Cloudflare y NIS2: riesgos que el sector público no puede permitirse ignorar

Ahora, la Directiva NIS2 actualizada de la UE entrará en vigor (2024), lo que hace que la cuestión sea más relevante que nunca. La NIS2 impone requisitos de ciberseguridad significativamente más estrictos, sobre todo para las organizaciones del sector público. La directiva ahora cubre la administración pública y muchos proveedores de servicios digitales, haciendo hincapié, entre otras cosas, en la seguridad de la cadena de suministro, la notificación de incidentes y la responsabilidad de la dirección. Esto significa que la decisión de utilizar un servicio externo en la nube, como Cloudflare, ya no es una elección puramente técnica, sino que se ha convertido en una decisión estratégica de riesgo que puede tener consecuencias normativas. Las mismas características de Cloudflare que antes eran objeto de críticas (como la falta de transparencia en el tráfico y la posible protección de actividades maliciosas) pueden ahora poner a las organizaciones del sector público en conflicto con los requisitos de la NIS2.

En este artículo de seguimiento, analizamos los riesgos más graves asociados a Cloudflare desde la perspectiva de la NIS2. Varias autoridades suecas ya utilizan Cloudflare para DNSSEC, cortafuegos de aplicaciones web (WAF) y protección contra DDoS, entre otras cosas, por lo que no se trata de una cuestión abstracta. ¿Cómo afectan la jurisdicción extranjera, la gestión de datos y la configuración técnica de Cloudflare a la capacidad de una organización para cumplir con la NIS2?

A continuación, repasamos cinco áreas clave:

• Jurisdicción
• Residencia de datos
• Falta de transparencia
• Dependencias
• Notificación de incidentes

A través de ejemplos concretos (la sentencia Schrems II, la ley CLOUD, el famoso error Cloudbleed y otros) y enlaces a iniciativas actuales de la UE, mostramos por qué el sector público debe sopesar estos riesgos con mucho cuidado. Concluimos con recomendaciones para los responsables de la toma de decisiones sobre cómo abordar Cloudflare en sistemas sensibles, centrándonos en el cumplimiento de la NIS2.

Jurisdicción: la legislación estadounidense frente a la normativa de la UE

Uno de los riesgos más comentados es la jurisdicción de Cloudflare, es decir, el hecho de que la empresa tiene su sede en Estados Unidos y, por lo tanto, está sujeta a la legislación estadounidense. Esto significa que leyes como la CLOUD Act y la FISA 702 de EE. UU. pueden aplicarse a los datos gestionados por Cloudflare. En términos concretos, esto significa que las autoridades estadounidenses pueden exigir la divulgación de datos a Cloudflare, incluso si los datos se encuentran físicamente dentro de la UE. Este alcance extraterritorial entra en conflicto directo con las normas de protección de datos de la UE: el artículo 48 del RGPD prohíbe la transferencia de datos personales a autoridades extranjeras sin una base jurídica en la UE, y la sentencia Schrems II (2020) del Tribunal de Justicia de la UE estableció que la legislación estadounidense en materia de vigilancia no cumple los requisitos de necesidad y proporcionalidad de la UE. Además, el tribunal consideró que los ciudadanos de la UE no tienen posibilidad de revisión judicial en los Estados Unidos si se recopilan sus datos. En otras palabras, existe un conflicto jurídico inherente: Cloudflare puede verse obligada a cumplir la legislación estadounidense de una manera que ponga en peligro los principios europeos de privacidad e integridad.

Para el sector público, que a menudo maneja datos personales sensibles e información confidencial, esto es una señal de alarma. En Suecia se ha expresado una gran cautela con respecto al uso de servicios en la nube sujetos a la legislación extranjera. La colaboración eSam, por ejemplo, ha declarado que si un proveedor está sujeto a la Ley CLOUD, debe suponerse que la información confidencial puede ser revelada a países extranjeros. Varias autoridades han terminado en un «punto muerto» en el que no han podido trasladar datos a soluciones en la nube estadounidenses precisamente por el riesgo de acceso no autorizado y violaciones de la legislación sobre acceso público y confidencialidad. El conflicto actual entre la legislación de la UE y la de EE. UU. en este ámbito es bien conocido y sigue sin resolverse, a pesar de los nuevos marcos normativos, como el Marco de Protección de Datos. En resumen, el domicilio de Cloudflare en EE. UU. implica un alto riesgo inherente de que se incumplan las normas europeas.

La Directiva NIS2 aborda claramente esta cuestión. El preámbulo de la Directiva hace hincapié en que la gestión de riesgos debe incluir un análisis de la residencia legal de los proveedores y los riesgos que ello conlleva. Se trata de una cuestión de soberanía digital: la UE quiere garantizar que los servicios críticos no estén sujetos a las leyes de potencias extranjeras. También vemos iniciativas concretas que respaldan este punto de vista: Según la propuesta de la ENISA para un sistema de certificación de la nube de la UE (EUCS), el nivel más alto de seguridad solo debería concederse a los servicios en la nube que tengan su sede en la UE, almacenen datos dentro de la UE y garanticen la libertad frente al acceso de gobiernos extranjeros. Si se aprueba, esto excluiría a proveedores como Cloudflare de las áreas de uso más sensibles dentro de la UE. Francia ya ha introducido su propia certificación SecNumCloud con criterios similares: las autoridades francesas no consideran que las nubes estadounidenses sean «soberanas» mientras siga en vigor la Ley CLOUD. Alemania ha sido más pragmática, pero incluso allí existe un tira y afloja entre la necesidad de tecnología estadounidense y las exigencias de control legal.

