Archivo: /home/alejandro/Escritorio/guion seguridad

Pgina 1 de 2

INTRODUCCION
-------------Quin no usa la nube?
Es evidente que hoy en da la gran mayora de gente utiliza la nube, ya se de manera consciente o
inconsciente, debido a que engloba servicios tan conocidos como puede ser Facebook, Gmail o Dropbox.
Parece ser que no..
Segn algunos expertos, los temores acerca de la seguridad en la nube son exagerados. Adems, les
parece sorprendente que los requisitos de seguridad en la nube que piden en algunas empresas son
mayores que los que tienen en su propio centro de datos.
Aunque bueno...
Encuesta realizadas a 244 empresas en las que se le pregunta por el grado de importancia de los
desafos actuales que existen en la nube, dodne el mayor problema es la seguridad
Por tanto, el gran problema existente es confiar en un tercero que no conoces
PRINCIPALES DESAFIOS CID, SOLUCIONES Y LIMITACIONES
--------------------------------------------------Ahora en este apartado se van a presentar una serie de problemas de seguridad en la nube, posibles
soluciones y limitaciones de esas soluciones.
1. AUTENTICACION
------------------ Problema: Por ejemplo, en el caso de Dropbox, se hace uso de esta autenticacin bsica, con usuario
y contrasea. Esta password es enviada va TLS, pero sin ser procesada previamente con una funcin
hash, por lo que los servidores van a tener acceso a la contrasea en claro. Por ello, si un atacante
es capaz de comprometer los servidores de Dropbox, podra acceder a las contraseas en claro de los
usuarios que accedan a sus cuentas.
- Soluciones: aplicar un hash de la contrasea, y que el servidor slo conociera esta funcin resumen,
por lo que para poder autenticar a un usuario, slo tendra que comparar el hash almacenado y creado
cuando se realiz el registro, con el hash calculado cuando se produce el proceso de logueo. Tambin
hay que destacar que este proceso de verificacin de identidad del usuario se puede fortalecer
incorporando mecanismos de autenticacin multifactor (ej: pass + sms a mvil).
- Limitaciones: se puede tener una mala implementacin en las funcionalidades criptogrficas
empleadas, como pas en el caso de Heartbleed.
2. ESPIONAJE DE INFORMACION
------------------------------ Problema: si los datos se suben sin cifrar a la nube, el Proveedor puede acceder a los mismos sin
nuestro consentimiento.
- Solucin: la primera solucin que hay que tener en mente es el cifrado de los datos usando estndar
criptogrficos, el cual ha ganado una gran importancia desde las filtraciones que realiz Snowden
sobre la NSA.
- Limitaci
ones: se tiene un coste computacional mayor, sobre todo con archivos de gran tamao.
3. GESTIN DE CLAVES CRIPTOGRAFICAS
-------------------------- Problema: mientras que los Proveedores implementen la encriptacin, los Consumidores tienen que
tener claro que si los Proveedores guardan las claves de cifrado, es posible que puedan a acceder a
los datos o dar las claves a cualquiera que se las pida.
- Solucin: es muy importante que la gestin y generacin de claves se realice en el lado del
Consumidor, porque aunque le suponga una mayor carga de trabajo, puede conseguir tener una gran
tranquilidad, ya que dispone del control total sobre sus datos.
- Limitaciones: supone una sobrecarga para el usuario, ya que tiene que encargarse de estas tareas.
Adems, al almacenar las claves en el cliente, stas podran ser comprometidas por ejemplo si se
tiene un troyano en este cliente.
4. MODIFICACION INDEBIDA DE ACTIVOS
------------------------------------ Problema: los datos subidos a la nube pueden ser modificados por un tercero no autorizado, ya que se
pueden hacer leves alteraciones en los mismos que sean difciles de percibir.
- Solucin: para poder verificar la integridad de los datos se suele hacer uso de firmas digitales,

Archivo: /home/alejandro/Escritorio/guion seguridad

Pgina 2 de 2

que permite confirmar que el mensaje no ha sido alterado desde que fue firmado por el propietario.
- Limitaciones: las firmas digitales suelen ser costosas computacionalmente debido a que se suele usar
el algoritmo de cifra asimtrica RSA. Para mitigar este problema, se podra hacer uso de curvas
elpticas, que pueden proporcionar la misma seguridad que RSA pero con un tamao menor de clave.
Adems, se podran incorporar rboles de Merkle, ya que se reducira el nmero de firmas digitales
realizadas.
5. DISPONIBILIDAD
------------------ Problema: los Consumidores suelen colocar una gran cantidad de sus datos en los servidores de la
nube, que aunque parte de los mismos no se vayan a utilizar durante perodos prolongados, su
disponibilidad cuando sean necesarios puede ser un aspecto crtico. Por tanto, es posible que se desee
comprobar de vez en cuando que los datos siguen estando disponibles.
- Solucin: las pruebas de recuperabilidad es un mecanismo online de la verificacin de la
disponibilidad de los datos examinando una porcin pequea de los mismos combinando un procesamiento
criptogrfico, verificando tambin la integridad. Las pruebas de recuperabilidad consisten en, despus
de cifrar un fichero, incluir pequeos bloques de datos en posiciones aleatorias del fichero cifrado.
El Proveedor no distingue estos trozos del encriptado original, y el Consumidor puede pedir una serie
de estos bloques (sabe dnde estn), con el fin de poder detectar cualquier cambio.
- Limitaciones: la solucin propuesta supone un sobrecoste para el usuario, ya que se tiene que
encargar de verificar cada cierto tiempo la disponibilidad de sus datos almacenados en la nube.
CONCLUSIONES
------------La principal conclusin es destacar la enorme inseguridad que tienen los Consumidores al hacer uso de
entornos cloud, lo que puede comprometer sus datos sensibles. Adems, destacar la relacin de este
proyecto con la asignatura:
- Gracias a la primera parte, se han podido presentar como soluciones algunos algoritmos
criptogrficos de los que fueron estudiados.
- Adems, los mecanismos de autenticacin que fueron detallados en la segunda parte de la asignatura
han tenido un papel relevante en el estudio de la seguridad en los entornos cloud.
- Tambin tiene gran importancia la tercera parte sobre auditora, debido a que las diversas
asunciones de seguridad no pueden darse por vlidas sin el anlisis pertinente. Por tanto, es
necesario efectuar tanto una auditora de los sistemas desarrollados como los necesarios test de
intrusin.