Prevenir las filtraciones externas de datos

Definición de la filtración externa de datos

En este documento, la filtración externa de datos se define como la situación en que una persona autorizada extrae datos de los sistemas protegidos a los que pertenecen y los comparte con terceros no autorizados o los traslada a sistemas no seguros. Se consideran personas autorizadas los empleados, los administradores del sistema y los usuarios de confianza. La filtración externa de datos se puede producir de forma accidental o como consecuencia de los actos de personas malintencionadas o vulneradas.

Para reducir el riesgo de filtración externa de datos, las organizaciones deben integrar medidas de seguridad y prácticas recomendadas en su filosofía. Deben evaluar constantemente los riesgos de cada interacción con redes informáticas, dispositivos, aplicaciones, datos y otros usuarios. Las organizaciones también pueden optar por implantar auditorías periódicas para verificar el seguimiento de las prácticas recomendadas.

Hacer frente a los riesgos de filtración externa de datos en la nube

Muchas estrategias tradicionales de protección de datos se basan en endurecer las defensas físicas del perímetro de las redes privadas. Sin embargo, como consumidor de la nube, no controlas la infraestructura de red física que utilizan tus servicios. En las nubes públicas se comparte el tejido de la red del proveedor de alojamiento y no existe un perímetro en un sentido tradicional. La protección de datos en la nube requiere nuevas medidas de seguridad y métodos para auditar el acceso a los datos.

A modo de analogía, fíjate en que las infraestructuras en la nube pública fueron de las primeras del sector en adoptar el uso de hardware básico en el centro de datos. Si bien esto puede producir tasas más altas de errores de hardware, sus efectos colaterales se minimizan a través de la redundancia y la arquitectura de servicios inteligentes. En este contexto, los servicios deben desenvolverse bien a la hora de hacer frente a múltiples errores. Las arquitecturas de servicio están diseñadas para solucionar los errores de hardware y de red dividiendo el procesamiento, el almacenamiento, la autenticación y otras tareas en varios equipos y en distintas regiones para minimizar el impacto de cualquier fallo concreto. A la hora de proteger los datos, debes adoptar un enfoque similar: diseña una arquitectura que minimice los periodos inactivos y limita las consecuencias en el resto del sistema en caso de vulneración de la seguridad.

El modelo de seguridad de la nube pública incorpora este enfoque para satisfacer a los clientes que más se preocupan por la seguridad. Google Cloud Platform ofrece máquinas virtuales (VM) blindadas para verificar la integridad de tus instancias de máquina virtual de Compute Engine. Con ellas, no tendrás que preocuparte por la protección de tus instancias frente al software malicioso y los rootkits en los niveles de arranque y kernel. Esta integridad se consigue gracias al arranque seguro, al arranque medido con módulo de plataforma segura virtual (vTPM) y a la supervisión de integridad.

Además, los proveedores pueden desplegar agentes especializados para producir telemetría sobre la actividad del usuario y del host en máquinas virtuales basadas en la nube. Esto permite al Centro de Operaciones de Seguridad (COS) tener visibilidad de las actividades que tienen lugar dentro y alrededor del límite de seguridad, que cambia continuamente.

Los proveedores también incluyen puntos críticos expresos, como la pasarela de aplicaciones, para llevar a cabo la comunicación con conjuntos de máquinas virtuales, servidores proxy de red, servidores de salida de la red y las redes multiproyecto. Estas medidas pueden reducir el riesgo de filtración externa de datos, pero no pueden eliminarlo por completo.

Tu organización también debe definir una infraestructura sólida de detección y respuesta para hacer frente a los eventos de filtración externa de datos. Con una infraestructura en la nube adecuada podrás detectar rápidamente las actividades que supongan un riesgo o resulten inadecuadas, limitar su alcance y minimizar el margen de maniobra del agente de filtración externa.

