¿Quieres comprobar si la clave de tu red inalámbrica (o la de tu vecino) es buena? Por 34 dólares puedes hacerlo, usando un servicio de obtención de claves pensado principalmente para los “comprobadores de penetración”—gente contratada por una compañía para comprobar la seguridad de sus redes.

El servicio, conocido como WPA Cracker, es uno de los primeros servicios de hacking que dependen de la computación en la nube. WPA Cracker comenzó sus actividades el lunes—utiliza recursos de computación en la nube prepagados para buscar una palabra clave de tipo WPA (WiFi Protected Access) entre 135 millones de posibilidades distintas, afirma su creador y hacker Moxie Marlinspike. Normalmente la tarea llevaría a un único ordenador unos cinco días, aunque el WPA Cracker utiliza un cluster de 400 ordenadores virtuales y técnicas de computación de alto rendimiento. Sólo se tardan 20 minutos, afirma.

“La seguridad se está trasladando a la nube… por lo que los ataques seguirán el rastro de la seguridad también hasta la nube,” afirma Marlinspike. “La obtención de claves es algo obvio. Normalmente resulta extremadamente caro ejecutar trabajos de CPU intensivos. [Con la computación en la nube] cuesta mucho menos dinero que hacerlo tú mismo.”

En su núcleo, la computación en la nube consiste en proveer servicios o infraestructura a través de internet que puedan ser fácilmente aumentados para responder a una mayor demanda. Varios gigantes de internet, entre los que se incluyen Amazon, Google y Microsoft, poseen servicios que ofrecen la capacidad de ejecutar aplicaciones en un gran centro de datos o alquilar tiempo en un cluster de ordenadores virtuales, permitiendo a los clientes utilizar grandes cantidades de potencia de proceso de forma más eficiente.

Los expertos en seguridad afirman que el rendimiento y las ventajas en cuanto a costes de la computación en la nube ya han empezado a resultar atractivas para los criminales.

“Hemos visto cómo se generaban ataques desde rangos de IP asociados con servicios de computación en la nube,” afirma Tom Cross, director de investigación avanzada en el equipo de seguridad X-Force de IBM. Cross no dio más detalles sobre qué servicios estaban involucrados.

Sin embargo existen otros ejemplos dentro del mundo real. En 2008, un spammer utilizó el servicio EC2 (Elastic Computing Cloud) de Amazon para enviar una campaña masiva de correos basura pornográficos. Y el mes pasado, la firma de seguridad Arbor Networks informó que una aplicación alojada en la plataforma AppEngine de Google parecía ser el centro de comando y control de una pequeña botnet. Sin embargo, Google eliminó la aplicación debido a unas violaciones en la política de uso y afirmó que el comportamiento malicioso fue el resultado de un error de programación, no de un intento criminal.

No obstante, e incluso si la intención no era maliciosa, el ejemplo muestra que en la nube es posible ejecutar aplicaciones de dudoso comportamiento, afirma Danny MacPherson, director de seguridad de Arbor.

“A medida que una mayor número de personas utilicen la infraestructura de la nube, creo que veremos un mayor número de utilizaciones maliciosas,” afirma MacPherson. “Yo animaría a todas las personas que utilicen esas infraestructuras a que den prioridad a la seguridad.”

De alguna manera, los criminales ya han puesto en marcha sus propios servicios en la nube mediante la vulneración de ordenadores de usuarios y su control centralizado. Estas botnets, como así se conocen a este tipo de redes, se pueden utilizar para distintas tareas, desde enviar spam, alojar contenidos maliciosos o enviar aluviones de datos para sobrecargar una red. Algunos emprendedores underground han incluso creado un mercado online, llamado Golden Cash, donde los criminales podrían comprar o alquilar cantidades de este tipo de ordenadores vulnerados.

Si un proveedor de servicios en la nube no vigila su red lo suficiente, cualquier criminal podría utilizar el servicio para hacer lo mismo.

“Cuando se construye una botnet, lo que se intenta hacer es utilizar una gran cantidad de ordenadores para algún tipo de propósito,” afirma Cross. “Si tienes una tarjeta de crédito, puedes comprar una cantidad de ordenadores virtuales de un proveedor en la nube.”

El servicio de Amazon ya se ha convertido en el campo de juegos para los investigadores dedicados a la seguridad. Este pasado verano, la firma de seguridad SensePost reveló una serie de técnicas para abusar de los servicios en la nube. Por ejemplo, al hacer un mal uso del proceso de creación de una cuenta, los investigadores pudieron saltarse la limitación de Amazon de sólo 20 ordenadores por cliente. El equipo de seguridad de SensePost también demostró una serie de formas en que los desarrolladores maliciosos podrían crear plantillas de máquinas virtuales que contuviesen rootkits y otros tipos de código maliciosos. Si otro cliente de Amazon utilizase esa plantilla, podrían acabar siendo vulnerables ante un ataque.

“La nube va a ofrecer al criminal serio una gran cantidad de recursos de computación, a los que se les puede otorgar una gran cantidad de aplicaciones interesantes,” afirma Haroon Meer, director de investigación de seguridad de SensePost. “Como poco, va a cambiar algunos de los modelos de amenaza.”