Cloud
Computing
Computing
La Nube
Por más que las Big Tech sean pioneras en ciberseguridad, los accidentes y ataques
continúan en subida. Los gobiernos intentan tomar medidas para aumentar el control sobre los datos de sus ciudadanos, y eso genera nuevos debates sobre la efectividad de sus políticas.
La seguridad y la localización de datos son dos puntos esenciales para visualizar tensiones y enfrentamientos en la nube.
continúan en subida. Los gobiernos intentan tomar medidas para aumentar el control sobre los datos de sus ciudadanos, y eso genera nuevos debates sobre la efectividad de sus políticas.
La seguridad y la localización de datos son dos puntos esenciales para visualizar tensiones y enfrentamientos en la nube.
02
COLUMNA
En la primera entrega sobre Cloud Computing se hizo foco en qué es y dónde está la nube, así como en varios de los beneficios que obtienen las empresas y gobiernos cuando hacen uso de ella. Hoy veremos que la nube también tiene sus tormentas.
¿Es segura la nube?
¿De qué manera influyen las normas de localización de datos sobre la competencia en Cloud Computing?
¿Es segura la nube?
¿De qué manera influyen las normas de localización de datos sobre la competencia en Cloud Computing?
Internet de las Cosas
Internet de las Cosas o Internet of things es un concepto que refiere a la conexión digital de los objetos cotidianos con Internet. Es una rama de la computación que busca desarrollar dispositivos que son "inteligentes", de cierto modo. Un ejemplo son las lamparitas que están conectadas a Internet y que puedes controlar con el celular.
Por Joaquín Maquieira Alonzo
Amenaza Roboto, 01.06.21
La Nube y la Seguridad
El pasado 6 de mayo un ciberataque en Estados Unidos provocó el desabastecimiento de gasoil en estaciones de servicio. Colonial Pipeline, la empresa que controla el gasoducto más importante de la Costa Este, se vio forzada a cortar el suministro de combustible para frenar un ataque de ransomware. Esto es el cifrado de datos y el pedido de dinero como rescate, bajo la amenaza de publicar esa información o borrarla definitivamente.
La empresa pagó 4.4 millones de dólares por el rescate, y tras una semana, su funcionamiento volvió a la normalidad.
¿Qué debemos sacar en limpio de este evento?
I. No es necesario alcanzar la tecnología que controla infraestructuras físicas para lograr inhabilitarlas. El ataque no provocó el cierre del gasoducto: fue la empresa la que decidió apagarlo por temor a que el ataque avanzara. Esto puede repetirse en todos los sectores: basta con lesionar un área de la compañía para afectar sus servicios principales.
II. Sucede algo similar con la respuesta de los clientes finales. El ataque no afectó seriamente la capacidad de suministro de gasoil en los estados del Este, pero el temor de la población a quedarse sin combustible provocó colas en las estaciones y el aumento de precios. Si la industria afectada fuera la financiera, el efecto sería una corrida bancaria.
III. El ataque a Colonial Pipeline reavivó los debates públicos sobre prohibir o no el pago a los criminales, y sobre exigir o no estándares obligatorios de ciberseguridad a las empresas que controlan infraestructuras críticas.
¿Qué tiene que ver esto con la nube? Colonial Pipeline, así como la mayoría de las grandes empresas locales y globales, no tiene todos sus datos guardados en servidores dentro de sus oficinas. Esta clase de empresas utilizan distintos servicios de nube pública y privada (híbrida) de distintos proveedores (multicloud). Como vimos en la columna anterior, esto genera beneficios y reducción de costos, pero también crea vulnerabilidades si no se toman las precauciones adecuadas. En el mundo de la nube, los clientes y proveedores comparten responsabilidades en ciberseguridad.