Categorías de eventos de filtración externa de datos

Los eventos de filtración externa de datos se pueden clasificar según características tecnológicas, organizativas y físicas comunes. En las siguientes secciones veremos algunas de estas categorías y explicaremos varias estrategias de prevención y mitigación para cada una.

Correo saliente

En esta situación, los agentes utilizan la infraestructura de telecomunicaciones autorizada, como el correo electrónico de la empresa o los dispositivos móviles, para transmitir datos sensibles de los sistemas informáticos seguros a terceros que no son de confianza o a sistemas privados no seguros. Los datos sensibles se pueden transmitir como texto sin formato en un correo electrónico o mensaje de texto, o bien adjuntarse como un archivo. Este método suele utilizarse para filtrar al exterior el contenido de correos electrónicos, calendarios, bases de datos, imágenes, documentos de planificación, previsiones empresariales y código fuente de la organización.

Muchos sistemas de correo electrónico y mensajería guardan borradores en la nube, por lo que no basta con verificar los datos sensibles cuando se envía el mensaje. Si una persona tiene acceso externo a su correo electrónico de empresa u otro servicio de mensajería en el que se guarden borradores, puede usar esa función para llevar a cabo la filtración externa. Cuando guarda un borrador desde un dispositivo y una red con acceso a datos sensibles y accede al borrador desde otro cliente, el agente elude los sistemas de registro y auditoría.

Prevención y mitigación

En esta situación se ven implicados los sistemas de telecomunicaciones que selecciona y autoriza tu empresa. De este modo, dispones de más opciones para protegerte contra la filtración externa de datos que las situaciones que comprenden el uso de herramientas privadas o de terceros.

Considera la posibilidad de adoptar algunas de las siguientes estrategias de prevención y mitigación:

• Controla el volumen y la frecuencia de transmisión de datos por parte de los usuarios a través de correo electrónico y otras herramientas de mensajería de empresa. Si el usuario promedio envía 5 megabytes de datos de media al día, cuando uno envíe 500 megabytes, se debería activar una alerta.
• Mantén un registro de las direcciones utilizadas para enviar correos electrónicos, desde qué dispositivos se envían y las direcciones de los destinatarios. Esto puede ayudarte a identificar la naturaleza y el alcance de los eventos de filtración externa de datos. En la lista de comprobación de seguridad del administrador se explica cómo auditar una cuenta de correo electrónico para detectar riesgos de seguridad en Gmail para empresas.
• Analiza los correos electrónicos enviados desde sistemas con acceso a datos sensibles para asegurarte de que no incluyen contenido no autorizado. Para facilitar esta tarea, etiqueta el contenido sensible con marcadores como palabras clave o hashes.
• Procura no enviar mensajes a través de canales no seguros, como el uso de http en lugar de https, y alerta al personal de seguridad de TI cuando se produzca cualquier intento de hacerlo.

Descargas en dispositivos no seguros

Estas situaciones tienen lugar cuando un usuario accede a datos sensibles a través de canales autorizados y los transfiere a un dispositivo local no seguro. Los agentes pueden usar portátiles, smartphones, unidades externas, cámaras o dispositivos especializados para obtener los datos sensibles que se filtrarán de forma externa. El agente puede descargar los archivos presentes en tus servicios en la nube o copiar datos en archivos nuevos. Si los archivos se transfieren a dispositivos no supervisados o no seguros, corren un alto riesgo de filtración externa.

Prevención y mitigación

Las redes basadas en la nube presentan algunas ventajas en cuanto a la prevención de este tipo de eventos. Muchos de los métodos para transferir datos a un dispositivo local requieren una conexión física a medios transferibles. Si en su lugar los datos se almacenan en la nube, estos deben descargarse antes de que puedan transferirse. Estas descargas están sujetas a las funciones de seguridad y seguimiento del servicio de alojamiento y de los clientes.

