TecTop
Crédito: CC0 Dominio público
El hecho de que las organizaciones no administren adecuadamente los servidores que arriendan a los proveedores de servicios en la nube puede permitir que los atacantes reciban datos privados, investigar mis colegas y yo llevamos a cabo ha demostrado.
La computación en la nube permite que las empresas alquilen servidores de la misma manera que arriendan espacio de oficina. Es más fácil para las empresas crear y mantener aplicaciones móviles y sitios web cuando no tienen que preocuparse por poseer y administrar servidores. Pero esta forma de hospedar servicios plantea problemas de seguridad.
Cada servidor en la nube tiene un dirección IP única que permite a los usuarios conectarse y enviar datos. Una vez que una organización ya no necesita esta dirección, se la entrega a otro cliente del proveedor de servicios, quizás uno con intenciones maliciosas. Las direcciones IP cambian de manos cada 30 minutos a medida que las organizaciones cambian los servicios que utilizan.
Cuando las organizaciones dejan de usar un servidor en la nube pero no eliminan las referencias a la dirección IP de sus sistemas, los usuarios pueden continuar enviando datos a esta dirección, pensando que están hablando con el servicio original. Debido a que confían en el servicio que utilizó anteriormente la dirección, los dispositivos de los usuarios envían automáticamente información confidencial, como la ubicación del GPS, los datos financieros y el historial de navegación.
Un atacante puede aprovechar esto «ocupando» la nube: reclamando direcciones IP para intentar recibir tráfico destinado a otras organizaciones. La rápida rotación de direcciones IP deja poco tiempo para identificar y corregir el problema antes de que los atacantes comiencen a recibir datos. Una vez que el atacante controla la dirección, puede continuar recibiendo datos hasta que la organización descubra y corrija el problema.
Nuestro estudio de una pequeña fracción de direcciones IP en la nube encontró miles de empresas que potencialmente estaban filtrando datos de usuarios, incluidos datos de aplicaciones móviles y rastreadores de publicidad. Inicialmente, estas aplicaciones tenían la intención de compartir datos personales con empresas y anunciantes, pero en su lugar filtraron datos a quien controlaba la dirección IP. Cualquiera con una cuenta en la nube podría recopilar los mismos datos de organizaciones vulnerables.
por qué importa
Los usuarios de teléfonos inteligentes comparten datos personales con las empresas a través de las aplicaciones que instalan. En una encuesta reciente, los investigadores descubrieron que la mitad de los usuarios de teléfonos inteligentes se sentían cómodos compartiendo sus ubicaciones a través de aplicaciones para teléfonos inteligentes. Pero la información personal que los usuarios comparten a través de estas aplicaciones podría usarse para robar su identidad o dañar su reputación.
Los datos personales han visto aumento de la regulación en años recientes, y los usuarios pueden contentarse con confiar en que las empresas con las que interactúan seguirán esas normas y respetarán su privacidad. Pero es posible que estas regulaciones no protejan lo suficiente a los usuarios. Nuestra investigación muestra que incluso cuando las empresas tienen la intención de utilizar los datos de manera responsable, las malas prácticas de seguridad pueden dejar esos datos en el aire.
Los usuarios deben saber que cuando comparten sus datos privados o personales con empresas, también están expuestos a las prácticas de seguridad de esas empresas. Pueden tomar medidas para reducir esta exposición al reducir la cantidad de datos que comparten y con cuántas organizaciones los comparten.
¿Qué otras investigaciones se están haciendo en este campo?
Los académicos y la industria se están enfocando en la recopilación responsable de datos de los usuarios. UN impulso reciente de Google tiene como objetivo reducir la recopilación de datos personales de los usuarios por parte de los anuncios móviles, asegurando que su seguridad y privacidad estén protegidas.
Al mismo tiempo, los investigadores están trabajando para explicar mejor qué hacen las aplicaciones con los datos que recopilan. Este trabajo tiene como objetivo garantizar que los datos que los usuarios comparten con las aplicaciones se utilicen de la forma en que esperan, haciendo coincidir las solicitudes de permiso con el comportamiento real de las aplicaciones.
Que sigue
Estamos investigando nuevas tecnologías en teléfonos inteligentes y dispositivos para garantizar que protejan los datos de los usuarios. Por ejemplo, investigación dirigida por un colega mío describe un enfoque para proteger los datos personales recopilados por las cámaras inteligentes. Nuestro punto de vista sobre el tráfico en la nube pública también está permitiendo nuevos estudios de Internet en su conjunto. Continuamos trabajando con los proveedores de la nube para garantizar que los datos de los usuarios almacenados en la nube estén seguros y estamos introduciendo técnicas para evitar que las empresas y sus clientes sean víctimas de la nube.
El arrendamiento de servidores en la nube puede dejar datos confidenciales en juego
Este artículo se vuelve a publicar de La conversación bajo una licencia Creative Commons. Leer el artículo original.
Citación: Los servicios en la nube mal administrados ponen en riesgo los datos de los usuarios (11 de abril de 2022) recuperado el 11 de abril de 2022 de https://techxplore.com/news/2022-04-mismanaged-cloud-user.html
Este documento está sujeto a derechos de autor. Aparte de cualquier trato justo con fines de estudio o investigación privados, ninguna parte puede reproducirse sin el permiso por escrito. El contenido se proporciona únicamente con fines informativos.
