Una vez que una organización ya no necesita la dirección IP únicas, se la entrega a otro cliente del proveedor de servicios, quizás uno con intenciones maliciosas.
La gran idea
El hecho de que las organizaciones no administren adecuadamente los servidores que arriendan a los proveedores de servicios en la nube puede permitir que los atacantes reciban datos privados, según ha demostrado la investigación que realizamos mis colegas y yo.
La computación en la nube permite que las empresas alquilen servidores de la misma manera que arriendan espacio de oficina. Es más fácil para las empresas crear y mantener aplicaciones móviles y sitios web cuando no tienen que preocuparse por poseer y administrar servidores. Pero esta forma de hospedar servicios plantea problemas de seguridad.
Cada servidor en la nube tiene una dirección IP única que permite a los usuarios conectarse y enviar datos. Una vez que una organización ya no necesita esta dirección, se la entrega a otro cliente del proveedor de servicios, quizás uno con intenciones maliciosas. Las direcciones IP cambian de manos cada 30 minutos a medida que las organizaciones cambian los servicios que utilizan.
Cuando las organizaciones dejan de usar un servidor en la nube pero no eliminan las referencias a la dirección IP de sus sistemas, los usuarios pueden continuar enviando datos a esta dirección, pensando que están hablando con el servicio original. Debido a que confían en el servicio que utilizó anteriormente la dirección, los dispositivos de los usuarios envían automáticamente información confidencial, como la ubicación del GPS, los datos financieros y el historial de navegación.
Un atacante puede aprovechar esto “ocupando” la nube: reclamando direcciones IP para intentar recibir tráfico destinado a otras organizaciones. La rápida rotación de direcciones IP deja poco tiempo para identificar y corregir el problema antes de que los atacantes comiencen a recibir datos. Una vez que el atacante controla la dirección, puede continuar recibiendo datos hasta que la organización descubra y corrija el problema. Los servicios en la nube mal administrados son otra oportunidad para que los atacantes roben datos.
Nuestro estudio de una pequeña fracción de direcciones IP en la nube encontró miles de empresas que potencialmente estaban filtrando datos de usuarios, incluidos datos de aplicaciones móviles y rastreadores de publicidad. Inicialmente, estas aplicaciones tenían la intención de compartir datos personales con empresas y anunciantes, pero en su lugar filtraron datos a quien controlaba la dirección IP. Cualquiera con una cuenta en la nube podría recopilar los mismos datos de organizaciones vulnerables.
Por qué importa
Los usuarios de teléfonos inteligentes comparten datos personales con las empresas a través de las aplicaciones que instalan. En una encuesta reciente, los investigadores descubrieron que la mitad de los usuarios de teléfonos inteligentes se sentían cómodos compartiendo sus ubicaciones a través de aplicaciones para teléfonos inteligentes. Pero la información personal que los usuarios comparten a través de estas aplicaciones podría usarse para robar su identidad o dañar su reputación.
Los datos personales han experimentado una regulación cada vez mayor en los últimos años, y los usuarios pueden estar contentos de confiar en las empresas con las que interactúan para seguir esas regulaciones y respetar su privacidad. Pero es posible que estas regulaciones no protejan lo suficiente a los usuarios. Nuestra investigación muestra que incluso cuando las empresas tienen la intención de utilizar los datos de manera responsable, las malas prácticas de seguridad pueden dejar esos datos en el aire.
Los usuarios deben saber que cuando comparten sus datos privados o personales con empresas, también están expuestos a las prácticas de seguridad de esas empresas. Pueden tomar medidas para reducir esta exposición al reducir la cantidad de datos que comparten y con cuántas organizaciones los comparten.
¿Qué otras investigaciones se están haciendo en este campo?
Los académicos y la industria se están enfocando en la recopilación responsable de datos de los usuarios. Un impulso reciente de Google tiene como objetivo reducir la recopilación de datos personales de los usuarios mediante anuncios móviles, asegurando que su seguridad y privacidad estén protegidas.
Al mismo tiempo, los investigadores están trabajando para explicar mejor qué hacen las aplicaciones con los datos que recopilan. Este trabajo tiene como objetivo garantizar que los datos que los usuarios comparten con las aplicaciones se utilicen de la forma en que esperan, haciendo coincidir las solicitudes de permiso con el comportamiento real de las aplicaciones.
¿Qué sigue?
Estamos investigando nuevas tecnologías en teléfonos inteligentes y dispositivos para garantizar que protejan los datos de los usuarios. Por ejemplo, la investigación dirigida por un colega mío describe un enfoque para proteger los datos personales recopilados por cámaras inteligentes. Nuestro punto de vista sobre el tráfico en la nube pública también está permitiendo nuevos estudios de Internet en su conjunto. Continuamos trabajando con los proveedores de la nube para garantizar que los datos de los usuarios almacenados en la nube estén seguros y estamos introduciendo técnicas para evitar que las empresas y sus clientes sean víctimas de la nube.
