Consultoría en seguridad

La seguridad es un tema muy amplio; pero, en el contexto de una plataforma colaborativa como Nextcloud, hace referencia, principalmente, a la seguridad de los documentos.

El hecho de que puedas instalar Nextcloud (y, en concreto, su backend de almacenamiento) cuando quieras es el primer paso y el más importante para reforzar la seguridad de tus documentos. Tú posees el control directo de la instalación y el poder de aplicación de políticas de acceso a los datos, almacenamiento y gestión necesarias para tu caso de uso.

Estamos aquí para ayudarte a comprender las técnicas de protección de datos más avanzadas e implementar políticas inteligentes con un buen equilibrio entre facilidad de uso y protección de tus activos digitales.

A continuación, exponemos algunos ejemplos de dichas técnicas.

Cifrado del servidor

El cifrado del servidor aplica cifrado a tu almacenamiento primario y externo, de modo que la lectura del contenido de los archivos debe realizarse a través de la aplicación que posee las claves de cifrado. Normalmente, este tipo de cifrado se utiliza cuando no poseemos plena confianza en el proveedor de almacenamiento, ya que el administrador de Nextcloud siempre puede recurrir al uso de una llave maestra para desencriptar los archivos. Además de añadir una capa extra de seguridad, el cifrado del servidor conlleva ciertas repercusiones en términos operativos, facilidad de uso y rendimiento; así que, su uso debería ser evaluado detenidamente.

Cifrado de extremo a extremo

Con el cifrado de extremo a extremo (E2EE), el dispositivo del usuario es el que encripta los archivos, de forma que nunca abandonan el dispositivo sin ningún tipo de cifrado. Este tipo de cifrado es compatible con todos los clientes oficiales de Nextcloud, ya sean para escritorio (Windows, Linux, macOS) o para móvil (Android y derivados e iOS). El cifrado E2EE proporciona a sus usuarios las máximas garantías de protección de datos, pero su impacto en términos de usabilidad es todavía mayor. Por ejemplo, los usuarios no pueden colaborar en tiempo real ni acceder a los archivos encriptados desde el navegador. Se recomienda el uso del cifrado de extremo a extremo únicamente para la información más sensible. También se recomienda impartir formación a los usuarios sobre cómo y cuándo utilizarlo.

Control de acceso a archivos

El control de acceso a archivos es un potente mecanismo de definición de normas para restringir el acceso a los archivos y carpetas de Nextcloud. Existe la opción de ejecución marcos de flujo de trabajo y se pueden definir diferentes parámetros de solicitud para denegar el acceso a una serie de recursos: hora, agente de usuario o grupo de usuario. Puede combinarse con la descripción de flujos automatizados y la ejecución de flujos de notificaciones.

Protección contra fuerza bruta

La protección contra fuerza bruta ha sido desarrollada para proteger la instancia de Nextcloud contra ataques de fuerza bruta, pensados para el uso indebido de contraseñas o tokens (contraseñas de aplicaciones). Cuando se detecta tal comportamiento desde una dirección IP determinada, el porcentaje de intentos de inicio de sesión desde esa dirección IP se limita y, si el ataque persiste, se reduce progresivamente. Además, el administrador también cuenta con las herramientas necesarias para gestionar los falsos positivos y las situaciones en que Nextcloud se ejecuta tras un equilibrador de carga o proxy inverso.

Seguridad de autenticación: autenticación multifactor y contraseñas de aplicación

En Nextcloud, la autenticación puede gestionarse internamente o externalizada a un servidor LDAP/Active Directory o a un sistema de inicio de sesión único. Estos backends de autenticación pueden coexistir. Cuando la autenticación se gestiona internamente, el administrador de la instancia puede reforzar la autenticación para todos los usuarios o solamente para un grupo determinado.

Nextcloud también ofrece la posibilidad de definir contraseñas de aplicación. Estas contraseñas pueden ser definidas por el usuario o creadas a través de los flujos de inicio de sesión de los clientes y permiten al usuario lograr un control granular sobre los dispositivos y aplicaciones con acceso autorizado a la cuenta, o a parte de ella. El ejemplo más común de esta función es la eliminación de los dispositivos que no estén bajo el control de usuarios determinados debido a pérdidas, robos o cambios de propietario. Todas las aplicaciones cliente del dispositivo requieren una o varias contraseñas. Además, pueden desactivarse desde la interfaz de usuario web (Web UI).