Comentario al Documento “Seguridad en servicios de almacenamiento Análisis de Dropbox y Mega”

05/03/2015
 

Comentario al Documento “Seguridad en servicios de almacenamiento Análisis de Dropbox y Mega”

 
Recientemente encontré un documento que por su fuente, Instituto Nacional de Ciberseguridad –INCIBE-, y contenido “Seguridad en servicios de almacenamiento Análisis de Dropbox y Mega” vale la pena ser comentado y divulgado. Parece que hoy en día está de moda todo lo que empieza con "Ciber", pero es un tema suficientemente maduro y con suficiente uso como para agradecer la iniciativa, aunque destacando el importante desfase en el tiempo (documento publicado el 27 de enero de 2015).
Es de justicia decir que su lectura es muy recomendable, de la que dependiendo del grado de conocimientos del lector se pueden prescindir de algunos apartados, o bien tener a mano un navegador para buscar palabras y términos que pueden resultar desconocidos para personas no acostumbradas al tema de la seguridad lógica. También, y avanzando conclusiones, no se posiciona, expone lo que hay de manera cruda, para que el lector pueda sacar sus conclusiones.
 
Aunque el documento se centra en dos conocidos proveedores de almacenamiento, el contenido tratado es aplicable a cualquier proveedor de este tipo de servicios (capítulo 3).
Entrando en materia, las dos aplicaciones, Dropbox y Mega, son proveedores de almacenamiento en la nube, con una parte gratuita y una de pago (personal y profesional) de las que ambas tienen sus bondades y carencias. Intentaré dar la visión general de todo, ya que el documento está bastante bien estructurado.
 
Entra en la gestión de las comunicaciones, evidentemente se realizan cifradas, imprescindible para unas comunicaciones seguras, en el caso de Dropbox las claves están en sus manos mientras que Mega participa una clave simétrica del usuario.
 
En cuanto al cifrado de los datos, aquí nos encontramos las primeras diferencias. Dropbox pone sus claves de cifrado, mientras que Mega lo deja en manos del usuario. Dropbox encripta los datos al recibirlos (por tanto viajan en claro) mientras que Mega las encripta "en casa del cliente".
 
Este "pequeño detalle" es muy importante porque el control en uno está en manos del proveedor y en el otro en el del usuario, parece más robusta esta segunda opción.
 
En cuanto a la autenticación, también tienen comportamientos diferenciados, en el primero es el típico, tanto el usuario como la contraseña viajan en claro, mientras que Mega viajan encriptados el usuario y la contraseña.
 
El documento trata largamente del tema de deduplicación, que es la manera de evitar la duplicidad de ficheros, tanto de un usuario o de "n" usuarios de la misma compañía, tiene un largo e interesante capítulo que en la mayoría de los mortales no interesa mucho, aunque en función de este tratamiento la factura, tanto de almacenamiento como de comunicaciones puede variar.
 
En cuanto al borrado de datos, en ambos casos permite poder recuperar durante suficientes días los ficheros erróneamente borrados.
 

Para ir terminando...
 
La mayoría de empresas de almacenamiento en la nube tienen dos tipos de clientes, los de uso privado y el profesional. Uno es gratuito, con limitaciones de Gb y el otro ofrece un espacio superior donde guardar los datos a cambio de una cuota mensual.
 
En cuanto a elementos de seguridad, parece que Mega incorpora más y deja en manos del usuario el tema de las contraseñas para encriptar sus datos, aunque las dos se han ganado un merecido prestigio... que pueden perder al ser violadas en un ataque. Se debe valorar caso a caso qué conviene más teniendo en cuenta lo que se quiere proteger, lo que puede costar hacerlo y otros criterios nada técnicos como la simpatía o no hacia el fundador de MegaUpload, Kim Dotcom, dueño de Mega.
 
Visto desde el punto de vista de la LOPD, las dos empresas ofrecen niveles adecuados de protección;
  • Dropbox está situada en Estados Unidos y adherida al acuerdo de 'puerto seguro', como se puede ver en el link de referencia.
  • Mega se encuentra en Nueva Zelanda, considerado país con nivel adecuado de protección desde la decisión 2013/65 / UE de la Comisión de 19 de diciembre de 2012.

Para guardar archivos, bases de datos, etc. que contengan datos de carácter personal, sólo hay que modificar (si se quiere utilizar un servicio en la nube) la inscripción hecha en el registro de la AEPD, indicando que se hace una transferencia internacional de datos con un país con nivel adecuado de protección o, para el caso de EEUU, empresas adheridas al puerto seguro.
 
La AEPD ha propuesto un modelo de contrato (en el pie el link) homologado para firmar con terceras empresas que pueden tener servidores fuera de los países con nivel de protección adecuado, es interesante su lectura en caso de querer usar otras prestaciones a la nube, aunque a priori no parece fácil poder negociar de tú a tú con estas grandes compañías.
 
 
Joan Barceló i Joaquin
 
CISA, CISM
 
 

Tabla resumen de los principales elementos Dropbox y Mega: