Los servicios cloud de “conocimiento cero” funcionan normalmente almacenando los datos de los clientes de forma cifrada y dando solo a los clientes las claves para descifrarlo, en lugar de que el suministrador tenga acceso a las claves. Pero los investigadores han descubierto que si los datos están compartidos en un servicio cloud, esas claves podrías ser vulnerables a un ataque que permitiría a los suministradores tener acceso a los datos de los clientes si quisieran.
El estudio arroja dudas sobre estas nubes de “conocimiento cero” y refuerza los consejos de los expertos de que los usuarios deberían conocer en detalle cómo administran los suministradores sus datos. Los suministradores cloud de “conocimiento cero” analizados por los investigadores, en este caso Spider Oak, Wuala y Tresorit, utilizan normalmente un método donde los datos son cifrados cuando se almacenan en la nube y son descifrados sólo cuando el usuario los descarga de nuevo de la nube. El modelo es seguro. Pero, los investigadores alertan de que si los datos están compartidos en la nube, lo que significa que son enviados por el servicio en la nube sin que el usuario los baje a su sistema, los suministradores tienen la oportunidad de verlos.
“Siempre que los datos estén compartidos con otro beneficiario en el servicio de almacenamiento en la nube, los suministradores pueden tener acceso a los archivos de los clientes y otros datos”, ha afirmado el autor del informe, Duane Wilson, estudiante de doctorado en el Instituto de Seguridad de la Información en el Departamento de Informática de la Universidad Johns Hopkins.
Es normal para estos suministradores tener un servicio intermediario que verifica a los usuarios antes de proporcionar las claves para cifrar los datos. Los investigadores han descubierto que los suministradores a veces proporcionan su propia verificación. Esto representa una oportunidad para los suministradores de potencialmente ofrecer credenciales falsas que descifrarían los datos y permitiría a los suministradores ver la información. Es similar al tradicional ataque de seguridad del “hombre intermediario”.
Los investigadores han afirmado que no encontraron evidencia de datos de clientes que fueran comprometidos, ni han identificado ningún comportamiento sospechoso de los suministradores, pero los investigadores afirman que podría ser una vulnerabilidad. “Aunque no tenemos ninguna evidencia de que ningún suministradores de almacenamiento seguro en la nube esté accediendo a la información privada de sus clientes, queremos que se sepa que esto podría ocurrir fácilmente”, ha expresado Giuseppe Ateniese, profesor asociado que ha supervisado la investigación. “Es como descubrir que los vecinos han dejado la puerta sin echar la llave. Quizá nadie haya robado nada todavía, pero ¿no creen que les gustaría saber que es muy fácil que puedan entrar los ladrones?
Representantes de Spider Oak, uno de los suministradores mencionados en el informe, afirman que están de acuerdo con algunos aspectos del estudio. Spider Oak anima a los clientes a que utilicen una aplicación para transferir los archivos en vez de usar el portal web de la compañía. La utilización de la aplicación de Spider Oak asegura la verificación de los usuarios finales para el desencriptado de los datos, eliminando la oportunidad de que el suministrador pueda comprometer los datos. Al firmar el servicio de Spider Oak, se requiere a los usuarios que marquen una casilla indicando que comprenden que para conseguir un “conocimiento cero” completo, deben utilizar la aplicación indicada.
Spider Oak dice que espera permitir servicios colaborativos en su plataforma cloud, lo que significa que los datos serían transferidos dentro de su nube. Para permitir esta funcionalidad Spider Oak menciona que piensa utilizar una combinación de identificaciones seguras RSA junto con una clave y una plataforma de cifrado. También espera ofrecer a sus usuarios una forma de verificar de forma segura la identidad de cualquiera que esté viendo sus archivos. Algunos suministradores, como el suministrador de comunicaciones cifradas Silent Circle, utiliza una herramienta de reconocimiento de voz para ofrecer esta funcionalidad, y Spider Oak dice que están investigando formas similares “elegantes” de verificar que los datos son compartidos únicamente con personas aprobadas por el propietario.
– Brandon Butler, Network World (US)