Consecuencias para el cumplimiento de la NIS2:

• Nivel de riesgo alto: Según una reciente evaluación de riesgos, la jurisdicción estadounidense de Cloudflare está clasificada como de «alto» riesgo (alta probabilidad, alto impacto) para una organización del sector público. Esto se considera bien fundado a la luz de la sentencia Schrems II y la postura de la UE sobre las transferencias a terceros países.
  
  
• Medidas necesarias: La NIS2 exige a las organizaciones que adopten «medidas técnicas y organizativas adecuadas y proporcionadas» para gestionar los riesgos. Si, a pesar de todo, se utiliza un servicio con sede en EE. UU., como Cloudflare, en sistemas sensibles, se deben establecer sólidas salvaguardias (por ejemplo, cifrado, acuerdos de tratamiento de datos) para mitigar el riesgo jurisdiccional. Volveremos a las recomendaciones sobre esta cuestión.
  
  
• Futuras regulaciones: Los responsables públicos de la toma de decisiones deben tener en cuenta que la tendencia en la UE es hacia una mayor restricción con los proveedores dependientes del extranjero. Ignorar estas señales podría significar que, en unos años, se vea obligado a cambiar de soluciones bajo la presión del tiempo, a medida que las regulaciones se vuelvan más estrictas. Por lo tanto, la cuestión de la jurisdicción no es solo un debate teórico, sino que podría determinar si un servicio como Cloudflare estará permitido para determinadas aplicaciones en el futuro.

  Residencia de datos: ¿dónde terminan los datos y el tráfico?

  Estrechamente relacionada con la jurisdicción está la cuestión de la residencia de datos, es decir, dónde fluyen y se almacenan los datos. Cloudflare opera una red global de servidores en más de 100 países para optimizar el rendimiento. Esto significa que, incluso si su servidor web y su base de datos se encuentran en la UE, los datos de tráfico, los metadatos y el contenido de la caché pueden almacenarse temporalmente en nodos fuera de la UE, dependiendo del enrutamiento de la red. La evaluación de riesgos señala explícitamente que el tráfico «puede ser enrutado fuera de la UE», lo que constituye una posible violación de los requisitos locales de almacenamiento de datos. Este riesgo se evaluó como medio-alto en el análisis.

  Formalmente, la NIS2 no estipula que todos los datos deban permanecer dentro de la UE. Sin embargo, la directiva hace hincapié en que se debe abordar la seguridad de la cadena de suministro y la jurisdicción (una vez más, aquí surge el aspecto de la jurisdicción). En la práctica, la cuestión de la residencia de los datos se rige por varias normativas: el RGPD exige la protección de las transferencias de datos personales a terceros países, y las leyes nacionales pueden prohibir que la información confidencial se maneje fuera del control sueco. Como se ha mencionado anteriormente, muchos creen que si un servicio en la nube está sujeto a la Ley CLOUD, de poco sirve que los centros de datos se encuentren en la UE, ya que los datos siguen sin estar «seguros» en el sentido europeo.

  La sentencia Schrems II (2020) invalidó el anterior acuerdo Privacy Shield entre la UE y los EE. UU. e introdujo requisitos para realizar evaluaciones caso por caso antes de transferir datos personales a terceros países. Por lo tanto, las autoridades y las empresas deben llevar a cabo las denominadas «evaluaciones de transferencia» y, posiblemente, introducir medidas de protección adicionales (cifrado, etc.) si los datos pueden acabar fuera de la UE. En Suecia, eSam y la Autoridad Sueca de Protección de Datos han señalado que las transferencias a EE. UU. deben considerarse de alto riesgo y tratarse con la máxima precaución.

  En 2023, varios municipios y autoridades han sido criticados por utilizar servicios en la nube sin una evaluación adecuada de los riesgos del tratamiento en terceros países.

  Cloudflare es consciente de estas preocupaciones y ha puesto en marcha iniciativas para satisfacer los requisitos de los clientes en materia de residencia de datos. Entre otras cosas, ofrece una «suite de localización de datos», en la que Cloudflare se compromete a procesar los datos de tráfico de los clientes únicamente en centros de datos situados dentro de la UE, por ejemplo. También es posible configurar un «límite de metadatos del cliente» para restringir el lugar donde se almacenan determinados metadatos. Estas soluciones, junto con las cláusulas contractuales tipo (SCC) del RGPD, son pasos en la dirección correcta. Sin embargo, no eliminan el riesgo por completo. El problema es que el dilema jurídico subyacente sigue existiendo: un operador con sede en Estados Unidos nunca puede garantizar la total inmunidad frente a las exigencias del Gobierno estadounidense, independientemente de la ubicación de los servidores. Cloudflare puede intentar técnicamente mantener los datos dentro de la UE, pero si una orden judicial de Estados Unidos exige información que ha pasado por su red, Cloudflare se ve atrapada entre violar la legislación de la UE o la de Estados Unidos.