Considera la posibilidad de adoptar algunas de estas políticas y técnicas:

• Prohíbe las descargas de datos que sean muy sensibles. En función de cómo se utilicen y procesen tus datos en la nube, es posible que los usuarios no necesiten descargarlos en ningún momento en el hardware local. Si es posible, almacena todos los datos en la nube y realiza allí todas las operaciones informáticas. Si se pueden descargar los datos, crea una política que prohíba las descargas, clasifica y etiqueta los datos sensibles, y conserva los registros de acceso de los datos que se solicitan y se distribuyen mediante interacciones seguras y llamadas a las API. Consulta el artículo sobre la visualización de los registros de actividad para obtener más información.
• Usa un agente de seguridad de acceso a la nube (CASB) para regular las conexiones entre clientes autorizados y los servicios en la nube de acuerdo con las políticas de seguridad de tu organización.
• Encapsula los archivos con herramientas de gestión de derechos digitales (DRM) para dotarlos de características de seguridad y encriptado relacionadas con los permisos.
• Incluye marcas de agua dinámicas en los clientes autorizados para registrar qué usuarios llevan a cabo capturas de pantalla o fotografías de pantallas que contienen información sensible.

Subidas a servicios externos

De forma similar a lo que ocurre en la categoría de eventos anterior, esta suele incluir la descarga de datos sensibles a la infraestructura local y su subida a un tercero a través de un cliente de navegador web u otro software no supervisado. Los servicios de terceros pueden ser sitios web aparentemente inofensivos, como es el caso de las redes sociales, en las que el agente puede subir por accidente imágenes incorrectas o pegar texto incorrecto. Los agentes malintencionados más sofisticados pueden transferir pequeñas cantidades de datos sensibles, como credenciales de usuario o claves de encriptado, en forma de parámetros de URL a aplicaciones web especializadas.

Prevención y mitigación

El riesgo de este tipo de eventos puede reducirse mediante las mismas restricciones de políticas de descargas que protegen contra la copia local de datos sensibles. Sin embargo, las políticas no eliminan el riesgo de que las capturas de pantalla o el texto copiado se carguen en redes sociales, sitios web con sistema de archivos compartidos u otros servicios en la nube.

Estas son algunas de las prácticas de seguridad que se deben tener en cuenta para reducir este tipo de riesgos:

• Prohíbe la descarga de cualquier dato, mantén todos los datos en la nube y realiza allí todas las operaciones informáticas. Los datos deben solicitarse y distribuirse mediante interacciones con API seguras y registradas. Consulta el artículo sobre la visualización de los registros de actividad para obtener más información.
• No instales software de terceros que no sea seguro, como las aplicaciones de redes sociales o los complementos de navegador no autorizados, en dispositivos con acceso a datos sensibles.
• Usa un CASB para regular el tráfico desde los puntos de acceso a la nube y para aplicar políticas de encriptado en todos los datos que se transmiten a los clientes.

Comportamiento no seguro en la nube

El uso de servicios en la nube introduce algunas categorías nuevas de riesgos de filtración externa de datos que los profesionales de seguridad de TI deben tener en cuenta. Estas incluyen una serie de situaciones en las que los empleados, usuarios o administradores utilizan las funciones del paquete del proveedor de la nube de manera poco segura. Existe la posibilidad de filtración externa de datos por parte de cualquier agente que tenga la capacidad de solicitar o modificar máquinas virtuales, desplegar código o realizar solicitudes de almacenamiento en la nube o de servicios informáticos.

Las redes en la nube cuentan con frontends públicos y pueden comunicarse con una parte más amplia de Internet. La protección y la autorización del comportamiento de los servicios que se ejecutan en la nube son fundamentales para ofrecer seguridad de los datos. Los agentes con permisos suficientes pueden iniciar la transmisión de datos sensibles al exterior, transferirlos desde contenedores seguros a otros menos seguros y crear servicios en la nube no autorizados en nombre de una organización.

