We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

¿Qué sucede con lo el espionaje hacia los servidores de OVH?


alvaroag
10/12/2016, 16:44
Advertencia: No es una respuesta oficial de OVH. Soy un usuario del foro, cliente de OVH hace algunos años, y esta respuesta es basada en mi experiencia con OVH, mis conocimientos técnicos y legales, e información públicamente disponible.

Hola. Creo que no has leído bien la noticia.... La noticia es referente a que Reino Unido está o ha estado espiando a Octave Klaba, el dueño de OVH. Lo que menciona de la NSA es sólo a manera de antecedentes, pues se supo, con la información revelada por Edward Snowden, que la NSA espíaba a Octave Klaba.

Ahora bien, sobre la trascendencia de que realicen espionaje o seguimiento, creo que a nivel operativo de los servicios de OVH no tiene importancia alguna. Los servicios de inteligencia habitualmente hacen seguimiento a personas sólo por considerar que son sujetos de importancia para sus fines.

Lo que sí que podría preocuparte es sobre la posibilidad de que el espionaje de la NSA o el servicio de inteligencia de UK tenga un alcance mayor, es decir, que pudieran estar inspeccionando las comunicaciones, tus dudas son más que razonables.

Se sabe que al menos la NSA practica inspecciones masivas en fibras de distintos proveedores de internet, especialmente fuera de EEUU. Algunos puntos de intercambio por todo el mundo han facilitado a la NSA los medios para poder inspeccionar tráfico en sus redes.

Qué puedes hacer al respecto? Fácil. Lo primero, encripta todo front end; utiliza sólo HTTPS, y procura que cualquier otro protocolo que utilices sea encriptado. Si tienes comunicación entre tus servidores, ya sea sobre internet o sobre vRack, encríptala, ya sa a nivel de red(sólo en le vRack) o a nivel de aplicación.

Si te preocupa la seguridad jurídica de tu información. te recomiendo que tengas los servidores en el DC BHS de OVH, en Canada. Hay mejores países en ese aspecto, claro, pero OVH no tiene DCs en esos países. Si piensas cambiarte, y buscas máxima seguridad jurídica, Suiza o Alemania son excelentes alternativas.

Pero en ningún casos puedes tener la garantía de que ninguna agencia de inteligencia pueda inspeccionar tu tráfico, ya que aún en los países más seguros, las conexiones a internet pueden ser espiadas desde fuera de ese país. Por eso es importante que encriptes todo.

También puedes probar encriptación de discos o encriptación de archivos, nada es menospreciable en seguridad. Y, obviamente, medidas de seguridad generales: contraseñas seguras, cambio frecuente de contraseñas, firewall restrictivo a lo mínimo indispensable, etc.

En cuanto a tus preguntas:

¿Hay algún comunicado oficial sobre este tema?
No. Y no creo que lo haya mientras no se vcea comprometida información de clientes.

¿Qué tan seguro están mis datos?
Tan seguros como tu los pongas... OVH se hace responsable de la seguridad física de los servidores, de manera que nadie pueda entrar y robar tu servidor, o sacar el disco duro, ni nada por el estilo. También se hacen responsables de la seguridad de red, que es básicamente, prevenir que otros servidores dentro de OVH puedan suplantar a tu servidor, y también el tema del AntiDDOS. Pero lo demás es trabajo tuyo. De mucha maneras, y en muchos niveles, se puede perpetrar espionaje, y es por eso que debes asegurar que las comunicaciones entrantes y salientes de tus servidores sean encriptadas.

¿Hay alguna política oficial de parte de OVH sobre la divulgación de datos y contenidos almacenados de sus clientes?
En cuanto a los datos de clientes, están regulados por la normativa del país donde se encuentre la sucursal de OVH con la que contratas. En general, todas las sucursales europeas tienen regulaciones muy parecidas, ya que la UE establece normas al respecto, y son bastante buenas. En cuanto al contenio de tus servidores, OVH no mira contenido de servidores más allá de lo que se pueda ver, por ejemplo, entrando a una página web alojada en tu servidor. Excluyen explícitamente los casos dictados por orden judicial.

¿Cómo puedo estar seguro de que mis datos no serán violados y entregados a terceros?
OVH no lo hará. Pero para protegerte frente a terceros, pon al máximo

Si mis datos llegan a manos de terceros debido a la divulgación por parte de OVH, ¿hay alguna indemnización por ello? ¿se hace responsable OVH por los daños?
El contrato establece que cualquier indemnización no puede exceder de una mensualidad del servicio afectado. Eso es común, y creo que ningún ISP aceptaría por escrito, y de manera anticipada, mayor responsabilidad. En juicio, las cosas son distintas, y se puede buscar toda la responsabilidad que se considere adecuada. Pero el juicio debe ser llevado en el país de la sucursal donde contratas, en este caso, en España.

usuario_xyz
09/12/2016, 18:33
Hola, he leído el siguiente artículo:

http://www.lemonde.fr/pixels/article...7_4408996.html

El cual habla sobre planes de la nsa para realizar monitoreo y espionaje a traves de los servicios de OVH. Según lo que pude leer, a pesar de que el correo si es verídico no se pudo demostrar cual fue el desenlace de esto, tampoco dice nada adicional, solo planes e intenciones.

Actualmente estoy alojando sitios muy importantes de mi pais en ovh, no hablo como persona natural sino como compañía, somos una compañía que ofrece servicios de almacenamiento de datos seguro especialmente a algunas entidades de gobnierno, y nos preocupa de gran manera que alguien externo pueda acceder a nuestros datos sin nuestro consentimiento, sin mencionar la violación del contrato que aceptas al momento de contratar un hosting.

Por mi parte, me están presionando para cambiar de hosting pero la verdad es que entiendo que no se habla de un acto en concreto sino solo de intenciones y en esa misma situación pueden estar muchos otros proveedores, por lo cual necesito realizar algunas preguntas:

¿Hay algún comunicado oficial sobre este tema?
¿Qué tan seguro están mis datos?
¿Hay alguna política oficial de parte de OVH sobre la divulgación de datos y contenidos almacenados de sus clientes?
¿Cómo puedo estar seguro de que mis datos no serán violados y entregados a terceros?
Si mis datos llegan a manos de terceros debido a la divulgación por parte de OVH, ¿hay alguna indemnización por ello? ¿se hace responsable OVH por los daños?

Si no obtengo los argumentos suficiente para responder a estas preguntas estaré obligado a cambiar de proveedor porque no tendré como argumentar a la directiva sobre lo sucedido.

Muchas gracias.