La computación en la nube presenta una serie de peligros inherentes en cuanto a la privacidad, puesto que el proveedor en la nube es capaz de ver los datos del cliente y el aparato computacional que se le ha asignado, conocido como “máquina virtual.” Una nueva investigación sugiere que mientras que la nube sea capaz de ver todas estas cosas, podría también asegurarse de que los clientes no están ejecutando código malicioso.

Los investigadores de IBM en el Centro de Investigación Watson de Yorktown, Nueva York, y en el laboratorio de Investigación de IBM en Zurich, han desarrollado un sistema para la “vigilancia introspectiva” de la computación en la nube, en la cual los elementos de la nube actúan como una especie de portero virtual. Someterían a las máquinas virtuales a un cacheo para comprobar qué tipo de sistema operativo están utilizando, así como si están funcionando apropiadamente, y si contienen código malicioso como, por ejemplo, los rootkits.

“El sistema funciona mirando dentro de la máquina virtual y tratando de deducir lo que hace. Lo último que quieres es que los clientes maliciosos te pasen todo tipo de malware en las máquinas virtuales que se van a usar en la nube,” afirma Radu Sion, científico informático en la Universidad Stony Brook, y que no estuvo involucrado en la investigación. “A día de hoy la nube no ofrece privacidad, por lo que podríamos usar esa falta de privacidad y aplicarla en cierta introspección.”

El trabajo de IBM es uno de entre varios estudios presentados el pasado viernes en el Taller ACM sobre Seguridad y Computación en la Nube, el primer evento celebrado de este tipo. El estudio extiende una investigación sobre la introspección llevada a cabo con anterioridad y hace que sea más aplicable a las configuraciones en la nube como las del servicio EC2 de Amazon. “En las nubes, la barrera para entrar está más baja, y lo que más le preocupa a los clientes es su información. Queremos asegurarnos que su información se trata de forma consistente con sus expectativas en cuanto a seguridad y privacidad,” afirma J.R. Rao, director senior de software y servicios seguros de IBM.

Una forma específica en la que las nubes podrían ser vulnerables es si lo hackers descubren cómo colocar sus máquinas virtuales maliciosas en los mismos servidores físicos donde están las de sus víctimas, algo que ha sido demostrado durante una investigación reciente. Los proveedores de servicios en la nube utilizan múltiples centros de datos y miles de servidores, así que encontrar el más idóneo podría ser un primer paso crucial para un ataque en la nube. (Una investigación anterior demostró que si los hackers utilizan un cierto sistema operativo son capaces de robar datos de otros usuarios con el mismo sistema operativo, y que se pueden dar una serie de vulnerabilidades similares cuando los sistemas operativos comparten los mismos servidores.)

El siguiente paso podría consistir en el robo de datos a partir de la memoria caché de sistemas multi-núcleo dentro del servidor. Estas cachés, o memorias temporales, son compartidas entre distintas máquinas virtuales, presentando con ello un riesgo teórico. Durante la conferencia, Microsoft propuso un sistema basado en la creación de unas jerarquías dentro de la memoria caché. Este tipo de sistema haría las veces de partición y podría servir como protección contra ataques a la memoria caché de este tipo.

Los estudios de Microsoft e IBM son representativos de unos nuevos tipos de investigación que resultan de mayor importancia para el futuro de la computación en la nube, puesto que apuntan hacia formas de hacer que la estructura fundamental de la nube sea más segura. “Son particularmente buenas a la hora de arreglar problemas en el núcleo, en vez de sólo discutir acerca de la seguridad de las aplicaciones en la nube,” tales como el correo electrónico, afirma Sion refiriéndose a ambas compañías. Las soluciones propuestas podrían estar listas para su comercialización dentro de un año, añadió.

También durante la conferencia, una investigación combinada entre PARC y Fujitsu señaló otras formas de ayudar a que las nubes proporcionen seguridad. Específicamente, las nubes pueden proporcionar lugares convenientes donde llevar a cabo de forma económica y fácil una serie de procesos que hagan más sencillos los diagnósticos y resuelvan las amenazas en cuanto a seguridad.

Por ejemplo, tomemos en cuenta una situación en la que los dispositivos móviles empezasen a actuar de forma extraña, probablemente porque un virus se está expandiendo a través de mensajes de texto o correos electrónicos. El proveedor de telefonía móvil podría agrupar datos a partir de estos teléfonos móviles y, dentro de un entorno situado en la nube, analizar el problema y hallar la mejor respuesta. “Todo ese trabajo se hace fuera del dispositivo móvil. Permite una velocidad mucho mayor a la hora de responder a las amenazas,” afirma Markus Jakobsson, científico principal en PARC, con sede en Palo Alto, California.

“Cuando la gente utiliza las palabra ‘nube’ y ‘seguridad’ en la misma frase—a menudo acaban frunciendo el ceño. Sin embargo nosotros creemos que hay una gran ventaja,” en la facilitación de los procesos de tareas relacionadas con la seguridad, añadió Jakobsson. “Si no lo aprovechamos, estaremos perdiendo una oportunidad realmente increíble.”