Almacenamiento en la nube - Guardar datos online de forma segura

Lectura de 2 min aprox.

El almacenamiento en la nube es un término general para los servicios que permiten guardar, gestionar y compartir datos a través de internet. Sin necesidad de preparar sus propios discos duros o NAS, los usuarios pueden aprovechar la infraestructura de almacenamiento de los centros de datos que operan los proveedores de servicios. Gracias a su comodidad, se ha extendido rápidamente tanto para uso personal como empresarial, pero debido a su característica esencial de que los datos no residen en tus propias manos, usarlo sin comprender correctamente el cifrado y la gestión de accesos conlleva el riesgo de provocar fugas de datos graves.

Antecedentes históricos - del «poseer» al «usar» el almacenamiento

La historia del almacenamiento en la nube comienza en 2006, cuando Amazon lanzó S3 (Simple Storage Service). En aquel momento era almacenamiento de objetos basado en API para desarrolladores, pero el modelo de «capacidad ilimitada y pago por uso» derribó la sabiduría convencional de la adquisición de almacenamiento. Al año siguiente, en 2007, apareció Dropbox y, mediante la operación intuitiva de sincronización de carpetas, el almacenamiento en la nube se extendió también a los usuarios generales. En 2012 se lanzó Google Drive y en 2014 iCloud Drive, avanzando la integración en la nube a nivel del sistema operativo. Para las empresas, Box y OneDrive for Business se adoptaron como sustitutos de los servidores de archivos, y en la década de 2020, junto con la rápida expansión del trabajo remoto, el almacenamiento en la nube se ha convertido en el núcleo de la infraestructura empresarial.

Cómo funciona el cifrado - lado del servidor vs lado del cliente

Muchos servicios principales (Google Drive, OneDrive, iCloud) aplican el cifrado del lado del servidor de forma predeterminada. Aunque esto es eficaz contra el robo de discos como cifrado en reposo, hay que entender que los datos pueden divulgarse al propio proveedor del servicio o en respuesta a solicitudes de las autoridades. Cuando se requiere una mayor confidencialidad, se debería adoptar el cifrado del lado del cliente o considerar los servicios de cifrado de conocimiento cero que se describen más adelante.

Los riesgos de los enlaces compartidos

La función de compartir del almacenamiento en la nube, donde «cualquiera que conozca el enlace puede acceder», esconde riesgos graves tras su comodidad. La URL de un enlace compartido se compone de una cadena aleatoria, pero los casos en que los enlaces pegados en chats o correos se reenvían a destinatarios no deseados son interminables. Además, en algunos servicios los patrones de URL son adivinables o se han reportado errores de configuración que los hacen ser indexados por los motores de búsqueda. Existen casos reales en los que documentos corporativos confidenciales fueron descubiertos mediante una búsqueda en Google. Desde la perspectiva del control de acceso, es esencial establecer una fecha de caducidad y una contraseña en los enlaces compartidos e invalidarlos rápidamente cuando ya no sean necesarios.

El auge del cifrado de conocimiento cero

El cifrado de conocimiento cero (Zero-Knowledge Encryption) se refiere a un diseño en el que el proveedor del servicio no puede conocer ningún contenido de los datos del usuario. Servicios como Tresorit, Proton Drive y Cryptomator adoptan este enfoque; la clave de cifrado se deriva de la contraseña del usuario y en el servidor solo se almacenan datos cifrados. Aunque se incauten los servidores del proveedor o este reciba una solicitud legal, no puede divulgar el contenido de los datos. Sin embargo, dado que los datos se pierden para siempre si olvidas tu contraseña, recomendamos aprender los fundamentos de la gestión de claves con recursos como guías sobre cifrado en la nube (Amazon).

Almacenamiento en la nube ≠ copia de seguridad

Uno de los malentendidos más comunes es la creencia de que «no hace falta una copia de seguridad porque lo guardo todo en el almacenamiento en la nube». La función de sincronización del almacenamiento en la nube también elimina los archivos en el lado de la nube cuando los borras localmente. Si te infectas con ransomware y tus archivos locales quedan cifrados, esos archivos cifrados también se sincronizan con la nube. En algunos casos puedes restaurarlos con la función de historial de versiones, pero hay límites en el período de retención y el número de versiones. Para una protección de datos fiable, es importante realizar una copia de seguridad independiente, separada del almacenamiento en la nube, y aplicar la regla 3-2-1 (tres copias, dos tipos de medios, una fuera del sitio). Para más detalles, consulta también la guía de copias de seguridad para principiantes.

Ubicación de los datos y jurisdicción legal

Algo que a menudo se pasa por alto al usar el almacenamiento en la nube es la cuestión de dónde se almacenan físicamente los datos y qué jurisdicción legal aplica. Los datos almacenados en un servicio de EE. UU. pueden ser accesibles para el gobierno estadounidense sin una orden judicial en virtud de la CLOUD Act (2018). Al almacenar en un servicio de EE. UU. datos dentro de la UE que están sujetos al RGPD, es necesario examinar cuidadosamente la legalidad de la transferencia de datos. Las organizaciones que manejan datos altamente confidenciales deben elegir servicios que les permitan especificar la región de almacenamiento y adoptar una estrategia de mantener los datos dentro de su propia jurisdicción legal.

Para más detalles sobre la configuración de seguridad del almacenamiento en la nube, consulta Medidas de seguridad para el almacenamiento en la nube y la Guía de protección contra ransomware. Al combinarlo con el cifrado en tránsito, puedes proteger todo el ciclo de vida de los datos.