¿Es segura la nube? Jorge Litvin comienza su libro Hackeados con la siguiente frase: "Existen dos tipos de individuos: Los que fueron hackeados. Los que aún no se enteraron". Santiago Vallés, así como muchos otros expertos en ciberseguridad, afirma que la computadora más segura es la que está guardada con llave en una caja fuerte en el fondo del mar, pero es también la más inútil. Las amenazas y la elección entre eficiencia y seguridad son dos constantes del ciberespacio que hay que afrontar si migramos a la nube. Podemos aumentar la seguridad alojando nuestros servidores en una jaula privada dentro de un centro de datos, pero aun así la capacitación del personal IT involucrado va a jugar un rol fundamental. No hay tecnología mágica para la inmunidad digital. Las reglas (incluyendo los códigos) y las personas marcan el camino de la ciberseguridad.
Amenaza Roboto, 01.06.21
La Nube y la Seguridad
El pasado 6 de mayo un ciberataque en Estados Unidos provocó el desabastecimiento de gasoil en estaciones de servicio. Colonial Pipeline, la empresa que controla el gasoducto más importante de la Costa Este, se vio forzada a cortar el suministro de combustible para frenar un ataque de ransomware. Esto es el cifrado de datos y el pedido de dinero como rescate, bajo la amenaza de publicar esa información o borrarla definitivamente.
La empresa pagó 4.4 millones de dólares por el rescate, y tras una semana, su funcionamiento volvió a la normalidad.
¿Qué debemos sacar en limpio de este evento?
I. No es necesario alcanzar la tecnología que controla infraestructuras físicas para lograr inhabilitarlas. El ataque no provocó el cierre del gasoducto: fue la empresa la que decidió apagarlo por temor a que el ataque avanzara. Esto puede repetirse en todos los sectores: basta con lesionar un área de la compañía para afectar sus servicios principales.
II. Sucede algo similar con la respuesta de los clientes finales. El ataque no afectó seriamente la capacidad de suministro de gasoil en los estados del Este, pero el temor de la población a quedarse sin combustible provocó colas en las estaciones y el aumento de precios. Si la industria afectada fuera la financiera, el efecto sería una corrida bancaria.
III. El ataque a Colonial Pipeline reavivó los debates públicos sobre prohibir o no el pago a los criminales, y sobre exigir o no estándares obligatorios de ciberseguridad a las empresas que controlan infraestructuras críticas.
¿Qué tiene que ver esto con la nube? Colonial Pipeline, así como la mayoría de las grandes empresas locales y globales, no tiene todos sus datos guardados en servidores dentro de sus oficinas. Esta clase de empresas utilizan distintos servicios de nube pública y privada (híbrida) de distintos proveedores (multicloud). Como vimos en la columna anterior, esto genera beneficios y reducción de costos, pero también crea vulnerabilidades si no se toman las precauciones adecuadas. En el mundo de la nube, los clientes y proveedores comparten responsabilidades en ciberseguridad.
¿Es segura la nube? Jorge Litvin comienza su libro Hackeados con la siguiente frase: "Existen dos tipos de individuos: Los que fueron hackeados. Los que aún no se enteraron". Santiago Vallés, así como muchos otros expertos en ciberseguridad, afirma que la computadora más segura es la que está guardada con llave en una caja fuerte en el fondo del mar, pero es también la más inútil. Las amenazas y la elección entre eficiencia y seguridad son dos constantes del ciberespacio que hay que afrontar si migramos a la nube. Podemos aumentar la seguridad alojando nuestros servidores en una jaula privada dentro de un centro de datos, pero aun así la capacitación del personal IT involucrado va a jugar un rol fundamental. No hay tecnología mágica para la inmunidad digital. Las reglas (incluyendo los códigos) y las personas marcan el camino de la ciberseguridad.
(Colonial Pipeline)
Si nos preguntamos quiénes ofrecen servicios de seguridad y hacia dónde van dirigidos los ciberataques, la nube y los centros de datos son otra vez la respuesta. Con frecuencia recibimos información sobre la modalidad de los ciberataques (ransomwares, troyanos, gusanos, bots, etc.) pero su destino pasa relativamente desapercibido. Uno de los mayores ciberataques en EE.UU. lo recibió SolarWinds en 2020.
