Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube.

Seguridad En La Nube
Lelio García, Juan Oviedo, Robinson Borrero.
Escuela de Ciencias Básicas Tecnología e Ingeniería, Universidad Nacional Abierta y a Distancia (UNAD)
Bogotá - Colombia
leliogamada@yahoo.es
juango.ot26@gmail.com
raborrero@hotmail.com
jaredsa@msn.com

Abstract— El presente documento implementa un modelo de Morilo, 2012); De esta manera cada uno de los procesos y recursos
seguridad para los servicios en la NUBE, mejor conocido como tecnológicos que anteriormente se desarrollaban de forma local en
Cloud Computing, que permite el desarrollo de herramientas de redes privadas, ahora se introducen como servicios virtuales, alojados
software y nuevos métodos de protección. En primer lugar, se de manera externa a la organización, generalmente utilizando redes
muestra el análisis de mecanismos, procesos y modelos utilizados públicas como Internet.
por los distintos proveedores de estos servicios para protección;
además se analiza los riesgos y amenazas presentes en el Cloud
Computing. En segundo lugar, a través de estudios documentales B. TIPOS DE NUBE
(“estado del arte”) sobre herramientas, Normas, Protocolos y
mecanismos de seguridad informática, se identifica los actuales
avances en desarrollo, propuestas y modelos avanzados de
seguridad en la Nube
1. Fig. Tipos de Nube

Existen básicamente 4 tipos de nubes públicas, privadas, hibridas y

I. INTRODUCCIÓN
comunitarias

En ingles Cloud Computing, es el término empleado parta

Publicas: se manejas por terceras partes, mediante la utilización de
designar a todos los recursos informáticos basados enteramente en
servidores, sistemas de almacenamiento y otras infraestructuras que
internet, estos recursos están disponibles en distintas modalidades a
se utilizan de forma compartida; los usuarios finales de la nube no
manera de servicios los cuales pueden ser accedidos desde cualquier
conocen qué trabajos de otros clientes pueden estar corriendo en el
terminal conectada a internet. En los últimos años el uso de Cloud
mismo servidor, red, sistemas de almacenamiento
Computing ha incrementado notablemente, gracias entre otras cosas a
sus características de precio, accesibilidad y recursos; sin embargo,
Privadas: se encuentran en una sola infraestructura en-demanda,
han surgido también a la par diversos tipos de incidentes de
manejada por un solo cliente, que controla que aplicaciones debe
seguridad, tanto accidentales como provocados, principalmente
correr y donde; Son propietarios del servidor, red, y disco y pueden
provocado por ser Internet una red de acceso público.
decidir qué usuarios están autorizados a utilizar la infraestructura

Hibridas: combinan los modelos de nubes públicas y privadas. El

II. DESARROLLO DE CONTENIDOS
usuario es propietario de unas partes y comparte otras; aunque de una
manera controlada. Las nubes híbridas ofrecen la promesa del
A. CONCEPTO
escalado, aprovisionada externamente, a demanda, pero añaden la
complejidad de determinar cómo distribuir las aplicaciones a través
Para Berruecos Pablo el termino Cloud computing representa la
de estos ambientes diferentes
manera cómo está evolucionando las tecnologías de la información
en el mundo, todo esto adquirido del modelo de tercerización de
Nube comunitaria. De acuerdo con Joyanes Aguilar, (Aguilar,
procesos, más conocido como outsourcing. (Pablo Berruecos, Sergio
2012) el Instituto Nacional de Estándares y tecnología (NITS por sus
Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube. 2

siglas en inglés) define este modelo como aquel que se organiza con PaaS (Platform as a Service)
la finalidad de servir a una función o propósito común (seguridad,
política…), y son administradas por las organizaciones constituyentes
o terceras partes.

C. MODELOS DE SERVICIOS EN LA NUBE

Existen tres conceptos sobre los que actualmente se afirma el

modelo de servicio en la nube o cloud computing: SaaS, PaaS e IaaS,
3. Fig. Esquema PaaS.
cada uno de ellos representa una estrategia distinta.

