopción del tráfico en la nube se debe al poder de sus promotores (de Amazon a Microsoft), a la adopción y migración de las arquitecturas informáticas y a la capacidad de los centros de datos en la nube para manejar cargas de tráfico significativamente mayores. Centros de datos en la nube apoyan el aumento de virtualización, estandarización y automatización. Estos factores conducen a una mayor eficiencia.
“En investigación se va hacia las nubes federadas; es un modelo híbrido pero con cifrado”, explica Castelo, del CSIC. “Si alguien te quiere fastidiar, en la nube, hay riesgo. Así que siempre hay que tener la documentación en al menos dos sitios”.

Hernández: “El genuino poseedor de la llave tendría que ser público”

La consultora Gartner también prevé que esa doble característica de la nube —su facilidad de acceso, pero, a la vez, la complejidad del sistema— abone una rápida externalización del servicio de las Administraciones o servicios públicos a servidores ajenos en detrimento de los propios. Y por tal no se entiende el álbum de boda, sino tu historial clínico. La nube es el último eslabón para el análisis de datos, el big data.
“El genuino poseedor de la llave tendría que ser público”, aboga David Hernández Montesinos, consultor de desarrollo cultural y comunicación. “No todo el mundo se puede permitir una nube personal, pero debería ser la línea a seguir. Pronto habrá servicios asequibles que ofrezcan cierta seguridad”.
Directivos de Microsoft, Facebook y Google negaron con su máxima rotundidad haber colaborado con labores de espionaje ante una escéptica Eurocámara. Juraron una y otra vez que ellos no dejan espiar a los Gobiernos para acceder a datos personales de sus clientes a través de sus servidores por la puerta de atrás.
Las empresas tecnológicas reclaman más transparencia a las Administraciones para poder publicar las peticiones de datos personales, pues se sienten tan víctimas como sus propios clientes. No se enteran cuando les espían, como han demostrado las revelaciones de Snowden.
“No hay puerta de atrás. Punto final”, aseguró la vicepresidenta de Microsoft responsable de Asuntos Legales y Corporativos para Europa, Dorothee Belz, durante su comparecencia ante la Comisión de Libertades Civiles, Justicia y Asuntos del Interior de la Eurocámara.
En los últimos seis meses, Microsoft recibió entre 6.000 y 7.000 órdenes y citaciones de las autoridades estadounidenses para recabar datos de sus clientes, según Belz. En el primer semestre de 2013 han rechazado 911 solicitudes por falta de base jurídica. “En casi el 20% de las solicitudes no entregamos nada”, aseguró.

Castedo, del CSIC: “En investigación se va hacia las nubes federadas”

No menos firme fue su colega de Google, Nicklas Lundblad: “No damos acceso ni directo ni indirecto ni sin control. Solo hay requisitos legales de Gobiernos que son examinados y escrutados caso por caso”, recalcó el ejecutivo de Google antes de pronunciar un casi patético: “Os estamos diciendo la verdad”.
Cada seis meses Google, Apple y Microsoft publican su llamado Informe de Transparencia, donde dan cuenta de las solicitudes que les hacen jueces y policías sobre datos de usuarios. Sin embargo, están obligados a callar, por imperativo de la Ley Patriot, si hay solicitudes de los servicios de inteligencia de EE UU. Así que la transparencia es relativa.
En la misma Eurocámara, Richard Allan, de Facebook, recordó que solo el 1% de los dueños de cuentas fueron objeto de “algún tipo de requerimientos por los Gobiernos” el año pasado.
Estas empresas encabezan una petición al Congreso de los Estados Unidos para que haya un control parlamentario de las solicitudes de las agencias de inteligencia y para que solo se puedan requerir “en base a una autorización judicial”.
No mienten como bellacos, simplemente son tan víctimas del espionaje como cualquiera. Gracias a Snowden se ha sabido que la NSA les cogía datos sin que ellas se enterasen; pero eso no sirve de consuelo, sino que aún preocupa más a unos ciudadanos que han confiado claves y recuerdos o la declaración de la renta a las nubes de Google, Apple o Microsoft.

Microsoft ante la Eurocámara: “No hay puerta de atrás. Punto final”

Jimmy Wales, promotor de Wikipedia, la enciclopedia creada por los internautas, ve las peligrosas consecuencias derivadas del espionaje masivo, global y hasta compulsivo. “La gente va a tener miedo de poner los datos en empresas de Estados Unidos, pero también es devastadora para el tipo de trabajo que hago”, ha declarado recientemente. “Si usted es BMW, probablemente no va a confiar más en colocar sus datos en los EE UU”.
Y, una vez más, Estados Unidos se quedará sin argumentos para exigir a otros respeto a las libertades civiles. “Dan a los chinos excusas para ser tan malos como lo han sido ellos... Es realmente vergonzoso”, explicaba la semana pasada, en Noruega, un consternado Wales. “Es un problema enorme, un enorme peligro”.
La alarma de Wales es la de mucha gente y, sobre todo, de algunos gobernantes, que pueden hacer algo por evitar ser espiados. Es el caso de India, Rusia y, principalmente, Brasil, que en estos días tramita la Ley del Marco Civil de Internet.
No se trata de vigilar a los malos, sino de descubrir negocios, inventos, acuerdos, y copiarlos o torpedearlos. Más espionaje industrial que criminal, de lo contrario no se entendería el espionaje de las comunicaciones de la alemana Angela Merkel o de la presidenta de Brasil.

Wales: “La gente va a tener miedo de poner los datos en empresas

de EE UU”

Dilma Rousseff, además de reaccionar con desplante al mismo Obama, promueve la nube local, el almacenamiento en servidores nacionales de todos los datos de ciudadanos brasileños, estén en empresas locales o internacionales, es decir, Google, Apple, Microsoft, Amazon, Facebook, Twitter…
La propuesta tiene que ser aprobada en el Parlamento brasileño, aunque ya se han levantado voces en contra, advirtiendo del gasto “inasumible” que les supondría a las multinacionales de Internet. Pero Brasil —o India o Rusia o China, que promueven iniciativas similares— es tan fuerte que deberán adaptarse a la legislación, como lo ha hecho Microsoft en China (aunque no Google, que prefirió llevar las oficinas a Hong Kong) o BlackBerry en India. Brasil es, tras Estados Unidos, el segundo país por número de abonados a Facebook y a Twitter.
Glenn Greenwald, el periodista que publicó las revelaciones de Snowden, reside ahora en ese país y no le sorprende la reacción de la presidenta ante las actividades de la NSA: “Creo que muchos países comenzarán a tomar medidas para no ser tan dependientes de la infraestructura norteamericana”, en una entrevista a The Guardian, donde trabajó hasta hace un mes.
“La Administración también tiene su responsabilidad”, apuntaba Orgaz en el debate Apocalípticos o integrados digitales. “¿Por qué Europa no puede competir con servicios como los que se tienen en EE UU? Al menos, que sirvan para garantizar servicios a empresas. No puede ser que no seamos capaces de reaccionar ante el espionaje gubernamental. Hay que ejercer la ciudadanía”."

 http://sociedad.elpais.com/sociedad/2013/11/14/actualidad/1384383731_820058.html

Read More