Consecuencias para el cumplimiento de la NIS2:

• Evaluaciones de transferencia: Las organizaciones del sector público deben, de conformidad con el RGPD y las buenas prácticas, llevar a cabo una evaluación de transferencia para Cloudflare si se utiliza el servicio y se incluyen datos personales en el tráfico. Teniendo en cuenta la Ley CLOUD, etc., es probable que dicha evaluación identifique riesgos significativos que requieran un cifrado fuerte o la abstención de utilizar el servicio para esos datos específicos. La NIS2 endurece los requisitos para que se lleven a cabo y documenten dichos análisis.

• Clasificación de datos: Será importante clasificar los datos y el tráfico que pasa por Cloudflare. Los sitios web abiertos y públicos (sin inicio de sesión ni información confidencial) pueden considerarse menos sensibles, en los que las ventajas de Cloudflare pueden superar los riesgos. Los datos personales confidenciales o la información clasificada por motivos de seguridad son otra cuestión; hay argumentos sólidos para considerar que el riesgo de la residencia de los datos y la jurisdicción es inaceptable. El envío deliberado de datos personales confidenciales a través de la red global de Cloudflare probablemente se consideraría una violación del principio de precaución en las actividades públicas.
  
  
• Acuerdos de mitigación: Como compensación, debe haber acuerdos claros: Cloudflare debe comprometerse a mantener los datos dentro de la UE siempre que sea posible, a proporcionar información sobre el destino final de los datos y a impugnar las solicitudes injustificadas de las autoridades. Aunque esto no elimina el conflicto de jurisdicción en sí, al menos puede demostrar que la organización ha hecho todo lo posible, algo que puede ser crucial en una revisión supervisora de la NIS2.

En resumen, la residencia de datos y la jurisdicción son dos caras de la misma moneda. La UE está haciendo cada vez más hincapié en la «soberanía de la nube», por lo que el sector público debe preguntarse: «¿Qué problema supondría que determinados datos a través de Cloudflare acabaran fuera del control de la UE?». Si la respuesta es «inaceptable», Cloudflare debería ser rechazado para esa aplicación o, alternativamente, los datos deberían cifrarse o encapsularse para que ni siquiera la propia Cloudflare pueda acceder a nada útil.

Falta de transparencia: cuando el escudo de la nube oscurece la visión

Un riesgo técnico que se ha destacado es la falta de transparencia cuando Cloudflare actúa como intermediario («proxy inverso»). El servicio de Cloudflare actúa como un escudo frente a su servidor: todo el tráfico de los usuarios pasa primero por la red de Cloudflare, donde se filtra y se almacena en caché, antes de ser reenviado a su aplicación. Esto ofrece muchas ventajas (protección contra DDoS, filtrado de tráfico malicioso, mejora del rendimiento mediante caché), pero también una desventaja: usted, como cliente, puede perder cierta visibilidad de lo que realmente ocurre en el tráfico.

Dos ejemplos concretos de problemas de transparencia:

• Direcciones IP ocultas: cuando Cloudflare actúa como proxy de su tráfico web, la dirección IP real del visitante no es visible en sus registros, sino que se ve una IP de Cloudflare. La IP original se puede obtener a través de encabezados especiales (CF-Connecting-IP), pero esto requiere que sus sistemas los admitan y los registren. Para muchos sistemas antiguos o registros estándar, utilizar Cloudflare significa perder información sobre la procedencia del tráfico. Esto dificulta la realización de análisis basados en la ubicación geográfica, el bloqueo de actores maliciosos individuales y mucho más.
  
  
• Registros en la nube: Gran parte de la información de registro sobre lo que Cloudflare bloquea o permite pasar se almacena en Cloudflare, no localmente en sus instalaciones. Para ver registros detallados de solicitudes HTTP, accesos a la caché, eventos WAF, etc., debe utilizar la interfaz o la API de Cloudflare. Esto supone un problema, especialmente para los clientes más pequeños: Cloudflare solo ofrece registros HTTP completos a los clientes Enterprise. Si no se paga por el nivel más alto, el acceso a los datos sin procesar puede verse limitado, ya que no solo se obtienen datos agregados o tiempos de retención más cortos. La evaluación de riesgos señala que el análisis forense y la supervisión pueden verse afectados si no se cuenta con el nivel de contrato adecuado.

Para una organización del sector público que necesita mantener un alto nivel de seguridad, la falta de transparencia significa que los ataques o anomalías pueden pasar desapercibidos. Puede ser difícil detectar una campaña de intrusión avanzada si se filtran detalles importantes en la nube. Y si se investiga un incidente de forma retrospectiva, las pruebas críticas pueden estar fuera de alcance en los servidores de Cloudflare.