La brecha de Uber pone de manifiesto la seguridad 'cloud' de las empresas

Uber ha hecho pública esta misma semana su brecha de seguridad sufrida en 2016 y las reacciones por parte de usuarios y empresas no se ha hecho esperar. Se pone en entredicho el tipo de seguridad cloud que aplican las organizaciones y en quién recaen las responsabilidades.

Uber usuario nube

Uber fue atacada a finales de 2016 y los nombres, cuentas de correos electrónicos y números de teléfonos móviles de 57 millones de usuarios –incluyendo siete millones de conductores- se vieron comprometidos, según relata Dara Khosrowshahi, CEO de la compañía. Las licencias de 600.000 conductores americanos fueron expuestas como resultado del ataque. Sigue habiendo muchos interrogantes: sobre todo si los hackers han cumplido su palabra y han destruido todos los datos robados; y si solo robaron nombres, correos electrónicos, números de teléfono y detalles de los carnets de conducir.

El ataque en sí tuvo lugar después de que dos personas lograran acceder a una cuenta privada de GitHub que utilizan los ingenieros de Uber. Según Bloomberg, encontraron los registros de inicio de sesión de Amazon Web Services (AWS) allí y los usaron inmediatamente para acceder a la cuenta AWS Uber, donde finalmente encontraron el tesoro oculto en la nube relacionado con la información del usuario y el conductor.

Responsabilidad compartida

Esto nos permite extraer una serie de conclusiones:

•             Las combinaciones estáticas de contraseña-nombre de usuario nunca deben utilizarse para proteger datos tan altamente confidenciales y sensibles 

•             Las empresas siempre deben informar a las autoridades locales pertinentes tan pronto como sea posible después de que se produzca una brecha de seguridad y;

•             Nunca se debe pagar un rescate o similar a los hackers

•             Lo más importante: las organizaciones deben asegurar sus entornos cloud

En su declaración, Khosrowshahi afirmaba que, tras el incidente silenciado desde el año pasado, Uber "implementó medidas de seguridad para restringir el acceso y reforzar los controles sobre nuestras cuentas almacenadas en la nube". Es de suponer que esto implicó migrarlos a algún formato de autenticación multifactor y el establecimiento de una política de menores privilegios. Sin embargo, estas son las buenas prácticas que deberían haber estado operativas desde el primer instante.

¿Por qué Uber no aseguró adecuadamente su entorno cloud? Podríamos encontrar algunas pistas de las declaraciones del propio Khosrowshahi:

"Hace poco supe que a finales de 2016 tuvimos conocimiento de que dos personas ajenas a la compañía habían accedido inapropiadamente a los datos de los usuarios almacenados en el servicio cloud de terceros que utilizamos. El incidente no violó nuestros sistemas corporativos o nuestra infraestructura".

Esta afirmación es un tanto preocupante ya que intenta establecer una distinción entre la propia infraestructura de la empresa y su cuenta en AWS. En realidad, los servicios en la nube adoptados por las empresas se convierten automáticamente en parte de su infraestructura corporativa y, por tanto, deben asegurarse de forma rigurosa. AWS deja muy claro que el modelo de responsabilidad compartida significa que solo se ocupará del hardware, software, redes e instalaciones que ejecutan los servicios de AWS Cloud -"la seguridad de la nube". El resto, incluidos los datos y las aplicaciones de los clientes, es responsabilidad del cliente.

La llamada de GDPR

Exactamente, no está claro a cuánto ascendería la cantidad a la que Uber se habría enfrentado en concepto de multas por incumplir la GDPR, si el incidente se hubiera producido después del 25 de mayo de 2018. Sabemos que el hecho de no informar de una infracción grave supone una multa de 10 millones de euros o el 2% de la facturación anual global. A juzgar por los ingresos de Uber en 2016, esto se podría haber traducido en una multa de alrededor de 130 millones de dólares directamente desde el primer momento.

El aparente fallo de la empresa a la hora de seguir las buenas prácticas de la industria en términos de controles de acceso y protección de su entorno cloud la podría haber llevado a multas incluso mayores. Para cualquier líder de negocio o de TI que vea esto, el mensaje es claro: utilizar servicios en la nube no significa que uno pueda olvidarse de la seguridad, ni mucho menos. De hecho, se requiere un enfoque más detallado aún para garantizar que ningún dato personal que esté almacenado en cualquier lugar quede expuesto.

Es un artículo realizado por José de la Cruz, director técnico de Trend Micro Iberia

 

 



TE PUEDE INTERESAR...

Accede a la cobertura de nuestros encuentros
 
Lee aquí nuestra revista digital de canal

DealerWorld Digital

 

Forma parte de nuestra comunidad
 
¿Interesado en nuestros foros? 

 

Whitepaper