Seguridad en la nube: los social media como login

Pantalla LoginLlevo pensando en los problemas de seguridad en la nube y en el SaaS desde finales de los 90, cuando trabajaba en mi primer proyecto global de intranet/extranet. Personalmente, nunca me han preocupado especialmente los detalles menos importantes de la arquitectura de red, los protocolos de transporte o la tediosa redacción de políticas; hacen falta buenos expertos para cubrir estas áreas adecuadamente. Siempre me han atraído los inconvenientes humanos más excusables del concepto de software en la nube y cloud computing, como el siguiente: ¿Cómo demonios se puede evitar que se compartan las contraseñas?

He estado pensando que la solución podría ser tan obvia, tan omnipresente, que lo único que pasa es que es difícil ver más allá de nuestros propios miedos: ¿Y si pudiésemos mejorar la seguridad de nuestras aplicaciones basadas en la nube delegando el  proceso de autenticación a las redes sociales?

El autor de este artículo, Steve Henty, es un experimentado jefe de proyectos informáticos especializado en tecnologías online desde 1996. Vive en Madrid y actualmente trabaja para Toshiba. Está disponible en steve@henty.es o en Twitter o en http://www.henty.es.

El problema

Están por todas partes. Los que dicen que la aplicación online A o B es 100% segura porque tiene la misma seguridad que la banca online y usa SSL y permite restricciones de IP y usa autenticación LDAP, etc. Todas estas funciones de seguridad son útiles, pero al final seguimos enfrentándonos al desalentador problema de convencer a los usuarios de que no compartan sus contraseñas intencionadamente (p.ej., prestándolas a “amigos”) o sin querer (p.ej., dejando notas por ahí).

En cuanto una persona de nuestra organización divulga sus datos de cuenta, el sistema entero está en peligro, y la información de la empresa queda abierta a quienquiera que se haga con la contraseña. Lo que es peor, no hay ningún modo real de saber si ha pasado esto o cuándo ha sido. Incluso nuestro usuario descuidado puede no ser consciente de que alguien más está usando la misma cuenta. A veces veo comentarios sobre este problema en Internet, pero aún no he visto soluciones serias.

Es algo que se suele tildar de irrelevante, como si la seguridad de las contraseñas no tuviese nada que ver con la seguridad en la nube. Desgraciadamente, tiene un efecto inevitable sobre la adopción de estas tecnologías que supone una gran laguna dentro del concepto del cloud computing. Así pues, actualmente la industria no quiere hablar sobre el traje nuevo del emperador porque esto podría afectar a la adopción y, por consiguiente, las empresas no conocen todos los detalles de la situación.

Mientras que el 50% de las empresas del Reino Unido actualmente están pensando en pasarse a la nube ese año, vamos a presenciar un aumento en los problemas de seguridad, esto es, en cuanto estas empresas se den cuenta de que llevamos años mirando a la cuestión con anteojeras.

Cuando lo fuerte no es fuerte

Vamos a echar un vistazo rápido al modo que tienen los sistemas de cloud computing de intentar ocuparse de las cuestiones de la seguridad en la nube, y a examinar dónde podrían fallar.

SSL: una afirmación que oímos a menudo es que la aplicación A o B es tan segura como la banca online porque utiliza la misma tecnología: SSL. Aunque estoy de acuerdo en que es importante cifrar la información, esta afirmación roza lo fraudulento. Los usuarios tienen una motivación natural para mantener en secreto sus datos bancarios, mientras que un empleado puede sentirse motivado a hacer precisamente lo contrario.

Restricciones de IP: algunas aplicaciones nos permiten restringir el acceso desde determinadas direcciones IP. Esto podría funcionar si estamos preparados para prescindir de las ventajas de la independencia de dispositivos, pero en mi opinión es una de las mayores ventajas de trabajar en la nube.