SolarWinds brinda herramientas para el manejo y monitoreo de tecnologías de la información. Es decir, lo que simplificamos como 'la nube' es tan complejo que requiere de herramientas para facilitar la organización de todos los programas que las empresas y gobiernos utilizan. Los ataques pueden dirigirse a cualquier aplicación que utilicemos; si uno de nuestros proveedores se ve comprometido, nos afecta a nosotros.
En el caso de SolarWinds, el virus permaneció desapercibido durante meses, habilitando el espionaje a sus más de 33 mil clientes, incluyendo el Pentágono, el Departamento de Seguridad Nacional estadounidense, Microsoft, Cisco e Intel. Esto nos dice que las organizaciones más avanzadas a nivel global tienen fallas de seguridad y, al mismo tiempo, que abandonar la nube no es la opción que estas eligen para protegerse.
¿Quiénes investigan las relaciones entre distintos actores para afrontar estos temas? La problemática es amplia y abarca los desarrollos institucionales a nivel nacional (pueden seguir a Marcela Pallero para ver los avances en Argentina), las coordinaciones a nivel internacional en la región (recomiendo Ciberseguridad desde el Sur Global, de Mónica Nieves), y esfuerzos a nivel global para crear normas (Louise Marie Hurel tiene varios textos que cruzan ciberseguridad y Gobernanza de Internet).
En esta columna me voy a referir a la localización de datos (data localization), ya que es una de las regulaciones que cobró vigor en los últimos años, principalmente en Asia, y cuya utilidad es actualmente debatida.
SolarWinds brinda herramientas para el manejo y monitoreo de tecnologías de la información. Es decir, lo que simplificamos como 'la nube' es tan complejo que requiere de herramientas para facilitar la organización de todos los programas que las empresas y gobiernos utilizan. Los ataques pueden dirigirse a cualquier aplicación que utilicemos; si uno de nuestros proveedores se ve comprometido, nos afecta a nosotros.
En el caso de SolarWinds, el virus permaneció desapercibido durante meses, habilitando el espionaje a sus más de 33 mil clientes, incluyendo el Pentágono, el Departamento de Seguridad Nacional estadounidense, Microsoft, Cisco e Intel. Esto nos dice que las organizaciones más avanzadas a nivel global tienen fallas de seguridad y, al mismo tiempo, que abandonar la nube no es la opción que estas eligen para protegerse.
¿Quiénes investigan las relaciones entre distintos actores para afrontar estos temas? La problemática es amplia y abarca los desarrollos institucionales a nivel nacional (pueden seguir a Marcela Pallero para ver los avances en Argentina), las coordinaciones a nivel internacional en la región (recomiendo Ciberseguridad desde el Sur Global, de Mónica Nieves), y esfuerzos a nivel global para crear normas (Louise Marie Hurel tiene varios textos que cruzan ciberseguridad y Gobernanza de Internet).
En esta columna me voy a referir a la localización de datos (data localization), ya que es una de las regulaciones que cobró vigor en los últimos años, principalmente en Asia, y cuya utilidad es actualmente debatida.
"En el mundo de la nube, los clientes y proveedores comparten responsabilidades en ciberseguridad"
La localización de datos
La localización de datos implica exigir a las empresas que almacenen dentro del territorio nacional ciertos datos considerados sensibles, como información de gobierno, del sistema financiero o de salud. No hay que ir hasta Asia para encontrar estas normas: en varios estados de Latinoamérica los datos financieros y de gobierno no pueden salir del país.
¿Por qué son relevantes este tipo de regulaciones para el desarrollo de Internet y de la computación en la nube? Porque son un paso hacia la llamada "soberanía del ciberespacio" que algunos Estados promueven, y porque son contrarias al desarrollo de Internet que hemos visto en las últimas décadas. Las regulaciones de data localization evaporan la nube; van en contra de la esencia de Internet. Pero dejar la seguridad de servicios y sistemas ofrecidos localmente por fuera de un marco normativo nacional también va en contra de la esencia de los Estados, sobre todo si se trata de servicios esenciales.
Con el avance de la nube, los servicios fundamentales para el funcionamiento de la economía pasan cada vez más a ser brindados a través de servidores ubicados en el extranjero. No es extraño presenciar un aumento en el interés de los gobiernos en regular el manejo de los datos de sus ciudadanos en manos de empresas multinacionales. El interés es legítimo, pero el debate sobre el contenido de las reglas está lejos de ser saldado, ya que la cercanía geográfica de los datos no necesariamente mejora su seguridad.
La localización de datos implica exigir a las empresas que almacenen dentro del territorio nacional ciertos datos considerados sensibles, como información de gobierno, del sistema financiero o de salud. No hay que ir hasta Asia para encontrar estas normas: en varios estados de Latinoamérica los datos financieros y de gobierno no pueden salir del país.
¿Por qué son relevantes este tipo de regulaciones para el desarrollo de Internet y de la computación en la nube? Porque son un paso hacia la llamada "soberanía del ciberespacio" que algunos Estados promueven, y porque son contrarias al desarrollo de Internet que hemos visto en las últimas décadas. Las regulaciones de data localization evaporan la nube; van en contra de la esencia de Internet. Pero dejar la seguridad de servicios y sistemas ofrecidos localmente por fuera de un marco normativo nacional también va en contra de la esencia de los Estados, sobre todo si se trata de servicios esenciales.
Con el avance de la nube, los servicios fundamentales para el funcionamiento de la economía pasan cada vez más a ser brindados a través de servidores ubicados en el extranjero. No es extraño presenciar un aumento en el interés de los gobiernos en regular el manejo de los datos de sus ciudadanos en manos de empresas multinacionales. El interés es legítimo, pero el debate sobre el contenido de las reglas está lejos de ser saldado, ya que la cercanía geográfica de los datos no necesariamente mejora su seguridad.
"La cercanía geográfica de los datos no necesariamente mejora su seguridad"
Brad Smith, presidente de Microsoft, sostiene que "así como los ferrocarriles, las centrales eléctricas, las carreteras y los aeropuertos ayudaron […] a avanzar hacia el futuro, los centros de datos de hoy se han convertido en la infraestructura de vanguardia del siglo XXI".
Ya conocemos la historia de estos sectores en las economías del Sur y del Norte: no sólo se debatió si las empresas dominantes tienen que ser monopolios u oligopolios, sino que también se han llegado a nacionalizar en varios Estados. A esto hay que sumarle que las empresas líderes en la nube brindan servicios de seguridad al resto de las infraestructuras críticas. Si tenemos en cuenta que desde 1648 vivimos en un mundo en el que la seguridad es responsabilidad absoluta de los Estados, la superposición de intereses se vuelve evidente.
Si la localización de datos prolifera afectará enormemente a la infraestructura de Internet y a las empresas de la computación en la nube. De todas formas, ser un hyperscaler (como AWS, Azure o Google Cloud) no implica necesariamente la oposición a esta regulación. Por ejemplo, Alibaba, la empresa más grande de Cloud Computing en China, apoyó la localización en India. ¿Por qué? Porque tiene dos centros de datos en ese país, y por lo tanto menos dificultades que sus competidores para cumplir con la normativa. De la misma manera, las empresas locales que compiten con las Big Tech que no poseen servidores en el país se ven beneficiadas por la localización de datos.
Algunos tratados internacionales, como el T-MEC en Norteamérica, prohíben expresamente las normas de localización de datos. La armonización de reglas entre los Estados es un camino para evitar normativas que pueden traer más daños que ventajas. Sin embargo, el avance del Internet de las Cosas (IoT) complejiza aún más la posición de empresas y gobiernos. Conectar fábricas, autos, heladeras y redes eléctricas a Internet genera al mismo tiempo mayores riesgos de seguridad para los recursos críticos, y mayores incentivos para alojar los datos cerca de los consumidores finales (Edge Computing).