Prevención y mitigación

Para que la actividad de los servicios en la nube sea segura es necesario definir permisos precisos y de alcance limitado y mantener un registro exhaustivo. En la medida de lo posible, prohíbe a los agentes acceder a los backends de tus servicios. Para la mayoría de las tareas que un empleado o un administrador deben completar en una máquina virtual, hay agentes automatizados y clientes de frontend que son seguros y se pueden supervisar. Utilízalos cuando sea posible para limitar el número de personas que tienen acceso SSH directo a las máquinas en la nube. Además, en caso de que sea viable, analiza todos los datos que se envían a Internet en general para identificar la información sensible. Para las aplicaciones que procesan información de usuarios o sistemas externos, considera la posibilidad de analizar esa información para evitar la recogida, el almacenamiento o el intercambio involuntarios de datos sensibles, como por ejemplo la información personal identificable (IPI).

Para las máquinas virtuales en la nube, ten en cuenta estos principios de seguridad:

• Configura tablas de IP en tus máquinas virtuales que prohíban las conexiones salientes a direcciones desconocidas. Esto puede reducir el riesgo de que un agente transfiera datos sensibles fuera de tu red.
• No reveles las direcciones IP públicas de tus máquinas virtuales y usa un servicio de traducción de direcciones de red (NAT) para procesar las conexiones entrantes y salientes. Si quieres obtener más información, lee esta guía sobre cómo configurar una pasarela NAT para Compute Engine.
• Usa una pasarela de aplicaciones en la nube para gestionar y supervisar las conexiones con otros hosts.
• Inhabilita el software de gestión remota, como los agentes de protocolo de escritorio remoto (RDP) o de gestión remota de Windows (WinRM) en las máquinas que no la necesiten.
• Usa el acceso privado de Google para habilitar las instancias de máquina virtual en una subred y llegar a las API y a los servicios de Google con una dirección IP interna en lugar de una externa.
• Utiliza redes multiproyecto (XPN) para compartir las redes virtuales de Google Cloud Platform (GCP) en varios proyectos de tu organización de Cloud.
• Limita el acceso SSH directo a las máquinas virtuales solo para las personas para las que sea imprescindible hacerlo. Google Compute Engine proporciona herramientas integrales de gestión de claves SSH para controlar el acceso a las máquinas virtuales.

Para los servicios de almacenamiento en la nube como Cloud Storage o Cloud Bigtable, las siguientes prácticas pueden reducir los riesgos de filtración externa:

• Usa Gestión de Identidades y Accesos (Cloud IAM) para conceder a los usuarios y las aplicaciones el menor conjunto posible de permisos necesarios para acceder a los datos. Almacena los datos con diferentes requisitos de sensibilidad y acceso en distintos contenedores para que los permisos sean lo más granulares posible.
• Supervisa y limita la velocidad a la que se pueden leer los datos desde tus recursos de almacenamiento. Utiliza agentes de supervisión para alertar a tu equipo de seguridad cuando se produzca cualquier intento de transferir muchos más datos de lo previsto en un caso práctico normal.
• Haz que los permisos relativos a los datos muy sensibles sean temporales y estén sujetos a revisiones y revocaciones frecuentes. Para esto puede ser útil, por ejemplo, usar las cuotas de App Engine.
• Solicita a un equipo de personas que audite periódicamente el conjunto de usuarios con acceso a contenedores que sean muy sensibles.
• Mantén registros exhaustivos de todos los accesos a tus servicios de almacenamiento. Lo ideal es que el conjunto de personas con acceso a los servicios de almacenamiento esté separado de aquellas que tienen acceso a los registros. Esto reduce el riesgo de manipulación de los registros por parte de agentes malintencionados. Puedes usar los servicios de registro de acceso para escribir los datos de registro en un segmento de almacenamiento independiente.
• Para obtener información más detallada, consulta estas prácticas recomendadas de seguridad de Cloud Storage.

