Esta amenaza afecta principalmente a los modelos de servicio IaaS y PaaS y se
relaciona con un registro de acceso a estas infraestructuras/plataformas poco restrictivo. Es decir, cualquiera con una tarjeta de crdito vlida puede acceder al servicio, con la consecuente proliferacin de spammers, creadores de cdigo malicioso y otros criminales que utilizan la nu!e como centro de operaciones. Ejemplos: IaaS que "an al!ergado en Zeus Botnet. Botnets que "an alojado sus centros de control en infraestructuras cloud. #angos completos de direcciones de infraestructuras cloud !loqueadas por env$o de correo !asura. Interfaces y API poco seguras %eneralmente los proveedores de servicios en la nu!e ofrecen una serie de interfaces y &PI 'del ingls, &pplication Programming Interface( para controlar e interactuar con los recursos. )e este modo, toda la organizacin, el control, la provisin y la monitorizacin de los servicios cloud se realiza a travs de estos &PI o interfaces. Amenaza interna *omo en todos los sistemas de informacin, la amenaza que suponen los propios usuarios es una de las ms importantes, dado que tienen acceso de forma natural a los datos y aplicaciones de la empresa. En un entorno cloud esto no es en a!soluto diferente ya que se pueden desencadenar igualmente incidentes de seguridad provocados por empleados descontentos y accidentes por error o desconocimiento. Problemas derivados de las tecnologas compartidas Esta amenaza afecta a los modelos IaaS, ya que en un modelo de Infraestructura como Servicio los componentes f$sicos '*P+, %P+, etc.( no fueron dise,ados espec$ficamente para una arquitectura de aplicaciones compartidas. Se "an dado casos en los que los "ipervisores de virtualizacin pod$an acceder a los recursos f$sicos del anfitrin provocando, de esta forma, incidentes de seguridad. Prdida o fuga de informaci!n E-isten muc"as formas en las que los datos se pueden ver comprometidos. Por ejemplo, el !orrado o modificacin de datos sin tener una copia de seguridad de los originales, supone una prdida de datos. En la nu!e, aumenta el riesgo de que los datos se vean comprometidos ya que el n.mero de interacciones entre ellos se multiplica de!ido a la propia arquitectura de la misma. Esto deriva en prdida de imagen de la compa,$a, da,os econmicos y, si se trata de fugas, pro!lemas legales, infracciones de normas, etc. "ecuestro de sesi!n o servicio En un entorno en la nu!e, si un atacante o!tiene las credenciales de un usuario del entorno puede acceder a actividades y transacciones, manipular datos, devolver informacin falsificada o redirigir a los clientes a sitios maliciosos. #iesgos por desconocimiento +no de los pilares de las infraestructuras cloud es reducir la cantidad de soft/are y "ard/are que tienen que adquirir y mantener las compa,$as, para as$ poder centrarse en el negocio. Esto, si !ien repercute en a"orros de costes tanto econmicos como operacionales, no puede ser motivo para el deterioro de la seguridad por falta de conocimiento de esta infraestructura. Infraestructura como servicio $Iaa"% 0a idea !sica es la de e-ternalizacin de servidores para espacio en disco, !ase de datos y/o tiempo de computacin, en lugar de tener un control completo de los mismos con el datacenter dentro de la empresa u optar por un centro de datos y slo administrarlo. *on una Infraestructura como servicio 'Iaas( lo que se tiene es una solucin !asada en vitualizacin en la que se paga por consumo de recursos1 espacio en disco utilizado, tiempo de *P+, espacio en !ase de datos, transferencia de datos. +n ejemplo de Iaas son los /e! services de &mazon. Platforma como Servicio 'PaaS( &unque suele identificarse como una evolucin de SaaS, es ms !ien un modelo en el que se ofrece todo lo necesario para soportar el ciclo de vida completo de construccin y puesta en marc"a de aplicaciones y servicios /e! completamente disponi!les en la Internet. 2tra caracter$stica importante es que no "ay descarga de soft/are que instalar en los equipos de los desarrolladores. PasS ofrece m.tliples servicios, pero todos provisionados como una solucin integral en la /e!. &unque algunos servicios de &mazon 3e! Services como Simple)4 y S5S yo los considero PaaS, esta afirmacin puede ser discutida. 2tro ejemplo es %oogle &pp Engine.