Ya conocemos la historia de estos sectores en las economías del Sur y del Norte: no sólo se debatió si las empresas dominantes tienen que ser monopolios u oligopolios, sino que también se han llegado a nacionalizar en varios Estados. A esto hay que sumarle que las empresas líderes en la nube brindan servicios de seguridad al resto de las infraestructuras críticas. Si tenemos en cuenta que desde 1648 vivimos en un mundo en el que la seguridad es responsabilidad absoluta de los Estados, la superposición de intereses se vuelve evidente.
Si la localización de datos prolifera afectará enormemente a la infraestructura de Internet y a las empresas de la computación en la nube. De todas formas, ser un hyperscaler (como AWS, Azure o Google Cloud) no implica necesariamente la oposición a esta regulación. Por ejemplo, Alibaba, la empresa más grande de Cloud Computing en China, apoyó la localización en India. ¿Por qué? Porque tiene dos centros de datos en ese país, y por lo tanto menos dificultades que sus competidores para cumplir con la normativa. De la misma manera, las empresas locales que compiten con las Big Tech que no poseen servidores en el país se ven beneficiadas por la localización de datos.
Algunos tratados internacionales, como el T-MEC en Norteamérica, prohíben expresamente las normas de localización de datos. La armonización de reglas entre los Estados es un camino para evitar normativas que pueden traer más daños que ventajas. Sin embargo, el avance del Internet de las Cosas (IoT) complejiza aún más la posición de empresas y gobiernos. Conectar fábricas, autos, heladeras y redes eléctricas a Internet genera al mismo tiempo mayores riesgos de seguridad para los recursos críticos, y mayores incentivos para alojar los datos cerca de los consumidores finales (Edge Computing).
IoT y Edge Computing serán tema de otras columnas. La próxima se enfoca en el avance de China ante un mercado de la nube tradicionalmente dominado por EE.UU. La pandemia ha reafirmado el camino de China a destronar a EE.UU. como potencia global, pero su peso en el área tecnológica aún es relativamente menor. Apps como TikTok, el uso de Inteligencia Artificial para el reconocimiento facial, el crecimiento en e-commerce y fintech de Alibaba, y las antenas 5G de Huawei son algunos de los puntos fuertes de la potencia asiática.
No obstante, China está todavía muy detrás de los tres gigantes estadounidenses de la nube (AWS, Azure y Google Cloud). Para revertir esta situación, Huawei, Alibaba y Tencent aumentaron sus apuestas tanto a nivel global como en nuestra región. Estos esfuerzos de las dos potencias globales por controlar la nube y los centros de datos serán el tema de la tercera columna sobre Cloud Computing de Amenaza Roboto.
No obstante, China está todavía muy detrás de los tres gigantes estadounidenses de la nube (AWS, Azure y Google Cloud). Para revertir esta situación, Huawei, Alibaba y Tencent aumentaron sus apuestas tanto a nivel global como en nuestra región. Estos esfuerzos de las dos potencias globales por controlar la nube y los centros de datos serán el tema de la tercera columna sobre Cloud Computing de Amenaza Roboto.
Joaquín Maquieira Alonzo es Licenciado en Relaciones Internacionales por la Universidad de la República (Uruguay), Diplomado en Gobernanza de Internet por la Universidad de San Andrés, y Magistrando en Relaciones Internacionales por la FLACSO/Argentina. Actualmente es miembro del Grupo de Investigación 'Espacio de RRII e Interdisciplina', de la Comisión Sectorial de Investigación Científica (UdelaR). Cursó el Programa de Derecho y Tecnología de las Comunicaciones del Centro de Tecnología y Sociedad de la Universidad de San Andrés y participó de las VII Jornadas Académicas en Relaciones Internacionales de la Universidad de la República. Sus principales líneas de investigación se vinculan a la Gobernanza de Internet, la rivalidad entre Estados Unidos y China, y la infraestructura digital, con una perspectiva desde la Economía Política Internacional.
Contenidos Relacionados
Que comience el diálogo
¡Ponete en contacto con nosotros!