Los detalles fueron surgiendo gradualmente hasta que por fin la noticia se hizo pública: Dropbox había sido atacada. La agresión, producida en 2012, provocó, como posteriormente se supo, que más de 68 millones de contraseñas quedasen expuestas, además de direcciones de correo electrónico que -ya se sabía- habían sido robadas. Adicionalmente, un ataque perpetrado con anterioridad contra Yahoo por fuentes desconocidas permitió que unos 200 millones de credenciales de usuarios de sus servicios acabasen en la web oscura.
Pese a que acontecimientos como estos, en los que grandes volúmenes de credenciales de usuario quedan expuestos, suponen un riesgo exponencial para las organizaciones, lo cierto es que la adquisición de los diferentes kits de exploit necesarios para su ejecución resulta una tarea cada vez más sencilla. Tal simplicidad favorece también que los ciberdelincuentes no requieran un alto nivel de conocimiento para lanzar ataques.
Lobos solitarios, aficionados, grupos de hacktivistas y piratas informáticos financiados por estados buscan activamente nuevas formas para entrar en los sistemas y tener acceso a información sensible. Como resultado, sitios y aplicaciones se encuentran en el punto de mira casi constantemente, por lo que cuando los ataques tienen éxito, a menudo, gran cantidad de información de los usuarios se divulga públicamente.
Desafortunadamente, la naturaleza humana dicta que, casi con total seguridad, estas credenciales serán utilizadas más de una vez para realizar suscripciones a diferentes aplicaciones en la nube para uso personal y professional. Los piratas informáticos saben que emplear las mismas credenciales una y otra vez aumenta su valor, por lo que una violación de datos de esta índole puede proporcionar acceso a muchas aplicaciones y servicios cloud. Esto, por supuesto, representa un riesgo muy alto para las empresas.
Un paisaje desafiante
Y este paisaje desafiante se hace aún más desolador en tanto en cuanto las aplicaciones cloud se encuentran cada vez más arraigadas dentro de las organizaciones.
De media, una empresa típica contabiliza 1.031 aplicaciones cloud, según el informe Cloud de Netskope (septiembre de 2017). No obstante, lo más preocupante es que el 93,6% de estas apps carecen de funciones de auditoría y de certificaciones de seguridad, por lo que no están preparadas para su uso empresarial. En este sentido, y a medida que el número de usuarios dependientes de las aplicaciones cloud crece, este problema aumenta en escala y gravedad.
Los profesionales de TI saben que los altos volúmenes de datos corporativos confidenciales se almacenan o se comparten a través de la nube. Combinado con un número creciente de amenazas, transmitidas a través de la nube, la protección de datos se torna cada vez más difícil. El delicado equilibrio entre facultar al personal para acceder y usar aplicaciones en la nube mientras se implementa una protección suficiente contra la pérdida de datos se está volviendo mucho más difícil de lograr.
CASB, el mejor aliado
Como resultado, las organizaciones recurren a los brokers de seguridad de acceso a la nube (CASB, por sus siglas en inglés) para combatir estas amenazas crecientes. Las soluciones CASB permiten que el departamento de TI establezca políticas basadas en la reputación web de un usuario individual, que se basa en la prevalencia en la web de las credenciales desplegadas más comúnmente por ese usuario.
La mitigación de los riesgos de seguridad del ecosistema de aplicaciones en la nube de una compañía no es una tarea fácil. Sin embargo, las empresas pueden tomar ciertas medidas para preparar mejor sus sistemas ante dichas amenazas. En última instancia, la visibilidad es clave: el departamento de TI requiere una visibilidad mejor y más granular de las aplicaciones de la nube, conocidas y no conocidas (el famoso shadow IT), en un entorno corporativo. Obtener una comprensión completa de cómo se usan estas aplicaciones y la mejor manera de proteger los datos dentro de ellas permitirá que el personal continúe trabajando de forma adecuada en la nube, y garantizará que los datos sensibles de la compañía no estén expuestos a una fuga de información.