Cloud Computing: el problema no es técnico, es regulatorio



RSS

¡Este año la nube está de moda! No hay un solo evento técnico en el que no aparezca de alguna forma la nube y pese a que la gran mayoría están de acuerdo en que es económicamente muy ventajosa son pocos los que se atreven a adentrase en ella. La mayor parte de los que no dan el primer paso alegan problemas de seguridad.

Pros y contras del Cloud Computing
¿Problemas de seguridad? ¿Dónde? Cloud Computing utiliza exactamente los mismos mecanismos de cifrado de información que se usan en cualquier servicio de venta online, en las webs de banca, de seguros, en la administración electrónica,...

Decir que Cloud no garantiza la confidencialidad en las comunicaciones sería lo mismo que negar el comercio electrónico en sentido amplio.

Entonces, si los problemas no son de transmisión de la información deben ser los mecanismos de almacenamiento, copias de seguridad, etc. ¿Seguro?

La mayor parte de las veces los proveedores de Cloud utilizan las mismas tecnologías de almacenamiento y salvaguarda de la información que las que usaban antes sus clientes. Y con una ventaja porque las economías de escala les permiten duplicar o triplicar la información en diferentes puntos. Pueden permitirse tener CPDs por todo el mundo aislándose de esa forma de cualquier tipo de imprevisto, incluso de catástrofes naturales.

Entonces, ¿qué problemas técnicos tiene el Cloud? Probablemente ninguno porque a fin de cuentas el cloud no es nada nuevo y sus problemas no son de seguridad, son de confianza.

Es una cuestión de confianza

La séptima enseñanza sobre TI que nos proporciona el escándalo de Wikileaks es que los proveedores de Cloud no son ni mucho menos neutrales. Amazon, el mayor proveedor de Cloud, no tuvo absolutamente ningún rubor para expulsar a Wikileaks alegando que los ataques de DDOS que estaba sufriendo este sitio ponían en riesgo al resto de sus clientes.
Logotipo de Amazon

Una burda justificación teniendo en cuenta que Amazon tiene capacidad más que de sobra para soportar un ataque como ese y mucho más. Los problemas eran éticos por un lado, comerciales por otro (un porcentaje significativo de sus clientes son norteamericanos) y sobre todo políticos (la presión gubernamental debió ser importante).

Wikileaks descubrió en sus carnes la letra pequeña del contrato de Cloud con Amazon porque para incredulidad del mercado resulta que esa posibilidad, la de expulsar a un cliente sin previo aviso y por causas discrecionales del proveedor, estaba ya contemplada en el acuerdo general que Amazon establece con sus clientes.

Cuenta Twitter de WikiLeaks
Pero no acaba ahí la cosa. Hace unas semanas se sabía que el Gobierno de los Estados Unidos había requerido a Twitter la entrega de toda la información personal de la que dispusiese (nombre, dirección, teléfono, fotos, tweets, quienes son sus contactos,...) de todas las cuentas relacionadas con Wikileaks. Según parece, la misma solicitud habría sido enviada a otras redes como Facebook (con más de un millón y medio de amigos de Wikileaks) o buscadores como Google o Bing. Es decir, se solicita y recaba información sobre personas que no están inmersas en ningún procedimiento judicial y que en gran parte no están sujetas a la legislación de quien las solicita lo que añade un puntito de complejidad legal a todo esto.

Con ello se hace especialmente evidente que en los servicios que operan en exclusiva en la nube la privacidad de la información es más que discutible. Y lo peor, no podemos negarnos a dar la información o incluso no acatar el requerimiento judicial por la sencilla razón de que no la tenemos nosotros, la tiene el proveedor de la nube en algún punto around the world.

Está bien, ambos casos están relacionados con un asunto que algunos sienten como un problema de seguridad nacional. Pero para demostrarnos a todos que no es solo en esos casos, hace unos días la Agencia Nacional de Gestión de la Propiedad Intelectual ha clausurado la web rojadirecta.org por realizar retransmisiones deportivas por la web sin disponer de los pertinentes derechos. Entre los partidos retransmitidos había algunos de la NBA o de la NFL.

Bloqueo del FBI en rojadirecta.org

Esta agencia gubernamental no ha tenido ningún miramiento para obligar a la ICANN (organismo que regula Internet y teóricamente imparcial) a modificar los registros DNS de este dominio que, y es muy importante tenerlo en cuenta, no residía en Estados Unidos, no es ilegal en el país en el que opera y no ha tenido ningún requerimiento judicial previo.

Es decir, en este caso la intervención de Internet se produce para defender los, por otra parte legítimos, derechos comerciales de empresas norteamericanas. No se trata de un asunto de fuerza mayor ni de defensa nacional. Es simplemente una actuación para proteger derechos comerciales.

Ergo...

En ese escenario, ¿de verdad se puede confiar y subir datos sensibles a la nube? Tal vez no haya mayor problema si se trata de una empresa pequeña o mediana que no compita en mercados globales y con competidores también globales. Pero si hablamos de grandes corporaciones y aún más de instituciones públicas habrá que tener muy en cuenta el nivel de confianza que se puede esperar de la computación en la nube. Los precedentes de gestión de la disponibilidad y sobre todo privacidad no son precisamente para echar cohetes.

Algunas instituciones públicas plantean la solución al problema mediante la creación de nubes privadas. Sin embargo, salvo que la empresa o administración en cuestión tenga una masa crítica suficiente (y suficiente quiere decir suficiente) crear una cloud privada es hacer cambios para que nada cambie. Invertirá una enorme cantidad de dinero para crear su nube y la mayor ventaja del cloud, la reducción del gasto corriente, no variará absolutamente nada.

Aún con todo hay escenarios donde cloud tiene un encaje perfecto. Aquellos donde se exige grandes capacidades de computación, en periodos de tiempo no constantes y manejando datos no sensibles. Un caso de éxito puede ser Telecinco con la retransmisión del mundial de fútbol por Internet. Para el resto la prudencia obliga a esperar a un mejor clima y sobre todo a que exista una verdadera regulación legal sobre la información independientemente del país donde se ubiquen los servidores.

Satélite en órbita
Por cierto, hace unos meses asistí a una genial presentación en la que el speaker, un miembro del Ejército del Aire, aseguró que él había estado en las nubes y podía certificar de forma concluyente que por más que insistamos, allí no había nada. Su mayor preocupación era donde enchufar los racks asumiendo que alguien encontrase algún mecanismo para sujetarlos. Visto lo visto, parece que antes de poner los enchufes ya hemos puesto algún que otro satélite espía. ;-)

www.tonsofit.com


RSS

8 comentarios

  1. Es increíble. Cierran tarjetaroja.org sin tener en cuenta que no es una empresa americana, que los servidores que albergan los contenidos no están en EEUU y que no es una empresa ilegal porque que se sepa no tiene ninguna sentencia en contra.

    Es más, tarjetaroja.com solo se limita a dar enlaces donde realmente están las retransmisiones. Solo pone links a otros sitios web que efectivamente no hacen cosas excesivamente legales.

    Pero si dar links a otros sitios web se convierte en algo ilegal deberían clausurar también a todos los buscadores. Que cierren Google, a ver si se atreven. :-]

    Buen artículo.

    ResponderEliminar
  2. Y esto es con la información que acaba llegando a ser pública. Que no sabrán los políticos para que a ellos tampoco les guste esto de la nube fuera de las fronteras. Si al final va a tener razón Gonzalez Pons.

    http://www.elpais.com/articulo/tecnologia/PP/quiere/datos/espanoles/esten/servidores/Espana/elpeputec/20110113elpeputec_6/Tes

    ResponderEliminar
  3. En el caso de la solicitud a Twitter, la orden para facilitar los datos iba acompañada de la obligación de mantener silencio en torno a la misma.

    Twitter recurrió indicando que según sus propias normas internas tenía obligación de comunicar a los usuarios afectados que iba a facilitar toda su información. Y ganó, y por eso ahora lo sabemos. Pero la intención original del requerimiento judicial era ponerle una mordaza al Twitter.

    Respecto a lo de tarjetaroja.com, totalmente de acuerdo contigo. Personalmente, me parece mucho más grave que lo de Twitter independientemente de que en el fondo puedan tener razón. No es legal publicar contenidos protegidos por derechos de autor, eso es cierto. Pero de ahí a que puedan cerrar un sitio web de una empresa extranjera media un abismo.

    Todos estamos bajo el Imperio de la Ley pero no queda claro bajo el de qué país...

    ResponderEliminar
  4. La sensación de soledad que se debe tener tras ser expulsado de un proveedor de Cloud debe ser absolutamente abrumadora.

    Sobre todo porque los procedimientos para cambiar de proveedor no están en absoluto estandarizados, están pañales. Volver a operar se convierte en una misión a la desesperada.

    ResponderEliminar
  5. El caso de Blackberry en la India es aún mejor. Traducido a un idioma que podemos entender, el gobierno de la India le dijo a Blackberry: Por favor, no cifres tan bien las comunicaciones en las Blackberry de mi país porque no puedo saber la información que se envían.

    El servicio de Blackberry es conceptualmente una nube y todos los mensajes viajan cifrados desde el dispositivo hasta sus Datacenters. Después son enviados al servidor de correo de destino. Blackberry tuvo que plegarse e instalar servidores en ese país para que sus servicios de inteligencia pudieran husmear a gusto. Era eso o prohibir el uso de Blackberry. Lo mismo han hecho otros muchos países aunque no con tanta luz y taquígrafos como la India.

    Se hace con tal descaro que incluso sorprende.

    http://www.elmundo.es/elmundo/2010/10/13/navegante/1286964136.html

    ResponderEliminar
  6. Enhorabuena Manu por el artículo, como siempre das en el clavo, le das un enfoque distinto y de paso nos haces pensar un poco.
    En cuanto al tema Nube, solo apuntar a algo que se suele analizar poco, pero que a mi es lo que más me inquieta, y es la capacidad que tiene esta para “Globalizar”. Queramos o no, para bien o para mal, cerca del 100% de los usuarios de internet, usamos los servicios en la nube para un sinfín de actividades que realizamos a diario. Los Amazon, Yahoo, Google, Apple, Microsoft, Twitter, Facebook, Linkedin, etc… tienen ya en su poder nuestros perfiles, nuestras amistades, nuestros datos personales, nuestras fotos, nuestras compras, nuestros comportamientos y hasta nuestras reflexiones. Si nos damos cuenta tienen más datos nuestros que los que puedan tener nuestro ayuntamiento, nuestra comunidad autónoma o nuestro gobierno. La administración de cada país seguirá poniendo cortapisas legales al uso de la nube para fines públicos, mientras que sus ciudadanos, uno a uno, se echan en masa en sus brazos sin la menor inquietud.
    Cada vez la nube nos da más servicios, más facilidades, más atenciones. Es cómoda, rápida y fiable y además es gratis. Nuestros diferentes niveles de Gobierno por el contrario son cada vez más burocráticos, más lentos más ineficientes, más caros.
    No pretendo dejarte sin trabajo, pero en cuanto “La Nube” me solucione el tema de la recogida de basuras, me pienso dar de baja del “Bochito” y me empadrono en ella.

    ResponderEliminar
  7. Amigo Parada, creo en la nube como el que más porque las economías de escala están en la base misma de cualquier teoría económica, sea del corte ideológico que sea.

    Pero también me asusta, y mucho, que se utilice la ubicuidad de la información de una forma como poco alegal y casi con total seguridad ilegal.

    En el caso de Gmail y Hotmail, ¿acaso se notificó a los disidentes chinos de que su gobierno tenía acceso a sus cuentas de correo en la nube? Tanto Google como Microsoft se plegaron a un mercado de 1.200 millones de potenciales clientes. Y qué decir de Cisco con la gran muralla cibernética china...

    ¿Y lo que pasa en la India, Arabia Saudí, Pakistán y muchos otros países europeos con Blackberry? (Ver comentario anterior, con el que estoy 100% de acuerdo)

    ¿Y lo que ha pasado en EEUU con Twitter, Facebook, Google y Bing con el requerimiento judicial de todo lo que tenga que ver con Wikileaks?

    Guste o no, si los datos están en equipos propios el riesgo de fuga es menor. Y no se trata de problemas técnicos. De hecho, estoy convencido que desde el punto de vista estricto de seguridad están más seguros en la nube.
    Se trata de como un tercero puede disponer de mi información para facilitársela a quien le apetezca (o se vea obligado a ello) sin que yo ni tan siquiera me entere.
    Y si se trata de datos públicos me parece aún incluso peor porque las fronteras nacionales siguen existiendo por mucha globalidad que plantee Internet.

    Y lo de que cada vez colgamos más cosas en la red, tienes toda la razón. Y en eso estoy de acuerdo con el CEO de Google cuando dice que algunos tendrán que cambiarse de nombre cuando lleguen a la mayoría de edad para que no se les relacione con la pila de barbaridades que cuelgan en la red siendo adolescentes. ;-)))

    Ahí van mis reflexiones sobre esto último:
    http://www.tonsofit.com/2010/11/deberia-internet-aprender-olvidar.html

    ResponderEliminar
  8. Unas reflexiones muy interesantes. Contar con una buena estrategia para dar el paso al Cloud Computing y la Virtualización, es fundamental para toda empresa o negocio, teniendo en cuenta la seguridad y sabiendo como actuar en cualquier comento. Saludos.

    ResponderEliminar


Los contenidos de Tons of IT están sujetos a licencia Creative Commons Reconocimiento 3.0 salvo donde se indique lo contrario.