Consiste en un servicio que le permite al usuario Administrar,

alojar y desarrollar sus propias aplicaciones en una plataforma básica
SaaS (Software as a Service)
de sistemas, componentes o Apis pre configuradas y listas para
integrarse sobre una tecnología concreta (por ejemplo, un sistema
Linux, un servidor web, y un ambiente de programación como Perl o
Ruby)

IaaS (Infraestructures as a Service)

2. Fig. Esquema SaaS.

El Software como un Servicio proporciona acceso basado en red a
Software disponible comercialmente. Este es quizás uno de los
servicios más comunes de la nube y por lo tanto representa una parte
significativa del mercado, un ejemplo muy común para este tipo de
servicio es el servicio de correo electrónico. Gracias a este mucho 4. Fig. Esquema IaaS
usuario pueden utilizar aplicaciones con Gmail o Google Drive como
un servicio. También denominada hardware as a Service; en este modelo el
usuario estará contratando únicamente las infraestructuras
Una de las grandes ventajas de este tipo de servicios está en la tecnológicas (capacidad de procesamiento, de almacenamiento y/o de
actualización de aplicaciones, esto gracias a las complicaciones comunicaciones). es un medio de entregar almacenamiento básico y
logísticas al intentar que miles de clientes ejecuten la versión precisa capacidades de cómputo como servicios estandarizados en la red.
de su software al mismo tiempo, son inmensas. Sobre dicha IaaS alojará él sus aplicaciones y plataformas.

D. NORMAS DE SEGURIDAD

Para que una organización sea competitiva es necesario establecer

un sistema para la gestión de la seguridad de la información, que
suministre lineamientos claros de seguridad y permita realizar una
Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube. 3

evaluación de los riesgos posibles a los que esté expuesta la La certificación ISO 27000 es considerada en la actualidad una
información minimizando el riesgo. obligación de cualquier organización que desee exigir niveles
concretos y adecuados de seguridad informática. (Agustín, 2005)
En este sentido existen estándares diseñados para la protección de
la información como son ISO/IEC, encargados de proporcionan un
marco de la gestión de la seguridad de la información utilizable para
E. SEGURIDAD POR PARTE DEL PROVEEDOR
cualquier tipo de organización, privada o pública, pequeña o grande.

Las normas ISO son un código de buenas prácticas para la Gestión

de la Seguridad de la Información, estas surgen como evolución
histórica de la norma británica BS 7799; actualmente existen varias
adaptaciones de las cuales, las más acogidas por la mayoría de las
organizaciones colombianas son las normas de la serie ISO 27000.

La ISO define áreas o dominios de control mediante las cuales

establece una serie de pautas, análisis de riesgos, políticas de
seguridad y controles obligatorios para toda organización que procure 6. Fig. Seguridad IPS.

implementar un modelo de seguridad adecuado. IPS: (Instrusion Prevention System) o sistema de prevención de
intrusos. Establece politiza de seguridad para evitar el ataque al
El siguiente diagrama expone las áreas involucradas en la norma sistema usando como parámetros de detección:

- Detección Basada en Firmas.

- Detección Basada en Políticas.
- Detección Basada en Anomalías.
- Detección Estadística de Anormalidades.
- Detección no Estadística de Anormalidades.
- Honey Pot.

5. Fig. Áreas Involucradas en la Norma ISO

Todas las áreas involucradas de acuerdo a la política de seguridad

definida por la organización deben incluir una profunda
documentación de procedimientos y además reflejas las expectativas
en materia de seguridad.

De esta manera uno de los propósitos fundamentales del estándar

7. Fig. Seguridad IDS.
ISO 27000 es exigir niveles concretos y adecuados de seguridad
informática, en cada una de sus áreas, suministrar niveles óptimos IDS: A diferencia del IPS y como complemento de éste, un IDS

para las organizaciones que exponen sus Infraestructuras de (Intrusion Detection System) o sistema de detección de intrusos sirve

información u ofrecen servicios como lo son el Cloud computing y para detectar ataques y accesos no autorizados. Existen dos clases de

aminorar las posibles brechas de seguridad informática, que puedan IDS:

llevar a cualquier tipo de riesgo

- HIDS (HostIDS)
- NIDS (NetworkIDS)
Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube.
Asimismo, los IDS pueden ser sistemas pasivos -anotan la
incidencia y envían una alerta- o reactivos -ante una incidencia, se
aplican reglas de seguridad determinadas, como bloqueos en el
cortafuegos- y pueden implementarse tanto con hardware, software o
en combinación.
8. Fig. Sguridad ContaFuegos y WAF.
Cortafuegos y WAF: El cortafuegos es en este caso un conjunto de
dispositivos que permite gestionar las conexiones entrantes y
salientes mediante la aplicación de reglas concretas de bloqueo o
autorización, así como cifrar y descifrar el tráfico. Como herramienta
complementaria al cortafuegos está el WAF (Web Application
Firewall), un dispositivo físico que analiza el tráfico entre el servidor
y la red WAN (red de área amplia) con el fin de proteger frente a
diversos ataques. Su funcionamiento está diseñado conforme a dos
modelos.
F. AMENAZAS Y VULNERABILIDAD EN LA NUBE
9. Fig. Amenazas y Vulnerabilidades en la Nube.
De acuerdo al estudio realizado por Sensepost sobre los factores
de riesgo detectados en la nube, se indicaron varios ejemplos que dan
como constante, unos comportamientos y prácticas que se están
tipificando en la implementación y utilización de la computación en
4
la nube.
Como resultado se consolidaron esto factores como los más
preocupantes:
1-Consolidar toda la información en un mismo sitio
Como ejemplo observamos que la compañía de servicios
almacenaje MediaMax, salió del mercado luego de que un error del
sistema eliminó toda la información de los clientes.
Como recomendación antes de implementar un servicio en la
nube, los usuarios y compañías deben clasificar la información a
administrar e implementar un sistema de back alternativo.
2-Exceso de confianza
El caso de Amazon Web Services es emblemático y los de
Sensepost lo analizaron con detenimiento. El proceso de utilización
del servicio implica iniciar una nueva instancia dentro de la EC2 de
Amazon (Elastic Compute Cloud) y crear una AMI (Amazon
Machine Image) que contenga tus aplicaciones, librerías, información
y datos. Como una alternativa puedes utilizar una imagen pre-
configurada para estar listo para utilizar el servicio en un dos por tres.
Solo que hay un problema con eso. Mientras que Amazon nos ha
provisto con 47 imágenes de máquina (si se vale la traducción literal),
cuando los 2721 restantes fueron construidas por usuarios. ¿Cuántas
de esas creen que fueron construidas de forma segura? El contenido
generado por usuarios puede ser descrito en una sola palabra:
RIESGOSO.
Lo normal es que las personas utilicen máquinas y protocolos
creados por alguien más, porque servicios como el de Amazon
demuestran que muchas de las imágenes (o demás instancias en otros
servicios, pero igualmente creados por usuarios) dejan muchas
puertas traseras para la fuga de información.
3-Manejo de contraseñas
Toda cuenta de todo usuario es tan solo tan segura como la
contraseña que le concede a ella.
La compañía SplashData, empresa experta en seguridad, presenta
cada año un listado de contraseña más comunes en el mundo, para
esto recopilo 3.3 millones de contraseñas filtradas durante el año
2014, encontrando los dos primeros lugares “123456” y “password”,
estas siguen siendo las más comunes desde el año 2011.
La diferencia entre una red corporativa y una cuenta en línea es
que, en un ecosistema de negocios, los administradores pueden crear
políticas para la creación de contraseñas que los obliguen a mantener
Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube.
ciertos niveles de complejidad y pueden obligarlos a crear nuevas
contraseñas periódicamente. No obstante, en la nube, tenemos la
libertad de establecer lo que sea como contraseña y no volver a
cambiarlos nunca más.
4. Encripción de Datos En la Nube
Aunque el este proceso ha avanzado, en los últimos 5 años muchas
empresas y personas desconocen este procedimiento, por que para
muchos clientes es complejo, también por que se utiliza computación
virtual, que su por su naturaleza en más sencillo de descifrar por los
hackers.
5. Uso Adecuado de los servicios en la nube
Esta tecnología, ha abierto, un sinnúmero de posibilidades
ampliando los escenarios de trabajo y acceso de la información, como
activo valioso, esta debe ser administrada y resguardada en primera
instancia como el cliente, y no dar toda la autonomía a las empresas
generadoras de servicio.
G. CONCLUSIONES
Este año muchas empresas están evaluando migrar su información
a pesar de que no todos lo realizan, está demostrando que al menos
dentro de temas empresariales esta como un tema critico el manejo de
su información y posible migración dentro del otro año.
Los servicios de la nube están siendo considerados el mayor
escenario en tendencia de seguridad manejo de la información.
Los ahorros por temas de licenciamientos, backups, recursos han
permitido que empresas pequeñas y pymes migren a este entorno de
una forma segura y directa a la nube con facilidad.
Contar con un aliado o líder del mercado del mercado permitirá
trasmitir credibilidad y seguridad en el escenario de la empresa con
su nube segura.
La creación de un modelo de seguridad de información, políticas
de manejo y control son el éxito de la administración sobre el
dominio en una información segura.
El acceso desde cualquier sitio y desde cualquier dispositivo
administrado con seguridad y control es el éxito de los servicios de la
5
nube comprender y entender que debe regirse por un gobierno que da
seguridad a la información demostrara que la seguridad viene desde
los usuarios y su conocimiento sobre las protecciones del sistema.
Debe considerarse el escenario de migración, es decir a qué tipo de
nube se debe migrar para definir el tipo de servicios que se debe
adquirir.
Se debe migrar la información cifrada en la medida de lo posible
para garantizar la integridad de la misma.
Debe reforzarse la capacitación al usuario, en el manejo y la
gestión de cambio; inducción, concientización y responsabilidad
podrá llegar a comprender que la responsabilidad de la seguridad es
compartida y que el usuario es la primera barrera de protección.
H. RECOMENDACIONES
Para estos escenarios de nube las empresas ya están considerando
planes de contingencia: Enlaces, balanceadores, etc para evitar fallas
de servicio.
Debe considerar el manejo de encriptación de la información para
garantizar una mayor seguridad de la información
El hecho de establecer un modelo de seguridad de información y
migrar la información hacia la nube no garantiza que sea el escenario
más seguro, debe in acompañado de auditoria y validación de las
rutinas de manejo de la información, el cliente no puede descargar
esta responsabilidad con el proveedor, ya que como cliente tiene
derecho a exigir cálida y control por los servicios prestados.
Se debe ir a la vanguardia de los cambios de seguridad y manejo
de la información esto evita encontrar fallas o posibles
vulnerabilidades por omisión.
Es importante realizar escenarios de ethical hacking para evaluar
las posibles vulnerabilidades y fallas que podrían presentarse, y ser
preventivos en estas situaciones, más que correctivos para temas del
manejo del a información.
Universidad Nacional Abierta y a Distancia. García, Oviedo, Borrero, Seguridad en la Nube. 6

