Los servicios de almacenamiento en la nube de medio planeta están en peligro ante un 'bug', un fallo de seguridad que permitiría a quienes lo exploten hacerse con el control. El fallo, denominado Venom (en inglés, veneno) aprovecha un defecto en uno de los programas utilizados en muchos de esos servicios, y es especialmente grave por cuanto deja expuesto a ataques un flanco que hasta ahora parecía inexpugnable: las máquinas virtuales.
Así denominadas, este tipo de servicios son en realidad emulaciones de un ordenador dentro de otro ordenador, lo que no sólo permite mucha flexibilidad a la hora de ejecutar programas, sino que también suele ser sinónimo de más protección.
En concreto, Venom aprovecha un fallo en un programa de los conocidos como hypervisors, que son los que permiten ejecutar esas máquinas virtuales y así hacer que, por ejemplo, un sistema operativo corra dentro de otro sistema operativo.
El análisis de seguridad realizado por la firma CrowdStrike, y del que se hace eco la revista Fortune, ha mostrado que el hypervisor Quick Emulator (también conocido como QEMU), usado en servicios como Xen, KVM, Oracle VM VirtualBox, además del propio cliente nativo de QEMU. Por el contrario, servicios como VMWare (de EMC) o Microsoft Hyper-V no se han visto afectados.
La gravedad del fallo Venom reside en que permite a los atacantes saltar entre máquinas virtuales 'contiguas', accediendo a los datos que se guardan en ellas y permitiendo incluso borrarlos o tomar el control de la máquina y utilizarla para realizar ataques sucesivos.
Desde CrowdStrike comparan Venom con el mundialmente famoso Heartbleed, y recuerdan que si con éste el efecto es similar a que "alguien se acerque a tu casa y mire por la ventana", con aquél el atacante "no sólo puede meterse dentro de casa y robar la tele, sino que también puede hacerse con la caja fuerte, robar las joyas, y saltar a la casa de al lado".