Con la computación en nube no tenemos que preocuparnos por poseer equipos físicos para alojar datos y ejecutar software. Sin embargo, un estudio realizado por investigadores de la empresa de seguridad informática RSA sugiere que esto podría ser un costoso error.

Varios investigadores han demostrado la posibilidad de que un programa hospedado por un proveedor de computación en nube robe secretos de software alojado en la misma nube. En su experimento, ejecutaron software malicioso en un tipo de hardware diseñado para imitar el equipo utilizado por compañías con servicios en nube como Amazon. Fueron capaces de entrar en el software perteneciente a otro usuario y robar una clave de cifrado utilizada para proteger correos electrónicos.

Una nube oscura: Un grupo de investigadores ha probado un nuevo ataque que sugiere que quizá nos lo debamos pensar dos veces antes de almacenar material sensible en la nube.

El ataque del que han hecho una demostración es tan complejo que es poco probable que se convierta en una amenaza para los clientes de cualquier plataforma en nube hoy día, pero el experimento responde una pregunta planteada desde hace tiempo: ¿es posible este tipo de ataques? La prueba sugiere que algunos datos de gran valor no se deberían confiar a la nube en absoluto, señala Ari Juels, científico jefe en RSA y director de los laboratorios de investigación de la compañía. "La lección básica es que si tenemos una carga de trabajo muy delicada, no debemos ejecutarla junto a un vecino desconocido y potencialmente poco fiable", indica Juels.

Uno de los motivos del rápido crecimiento de la computación en nube es que las empresas pueden ahorrar dinero mediante la utilización de grandes 'almacenes' de ordenadores para llevar a cabo trabajos que previamente se realizaban a menor escala y a nivel interno. El trabajo de RSA podría hacer reflexionar a aquellas empresas y departamentos gubernamentales que estén contemplando mudar una parte mayor de sus sistemas a la nube. Juels desarrolló el ataque en colaboración con investigadores de la Universidad de Carolina del Norte en Chapel Hill y la Universidad de Wisconsin, ambas en Estados Unidos.

El nuevo ataque socava uno de los supuestos básicos que sustentan la computación en nube: que los datos de un cliente se mantienen completamente separados de los datos pertenecientes a cualquier otro. Esta separación es supuestamente proporcionada por la tecnología de virtualización, es decir, un software capaz de imitar un sistema de computación físico. Una 'máquina virtual' ofrece un sistema familiar en el que instalar y ejecutar software, ocultando el hecho de que, en realidad, todos los clientes comparten el mismo sistema informático, de gran complejidad y a una escala parecida a la de un almacén.

El ataque de Juels se basa en encontrar la manera de romper esa ilusión. Ha descubierto que, puesto que las máquinas virtuales que se ejecutan en el mismo hardware físico comparten recursos, las acciones de unas pueden afectar a la eficacia de las otras. Gracias a ello, un atacante que posea el control de una máquina virtual puede espiar los datos almacenados en la memoria adjunta a uno de los procesadores que se ejecuten en el entorno de la nube, el tipo de memoria que proporciona datos utilizados recientemente para acelerar el acceso futuro a los mismos, usando un truco conocido como ataque de canal lateral.

"A pesar del hecho de que, en principio, está aislada de la víctima, la máquina de ataque virtual vislumbra detalles del comportamiento de la víctima a través de un recurso compartido", afirma Juels.

El software desarrollado por Juels abusa de una función que permite que el software obtenga acceso prioritario a un procesador físico cuando lo necesita. Al pedir con regularidad utilizar el procesador, el atacante podría sondear la memoria caché en busca de evidencias de los cálculos que la víctima estaba ejecutando con su clave de cifrado de correos electrónicos.

El atacante no pudo leer los datos de la víctima directamente, pero al notar la rapidez con la que se escribían datos en la memoria caché, pudo inferir algunas pistas sobre lo que la víctima había dejado en ella. "La máquina virtual de ataque vislumbra pequeños detalles del comportamiento de la víctima", asegura Juels. Mediante la recopilación de miles de estos detalles fue finalmente posible revelar la clave de cifrado completa.

A pesar de que es un procedimiento muy complejo, los investigadores afirman que los proveedores y clientes de computación en nube deben tomarse en serio la amenaza. "La defensa es todo un reto", señala Juels, quién además ha informado a Amazon sobre su trabajo.

Michael Bailey, investigador de seguridad informática en la Universidad de Michigan (EE.UU.), señala que el software atacado, un programa de encriptación de correo electrónico llamado GNUPrivacy Guard, es conocido por filtrar información, y que el experimento no se realizó dentro de un entorno de nube comercial. Sin embargo, asegura que el resultado es significativo e inspirará a otros investigadores -y tal vez a atacantes reales- a probar que este tipo de ataques puede ser práctico.

"Lo que realmente me gusta es que alguien por fin haya dado un ejemplo de ataque de canal lateral", señala Bailey. "Es una prueba de concepto que plantea la posibilidad de que esto pueda llevarse a cabo y motivará a la gente a buscar versiones más serias".

Una demostración particularmente preocupante sería utilizar el método para robar las claves de cifrado usadas para proteger sitios web que ofrezcan servicios como correo electrónico, compras y banca, señala Bailey, a pesar de que eso sería mucho más difícil. Juels afirma que está trabajando en explorar hasta dónde puede llegar con este nuevo estilo de ataque.