General Tecnología

Los peligros del cloud computing

Nube de Super Mario BrosTodos hemos oído a los obsesos de la seguridad quejarse de las vulnerabilidades del cloud computing: aquí está la noticia que estaban esperando.

Unos hackers de sombrero negro han accedido a una página Web sin nombre alojada en los servidores de Amazon y han instalado en ella una infraestructura ilegal de comandos y control. Zeus, denominado “el botnet más buscado de América”, se detectó en la Elastic Compute Cloud (EC2) de Amazon por parte de sus técnicos de seguridad anteayer.

El troyano Zeus es un keylogger diseñado para robar información tal como credenciales de acceso, números de cuenta y datos de tarjeta de crédito. Éste crea formularios HTML falsos en páginas de inicio de sesión de bancos para permitir a los hackers robar datos de usuario. Este botnet en concreto está relacionado con una cifra de 100 millones de dólares (unos 68 millones de euros) en fraudes bancarios en 2009.

Aunque no tenemos aún los detalles exactos sobre cómo se hackeó el sitio Web en cuestión, hemos sabido que el software se ha retirado de la nube de Amazon. Este incidente es el primer ejemplo de software malicioso que aparece en la infraestructura de AWS.

Como nos advirtieron los “sombreros negros” hace meses, el cloud computing acarrea ciertos riesgos y oportunidades para su explotación. La colaboradora de ReadWriteWeb Sarah Pérez escribió:

En otra parte de la presentación de Sensepost, buscaron específicamente las vulnerabilidades de los Servicios Web de Amazon. Para empezar, detallaron el proceso necesario para configurar una nueva instancia en EC2… Mientras que Amazon ha proporcionado 47 imágenes de equipos creadas por ellos mismos, las 2721 restantes eran producto de otros usuarios de EC2. ¿Podemos creer realmente que todas esas imágenes se han creado de forma segura? Básicamente, el directorio de plantillas no es más que un gran archivo de contenidos generados por usuarios. Y todos sabemos que el contenido generado por usuarios es… peligroso.

Como mencionaba John Pescatore en el Financial Times, “La seguridad de estos servicios de infraestructura basados en la nube es como Windows en 1999. Su uso está muy extendido y todavía no ha sucedido nada especialmente dramático. Sin embargo, no ha hecho más que empezar a exponerse a la red, y ya sabemos que nos encontraremos con cosas malas”.

¿Seguirán los hackers empleando los servicios en la nube para poner en práctica sus planes en 2010? Twitter, Facebook, Google Apps, y ahora Amazon Web Services se han usado ya con fines malintencionados este año. ¿Cómo pueden los sitios Web, corporaciones y usuarios finales utilizar una seguridad online más inteligente para evitar pérdidas personales y económicas el año próximo?

Sobre el autor de este artículo

Jolie O'Dell