Aplicación del cumplimiento de las políticas de seguridad

La completa infraestructura que proporciona Google Cloud Platform (GCP) crea numerosas oportunidades para que los clientes desarrollen las soluciones que mejor se ajusten a sus necesidades, aunque al mismo tiempo presenta nuevos desafíos, como la aplicación de las políticas de seguridad deseadas en los diferentes proyectos de una organización. Para simplificar la gestión de la seguridad, GCP introdujo una jerarquía de entidades en la que se encuentran todos los recursos. Esta jerarquía se basa en el concepto de organizaciones. Las organizaciones pueden contener de forma opcional carpetas o proyectos. Las carpetas pueden contener de forma opcional subcarpetas o proyectos. Todos los recursos del servicio de GCP pertenecen a un proyecto.

Mediante esta jerarquía (Organización -> Carpeta -> Proyecto -> Servicio de GCP -> Recurso), las políticas de seguridad se pueden definir en cualquier nivel de la jerarquía y se heredan a los niveles inferiores de esta. Las políticas de seguridad se evalúan de arriba abajo en la jerarquía de recursos y, en cuanto se obtiene una respuesta afirmativa, se concede acceso al recurso.

Aplicación del cumplimiento

El uso de la jerarquía de recursos y de la herencia de políticas de seguridad simplifica las labores de auditoría, ya que asegura que las políticas de seguridad correspondientes se cumplirán de manera continua. Mediante esta propiedad de herencia, los administradores pueden demostrar que, por ejemplo, todos los proyectos permiten inspeccionar sus datos al mismo conjunto de auditores externos. Esto es posible gracias a que cuentan con una política de seguridad de este tipo a nivel de organización que no se anula en ningún caso en los niveles inferiores. Estas políticas de seguridad se definen en las actividades de auditoría de software y su verificación se puede automatizar.

Identificación y ocultamiento de datos sensibles

Lo primero que hay que hacer a la hora de gestionar los datos sensibles es averiguar dónde se encuentran. Cuando los localizas, tus recursos son más adecuados para definir un control de acceso que asegure que el acceso y la gestión son óptimos y usar técnicas para reducir la sensibilidad mediante el ocultamiento, el enmascaramiento o la desidentificación de los datos. Una vez que los datos están ocultos, dejan de transmitir su parte sensible, como por ejemplo un número de identificación personal concreto, un número de tarjeta de crédito válido o información personal identificable (IPI).

El desafío que suele ir asociado al proceso de ocultar grandes cantidades de datos distintos es la necesidad de automatizar el reconocimiento, la clasificación y el ocultamiento adecuado, para lo que resulta muy útil que el sistema trabaje con el contenido de los campos de datos de forma automática. Este nivel de visibilidad automatizada sobre flujos de datos arbitrarios permite que las aplicaciones decidan qué datos transmitir a qué puntos de conexión, qué sistemas utilizar para almacenar los diferentes tipos de datos que se gestionan y cuándo alertar sobre tipos específicos de datos que se transmiten.

Prevención y mitigación

En Google Cloud, Prevención de la pérdida de datos (DLP) te permite comprender y gestionar datos sensibles. Ofrece funciones de clasificación rápidas y escalables, así como de ocultamiento opcional para ese tipo de datos (números de tarjetas de crédito, nombres, números de la seguridad social, números de pasaporte, números de carné de conducir de EE. UU. y de otros países, y números de teléfono). DLP de Cloud admite texto, datos estructurados e imágenes: solo tienes que enviar los datos a DLP de Cloud o especificar los datos almacenados en tus instancias de Google Cloud Storage, BigQuery y Cloud Datastore. Los resultados de DLP de Cloud se pueden usar para supervisar o notificar automáticamente la configuración de Gestión de Identidades y Accesos (Cloud IAM), la residencia de datos u otras políticas. DLP de Cloud también puede ayudarte a ocultar o enmascarar ciertas partes de estos datos para reducir la sensibilidad o contribuir a la minimización de datos como parte de una política de privilegios mínimos o conceptos básicos. Las técnicas disponibles son el enmascaramiento, el encriptado con conservación del formato, la tokenización y la segmentación entre datos estructurados o de texto libre.

