No asuma que sus datos de usuario en la nube están seguros
abril 12, 2022
El resumen de la investigación es una breve descripción del trabajo académico interesante.
la gran idea
El hecho de que las organizaciones no administren adecuadamente los servidores que alquilan de los proveedores de servicios en la nube puede permitir que los atacantes reciban datos privados, como lo demostró la investigación que realizamos mis colegas y yo.
La computación en la nube permite que las empresas alquilen servidores de la misma manera que alquilan espacio de oficina. Es más fácil para las empresas crear y administrar aplicaciones móviles y sitios web cuando no tienen que preocuparse por poseer y administrar servidores. Pero esta forma de alojar servicios plantea problemas de seguridad.
Cada servidor en la nube tiene una dirección IP única que permite a los usuarios conectarse y enviar datos. Una vez que una organización ya no necesita esta dirección, se la entrega a otro cliente del proveedor de servicios, posiblemente con malas intenciones. Las direcciones IP cambian de manos cada 30 minutos cuando las organizaciones cambian los servicios que utilizan.
Cuando las organizaciones dejan de usar un servidor en la nube pero no eliminan las referencias a la dirección IP de sus sistemas, los usuarios pueden continuar enviando datos a esa dirección, pensando que están hablando con el servicio original. Debido a que confían en el servicio que utilizó anteriormente la dirección, los dispositivos de los usuarios envían automáticamente información confidencial, como la ubicación del GPS, los datos financieros y el historial de navegación.
Un atacante puede aprovechar esto «ocupando» la nube: reclamando direcciones IP en un intento de recibir tráfico destinado a otras organizaciones. La rápida renovación de las direcciones IP deja poco tiempo para identificar y solucionar el problema antes de que los atacantes comiencen a recibir datos. Una vez que el atacante controla la dirección, puede continuar recibiendo datos hasta que la organización descubra y solucione el problema.
Nuestro estudio de una pequeña fracción de direcciones IP en la nube reveló que miles de empresas podrían filtrar datos de usuarios, incluidos datos de aplicaciones móviles y rastreadores de anuncios. Estas aplicaciones inicialmente tenían la intención de compartir datos personales con empresas y anunciantes, pero en su lugar filtraron datos a cualquiera que tuviera control sobre la dirección IP. Cualquiera con una cuenta en la nube podría recopilar los mismos datos de organizaciones vulnerables.
Por qué es importante
Los usuarios de teléfonos inteligentes comparten datos personales con empresas a través de las aplicaciones que instalan. En una encuesta reciente, los investigadores encontraron que la mitad de los usuarios de teléfonos inteligentes se sentían cómodos compartiendo su ubicación a través de aplicaciones para teléfonos inteligentes. Pero la información personal que los usuarios comparten a través de estas aplicaciones podría usarse para robar su identidad o dañar su reputación.
Los datos personales han experimentado una regulación cada vez mayor en los últimos años, y los usuarios pueden estar contentos de confiar en que las empresas con las que interactúan seguirán estas regulaciones y respetarán su privacidad. Pero es posible que estas regulaciones no protejan lo suficiente a los usuarios. Nuestra investigación muestra que incluso cuando las empresas tienen la intención de utilizar los datos de manera responsable, las malas prácticas de seguridad pueden dejar esos datos a merced.
Los usuarios deben ser conscientes de que cuando comparten sus datos privados o personales con empresas, también están expuestos a las prácticas de seguridad de esas empresas. Pueden tomar medidas para reducir esta exposición al reducir la cantidad de datos que comparten y con cuántas organizaciones los comparten.
¿Qué otras investigaciones se están realizando en esta área?
Los académicos y la industria se centran en la recopilación responsable de datos de los usuarios. Un impulso reciente de Google tiene como objetivo reducir la recopilación de datos personales de los usuarios mediante anuncios móviles, asegurando que su seguridad y privacidad estén protegidas.
Al mismo tiempo, los investigadores están trabajando para explicar mejor qué hacen las aplicaciones con los datos que recopilan. Este trabajo tiene como objetivo garantizar que los datos que los usuarios comparten con las aplicaciones se utilicen de la manera que desean al hacer coincidir las solicitudes de permiso con el comportamiento real de la aplicación.
Y después
Investigamos nuevas tecnologías en teléfonos inteligentes y dispositivos para garantizar que protejan los datos de los usuarios. Por ejemplo, la investigación de un colega mío describe un enfoque para proteger los datos personales recopilados por las cámaras inteligentes. Nuestra perspectiva sobre el tráfico de la nube pública también permite nuevos estudios de Internet en su conjunto. Seguimos trabajando con los proveedores de la nube para garantizar que los datos de los usuarios almacenados en la nube estén seguros e introducir técnicas para evitar que las empresas y sus clientes sean víctimas de la nube.
Este artículo de Eric Pauley, estudiante de doctorado en informática e ingeniería, Penn State, se vuelve a publicar de The Conversation bajo una licencia Creative Commons. Lea el artículo original.