I. REFERENCIAS

 Berruecos P. (2012). Al fin de cuentas ¿Qué es el Cloud

Computing?. Recuperado de
http://www.onedigital.mx/ww3/2012/01/11/al-fin-decuentas-que-
es-cloud-computing/

 Joyanes L. (2012). Computación en la Nube: Notas Para Una

Estrategia Española en Cloud Computing.

 Enisa.europa.eu. (2009). Beneficios, Riesgos y Recomendaciones

para la seguridad de la información. Recuperado de
https://www.enisa.europa.eu/topics/threat-risk-management/risk-
management/files/deliverables/cloud-computing-risk-assessment-
spanish

 Agustín, N. Ruiz, J. (1 de octubre del 2005). El Portal de ISO

27001 en Español. Recuperado el 31 de Marzo del 2012, de
http://iso27000.es

 Pomeyrol J. (26 de marzo del 2014). Seguridad En La Nube, La

Gran Prioridad. Recuperado de
http://muyseguridad.net/2014/03/26/seguridad-en-la-nube/

 Chacón J., Erazo R., España G., Montoya J. Portillo K. (4 de

octubre de 2008). Estándar Internacional ISO/IEC 27002.
Recuperado de
http://www.monografias.com/trabajos67/estandar-
internacional/estandar-internacional2.shtml

 Cristián D. (12 de septiembre de 2006). ISO 17799. La Seguridad

Informática no es un Producto Sino un Proceso. Recuperado de
http://www.monografias.com/trabajos42/iso-informatica/iso-
informatica2.shtml

 Barrueto L. (8 de septiembre de 2009). Las amenazas de Seguridad

en la Nube (Cloud Computing). Recuperado de
http://www.maestrosdelweb.com/amenazas-seguridad-en-la-nube-
cloud-computing/

 Tecnoesfera. (19 de enero de 2016). Ojo, por su Seguridad, no use

de estas Contraseñas. Recuperado de
http://www.eltiempo.com/tecnosfera/resenas-tecnologia/las-
contrasenas-mas-inseguras/16485430

 Rios J. (Consultado 2016). Seguridad Informática.

Recuperado de
http://www.monografias.com/trabajos82/la-seguridad-
informatica/la-seguridad-informatica.shtml