Administradores malintencionados

De forma predeterminada, la mayoría de los sistemas informáticos conceden poder ilimitado a los administradores designados. Los administradores malintencionados o vulnerados cuentan con permisos suficientes para perpetrar cualquiera de las situaciones que se analizan en este documento y, además, tienen plena capacidad para eliminar registros y pruebas de sus acciones. Para reducir estos riesgos es necesario separar los poderes y la autoridad en las distintas partes de la red y permitir que los administradores se supervisen entre sí.

Prevención y mitigación

Limitar la autoridad de cualquier agente individual es fundamental para reducir los riesgos que representan los administradores malintencionados.

Para desempeñar las tareas que tienen asignadas, los administradores tienen la capacidad de filtrar datos al exterior. Sin embargo, para reducir el alcance y la magnitud de dichos eventos en caso de que ocurran, se pueden aplicar los siguientes principios:

• Protege una red grande contra las actividades ilícitas de los administradores registrando sus acciones en un lugar al que no puedan acceder. Utiliza un equipo de seguridad independiente para administrar los servicios de supervisión y registro.
• Haz que el acceso de administrador sea temporal y que tenga un periodo de validez breve. En muchas redes, los administradores no necesitan acceso permanente.
• Designa a varias personas para que aprueben las acciones administrativas. Trata todas las acciones administrativas como código fuente que requiera aprobación para reducir los riesgos que representa un solo agente.

Finalización de contratos laborales

El equipo de respuesta a emergencias informáticas (CERT) del Software Engineering Institute de Carnegie Mellon University elaboró una publicación en 2011 en la que se demuestra que es más probable que los empleados participen en una filtración externa de datos cuando saben con antelación que su contrato está a punto de rescindirse. La finalización pendiente de un contrato laboral es un periodo de mayor riesgo que requiere atención adicional por parte de los equipos de seguridad de TI.

Prevención y mitigación

Si la red contiene datos muy sensibles, vincula sistemas de registro y supervisión con el software de Recursos Humanos en el que se registren las próximas rescisiones laborales y define umbrales más moderados para alertar a los equipos de seguridad sobre un comportamiento anómalo de estos usuarios.

Conclusión

La flexibilidad, el ahorro de costes y las posibilidades que ofrecen las infraestructuras en la nube pública requieren una mayor vigilancia y nuevos enfoques para proteger los datos de la filtración externa. Puedes diseñar las políticas y las implementaciones de tu organización de forma que se tenga en cuenta el entorno utilizando las técnicas que se describen en este documento:

• Compartimenta los datos para minimizar el posible alcance de los eventos de filtración externa.
• Crea redundancia y aprobaciones en los flujos de trabajo de los administradores del sistema para aumentar la responsabilidad proactiva.
• Utiliza permisos granulares y concede acceso a los datos sensibles solo a aquellos usuarios cuya función laboral lo requiera.
• Utiliza el registro para aumentar la transparencia del acceso y de la transferencia de datos en tu organización.
• Restringe y supervisa la entrada y la salida de máquinas de tu organización mediante reglas de red, Gestión de Identidades y Acceso (Cloud IAM), y las pasarelas de aplicaciones.
• Crea un valor de referencia de los flujos de datos normales, como la cantidad de datos a los que se accede o que se transfieren, y las ubicaciones geográficas de acceso con las que comparar los comportamientos anómalos.

Pasos siguientes

• Lee el artículo sobre el servicio de políticas de organización.
• Lee el artículo sobre la función Prevención de la pérdida de datos (DLP).
• Lee el artículo sobre la seguridad de Google Cloud.
• Visita la página del ecosistema de partners de seguridad para obtener información sobre los partners de GCP que dedican a la seguridad.
• Visita la página Google Cloud y el RGPD.