Pasar al contenido principal

Detectan 2 vulnerabilidades críticas en Azure: por qué la ciberseguridad sigue siendo uno de los grandes desafíos para el 'cloud computing'

Satya Nadella, CEO de Microsoft.
Satya Nadella, CEO de Microsoft. REUTERS/Lucas Jackson

  • Azure, la oferta de soluciones en la nube de Microsoft, tuvo al menos dos vulnerabilidades críticas descubiertas por Check Point.
  • Los entornos cloud siguen siendo uno de los principales desafíos para el sector de la ciberseguridad y para la implantación de estas tecnologías.
  • La compañía de Seattle ya corrigió estas dos brechas en actualizaciones de octubre y noviembre del año pasado.
  • Hace meses, el Pentágono estadounidense adjudicó a Microsoft el contrato JEDI valorado en 10.000 millones de dólares.
  • Descubre más historias en Business Insider España.

Azure, la solución de servicios en la nube de Microsoft, tuvo al menos dos vulnerabilidades críticas. Así lo han descubierto investigadores de Check Point, una firma especializada en ciberseguridad. La propia compañía fue la responsable de trasladarle estos agujeros a la multinacional de Seattle, y ahora ha trascendido la naturaleza de los mismos una vez que ya han sido corregidos.

Lo ha confirmado la propia compañía en el blog de su equipo de investigación. Las dos vulnerabilidades abrían la posibilidad a que un usuario de Azure tomase el control de todo el servidor, lo que arrojaba una vía "para poder robar y manipular códigos de negocio".

Leer más: Microsoft supera con holgura las expectativas de Wall Street impulsada por su negocio en la nube

A pesar de ser parte del presente y futuro inmediato de las grandes compañías, el confiar en un servicio en la nube implica que la información de las empresas ha de recorrer diversos canales. Eso implica, de facto, que se multipliquen las posibilidades de que existan brechas como las que ha descubierto Check Point.

Su equipo de investigadores detalla que estas vulnerabilidades comienzan en Azure Stack, un pack de soluciones on-premise de Microsoft. Traducido: permite a las empresas adquirir los rendimientos y las capacidades de un servicio cloud pero instalando toda la infraestructura en sus propios centros de datos. Una suerte de nube 'híbrida' con la que Microsoft pretende ayudar a las compañías adaptarse paulatinamente a esta nueva tecnología.

Leer más: Los hackers se han vuelto tan sofisticados que solo en la última década han robado casi 4.000 millones de datos: estos son los hackeos más graves de los últimos 10 años

La brecha en Azure Stack permitía a los hackers que accediesen al portal de la plataforma obtener capturas de pantalla con datos sensibles de las empresas.

Por otro lado, la otra vulnerabilidad estaba en la aplicación de Azure. Los atacantes podían tomar el control del servidor y comprometer datos y cuentas de clientes. ¿Cómo? Creando un usuario gratuito en Azure Cloud y ejecutando con él aplicaciones y funciones maliciosas.

Ambos agujeros fueron subsanados por Microsoft entre octubre y noviembre del año pasado, como revelan las notas de un parche de seguridad.

El desafío de la ciberseguridad en los servicios en la nube

Servidores en mantenimiento.
Getty/EvgeniyShkolenko

Las tecnologías en la nube siguen siendo poco conocidas para la mayoría de los usuarios.

Leer más: Satya Nadella es el "empresario del año" según Fortune: cómo su estilo de liderazgo ha catapultado a Microsoft hasta el billón de dólares y qué puedes aprender de ello

Un ejemplo claro y reciente de su potencial económico es el lucrativo contrato JEDI con el que el Pentágono estadounidense buscaba un proveedor para sus servicios cloud. Al final fue Microsoft la que se llevó el gato al agua: una licitación valorada en más de 10.000 millones de dólares. Lo hizo después de varias polémicas y acusaciones entre la división cloud de Amazon y la administración Trump.

No es la primera vez que se conocen brechas de seguridad en entornos cloud. Quizá el más sonado sigue siendo el que protagonizó Uber, cuando en 2017 reveló que había sufrido un ataque que había comprometido los datos de millones de usuarios. El ataque lo recibieron un año antes —tardaron 12 meses en reconocerlo—, fruto de no cifrar los datos de sus clientes en los servidores de Amazon Web Services.

Leer más: Estos son los cinco grandes detalles en los que tienes que fijarte para elegir un buen proveedor cloud

Eso sí: la responsabilidad de la brecha no fue en aquel caso responsabilidad de Amazon, sino de la firma de vehículos con conductor. Según The Register, el problema es que la contraseña estaba en un repositorio privado de GitHub que se vio comprometido.

En 2017, el mismo año, también se cayó la mitad de internet. Navegar costaba, las páginas cargaban muy lentas o con fallos. Pronto se descubrió que se debió a un error ortotipográfico de un empleado autorizado de Amazon Web Services, que al introducir un comando para depurar los servidores, acabó eliminando varios datos esenciales.

Evidencias como estas apuntan al peligro de los monopolios en el sector del cloud, como ya avanzaba el diario El País hace años con datos sobre la primera mitad de la década pasada.

Y además