Integración con LADP: Algunas aplicaciones permiten la integración con directorios como el Active Directory: Esto es estupendo: un directorio menos que administrar. Sin embargo, además de los dolores de cabeza que supone la seguridad de la red, esto no garantiza que la persona que use la contraseña sea quien esperamos que sea.

Seguridad en la empresa: la autenticación de doble factor con tokens de seguridad, o una sofisticada implantación de PKI funcionan bien si tenemos el tiempo y los recursos necesarios. Si tenemos usuarios que llamen la atención, querremos contar con este nivel de seguridad para evitar violaciones de seguridad como la que afectó a Twitter hace unos meses. Sin embargo, estas soluciones pueden ser tan caras y llevar tanto tiempo que hasta una empresa grande tendría recelos a la hora de realizar el proceso para el 100% de los empleados. Por este motivo, para la mayoría de las empresas no es una opción factible.

En el radar: en un futuro no tan lejano, puede que usemos tarjetas SIM de móvil, tarjetas de identificación electrónica o certificados para el navegador emitidos por el gobierno a la hora de autenticarnos. ¿Pero y ahora mismo? ¿Hay algo más que podamos hacer ahora, en 2010, para mejorar la seguridad de nuestras aplicaciones en la nube?

Pantalla OpenID

La solución: ¿integración de social media?

A veces las soluciones parecen ir en contra de nuestra intuición. ¿y si pudiésemos aumentar la seguridad cediendo parte del control? ¿Y si relajásemos nuestro control un poco sobre todo el tema de la gestión de identidad y los procesos de autenticación y dejásemos a los empleados compartir parte de la responsabilidad?

La mayoría de los empleados ya tienen una identidad online, una marca personal que se sienten naturalmente motivados a proteger. Tienen direcciones personales de correo, blogs, cuentas de Facebook, cuentas de LinkedIn, perfiles públicos o semi-públicos por toda la red. ¿Y si permitiésemos a todas estas cuentas de social media conectar con las aplicaciones en la nube de nuestra empresa para realizar el proceso de autenticación?

Esto, por ejemplo, podría significar que un empleado accediese a una aplicación de CRM de la empresa simplemente iniciando sesión en una cuenta de Facebook o LinkedIn. Una violación de la seguridad de nuestra aplicación sólo se produciría a costa de una violación en la seguridad de la cuenta personal de un usuario. De este modo, la responsabilidad de mantener la seguridad sería compartida.

Ahora que nuestros usuarios tienen un interés creado a la hora re evitar el acceso no autorizado a los datos de la empresa, podrían empezar a tomar se en serio todas las normas sobre contraseñas fuertes que llevamos tanto tiempo repitiéndoles.

También se podría afirmar que al extender las cuentas a varios sitios de red social diferentes, descentralizando así el proceso de autenticación, los posibles hackers no se sentirían inclinados a probar simplemente a adivinar contraseñas o a utilizar ataques de fuerza bruta.

La idea debería desarrollarse más y dista mucho de ser perfecta. Hay ciertas cuestiones que deben tratarse en cuanto a la adopción, la privacidad y las pruebas y controles pertinentes. Sin embargo, la tecnología ya existe en forma de APIs, Facebook Connect, OAuth y OpenID y otros servicios, y los grandes nombres del social media ya cuentan con la masa crítica de usuarios necesaria para poder realizar algo como esto con éxito. Incluso las actitudes en general con respecto a la privacidad parecen estar relajándose, así que podría ser el momento perfecto. Si mis suposiciones son correctas, la pieza que falta en el puzzle de la seguridad en la nube podría estar justo enfrente de nosotros, y podríamos aliviar parte del miedo al cloud computing sencillamente renunciando a parte de nuestra necesidad de control.

Sería muy interesante contar con las opiniones de los lectores, especialmente si saben de alguien que haya tenido ya alguna experiencia haciendo esto en un entorno de producción o haya decidido no llevarlo a cabo.

Fotografía: Joshua Davis.

Contenidos Relacionados

Top