Abuso y mal uso del cloud computing

Esta amenaza afecta principalmente a los modelos de servicio IaaS y PaaS y se

relaciona con un registro de acceso a estas infraestructuras/plataformas poco
restrictivo. Es decir, cualquiera con una tarjeta de crdito vlida puede acceder al
servicio, con la consecuente proliferacin de spammers, creadores de cdigo
malicioso y otros criminales que utilizan la nu!e como centro de operaciones.
Ejemplos:
IaaS que "an al!ergado en Zeus Botnet.
Botnets que "an alojado sus centros de control en infraestructuras cloud.
#angos completos de direcciones de infraestructuras cloud !loqueadas por
env$o de correo !asura.
Interfaces y API poco seguras
%eneralmente los proveedores de servicios en la nu!e ofrecen una serie de
interfaces y &PI 'del ingls, &pplication Programming Interface( para controlar e
interactuar con los recursos. )e este modo, toda la organizacin, el control, la
provisin y la monitorizacin de los servicios cloud se realiza a travs de estos &PI
o interfaces.
Amenaza interna
*omo en todos los sistemas de informacin, la amenaza que suponen los propios
usuarios es una de las ms importantes, dado que tienen acceso de forma natural
a los datos y aplicaciones de la empresa. En un entorno cloud esto no es en
a!soluto diferente ya que se pueden desencadenar igualmente incidentes de
seguridad provocados por empleados descontentos y accidentes por error o
desconocimiento.
Problemas derivados de las tecnologas compartidas
Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura
como Servicio los componentes f$sicos '*P+, %P+, etc.( no fueron dise,ados
espec$ficamente para una arquitectura de aplicaciones compartidas. Se "an dado
casos en los que los "ipervisores de virtualizacin pod$an acceder a los recursos
f$sicos del anfitrin provocando, de esta forma, incidentes de seguridad.
Prdida o fuga de informaci!n
E-isten muc"as formas en las que los datos se pueden ver comprometidos. Por
ejemplo, el !orrado o modificacin de datos sin tener una copia de seguridad de
los originales, supone una prdida de datos.
En la nu!e, aumenta el riesgo de que los datos se vean comprometidos ya que el
n.mero de interacciones entre ellos se multiplica de!ido a la propia arquitectura de
la misma. Esto deriva en prdida de imagen de la compa,$a, da,os econmicos y,
si se trata de fugas, pro!lemas legales, infracciones de normas, etc.
"ecuestro de sesi!n o servicio
En un entorno en la nu!e, si un atacante o!tiene las credenciales de un usuario
del entorno puede acceder a actividades y transacciones, manipular datos,
devolver informacin falsificada o redirigir a los clientes a sitios maliciosos.
#iesgos por desconocimiento
+no de los pilares de las infraestructuras cloud es reducir la cantidad de soft/are y
"ard/are que tienen que adquirir y mantener las compa,$as, para as$ poder
centrarse en el negocio. Esto, si !ien repercute en a"orros de costes tanto
econmicos como operacionales, no puede ser motivo para el deterioro de la
seguridad por falta de conocimiento de esta infraestructura.
Infraestructura como servicio $Iaa"%
0a idea !sica es la de e-ternalizacin de servidores para espacio en disco, !ase
de datos y/o tiempo de computacin, en lugar de tener un control completo de los
mismos con el datacenter dentro de la empresa u optar por un centro de datos y
slo administrarlo. *on una Infraestructura como servicio 'Iaas( lo que se tiene es
una solucin !asada en vitualizacin en la que se paga por consumo de recursos1
espacio en disco utilizado, tiempo de *P+, espacio en !ase de datos,
transferencia de datos. +n ejemplo de Iaas son los /e! services de &mazon.
Platforma como Servicio 'PaaS(
&unque suele identificarse como una evolucin de SaaS, es ms !ien un modelo
en el que se ofrece todo lo necesario para soportar el ciclo de vida completo de
construccin y puesta en marc"a de aplicaciones y servicios /e! completamente
disponi!les en la Internet. 2tra caracter$stica importante es que no "ay descarga
de soft/are que instalar en los equipos de los desarrolladores. PasS ofrece
m.tliples servicios, pero todos provisionados como una solucin integral en la
/e!. &unque algunos servicios de &mazon 3e! Services como Simple)4 y S5S
yo los considero PaaS, esta afirmacin puede ser discutida. 2tro ejemplo es
%oogle &pp Engine.