Por allá por el 2006, cuando se creó Amazon S3 (Simple Storage Service), se generó un cambio indiscutible en el mercado de TI: surgió una forma súper simple de alojar y acceder a objetos corporativos en internet. Luego de 13 años, el servicio se utiliza de forma masiva, desde pequeñas empresas a gigantes como Apple y Dropbox.
Es por eso que los beneficios de “capacidades de seguridad, conformidad y auditoría sin parangón” son destacados en el sitio del servicio ya desde el inicio. Por protección, todos los datos deben estar en repositorios seguros y, cuando son sensibles, deben recibir el monitoreo adecuado y ser criptográficos. Los recursos de protección están disponibles sólo que, por desgracia, todavía no se creó una tecnología capaz de evitar los errores humanos y las fallas de configuración.
En junio de este año, investigadores encontraron un bucket de 1 TB de archivos que afectan a Netflix, Ford y TD-Bank (compuesto principalmente por backups de e-mails). El lugar pertenecía a la empresa de gestión de datos Attunity. Sin embargo, en una época que se debe cumplir con la GDPR y la ley de protección de datos local, ¿la responsabilidad por este tipo de problema es únicamente del socio de negocios? ¿Cómo se debe actuar en estos tiempos?
Amazon S3 y buckets de almacenamiento: el quid de la cuestión
A pesar de ser el más popular, Amazon S3 no es el único servicio de buckets que podemos encontrar: Microsoft Azure y Google Cloud Storage también cuentan con las mismas funcionalidades. Todos ellos son ampliamente utilizados por una razón muy simple: ninguna empresa quiere tener oficinas llenas de computadoras sólo para almacenar datos como se hacía antiguamente. Además, estos sistemas son de bajo costo, de gran escalabilidad y garantizan una disponibilidad altísima.
Para entender cuán simple es el servicio, sólo es necesario ver cómo queda la página de un bucket en formato XML, que sirve de “árbol” para los links de archivos:
Este es un bucket público, encontrado por Axur, con imágenes de firmas, documentos, carpetas de Marketing y otras informaciones de una empresa, y hasta menciones a otras empresas y marcas.
Esta, por supuesto, es sólo una pequeña prueba de lo que se almacena por ahí. En estos lugares también se confían otros tipos de datos que, a pesar de ser aparentemente menos relevantes y no representar “filtraciones de informaciones”, pueden brindar informaciones valiosas sobre el ambiente interno de una empresa si se combinan con otros datos.
En las manos equivocada, estos archivos pueden provocar enormes daños. En su configuración estándar, los buckets S3 son encausados para que sean cerrados, pero muchos se vuelven públicos por dos principales razones: (1) descuido y falta de atención; o (2) la creencia de que jamás se encontrará la URL.
Filtraciones provocadas por proveedores tercerizados
Si tiene una empresa y está leyendo este artículo, con toda seguridad debe pensar que precisa confirmar que sus datos (o incluso sus buckets) se encuentren protegidos de manera correcta.
Casos como los de Attunity y el ejemplo indicado más arriba muestran que aunque nuestro ambiente se encuentre protegido, es común que empresas tercerizadas manipulen nuestros datos o tengan acceso a nuestras informaciones. Por ello, es necesario aumentar la superficie de detección para identificar posibles exposiciones de datos más allá de los servicios que nosotros controlamos.
Un total del 70% de las pequeñas y medianas empresas no tienen cabal conocimiento de las aplicaciones de terceros que utilizan, o de cómo y dónde están almacenadas sus informaciones. Y por lo menos un 55% correlacionan las causas de filtración de sus datos al descuido generado por proveedores y terceros.
Con la GDPR, y la avalancha de normativas (nacionales e internacionales) sobre protección de datos que ya llegaron y aún están por llegar, incluso quien se descuida por confiar en un socio de negocios equivocado puede recibir multas millonarias por parte del gobierno.
Como resolver buckets abiertos
Es posible solicitar a Amazon la eliminación de buckets que expongan informaciones de su empresa. Pero antes de tomar cualquier medida, debe ser cauteloso: los buckets de terceros pueden contener archivos importantes para el funcionamiento de un producto o servicio que puede verse comprometido si lo saca del aire. Finalmente, seguro algún motivo había para que los utilizara en una primera instancia...
Entonces, es importante que antes que nada intente contactar al responsable del bucket para que cierre el lugar sin causar más daños. Cuando hablamos de empresas, el compliance y la gestión de riesgos son temas serios, y sus principales soportes deben ser la evaluación y el monitoreo constantes.
En un mundo cada vez más digital, es importante ser consciente y controlar lo que ocurre con sus datos. Como muchos buckets son abiertos pero no indexados (accesibles únicamente a través de la URL, sin link), pueden resultar esenciales algunas herramientas sólidas de monitoreo.
Los productos de Axur pueden ayudarlo a la hora de monitorear todo aquello que sucede fuera del perímetro de su empresa (como es el caso de los buckets: los suyos y los de terceros). Conozca el monitoreo de Threat Intelligence de Axur y entienda cómo esta solución puede ayudarlo con los buckets.
Especialista invitada_
Luísa Rosa
Formada en Information Systems y Operations Management en la Universidad de Utah, Luísa es analista del equipo de Threat Intelligence de Axur por lo que detecta, analiza y combate amenazas digitales en la deep y dark web.
Periodista y Content Creator de Axur, responsable por el Deep Space y actividades de prensa. Por aquí, también ya he analizado muchos datos y estafas como miembro del equipo de Brand Protection. Resumen: trabajar con tecnología, información y conocimiento en conjunto es uno de mis más grandes amores!