Peligros en Amazon S3: Costes inesperados y seguridad

Este análisis aborda una vulnerabilidad crítica en Amazon S3 que puede generar facturas astronómicas debido a ataques de denegación de servicio (DoS) enfocados en los costes de escritura.

El Problema de las Peticiones "PUT"

Aunque un bucket de S3 sea privado, si alguien descubre su nombre, puede enviar peticiones PUT masivas. AWS cobra por estas operaciones independientemente de si la solicitud es rechazada o exitosa:

• Facturación por error: AWS contabiliza las peticiones fallidas como operaciones de escritura (clase A).
• Escalabilidad del coste: A un precio de 0,005 $ por cada 1.000 requests, un volumen de millones de peticiones puede generar una factura de miles de dólares en un solo día.

Medidas de Mitigación y Buenas Prácticas

Para proteger la infraestructura frente a este tipo de abusos, se recomiendan las siguientes estrategias:

• Uso de CloudFront: Implementar una red de distribución de contenidos (CDN) frente al bucket ayuda a ocultar el origen y gestionar mejor el tráfico.
• Ofuscación de nombres: Evitar nombres predecibles para los buckets añadiendo sufijos aleatorios.
• Monitorización y Límites: Aunque el corte automático es una opción, debe medirse el riesgo de una interrupción del servicio (DDoS costoso versus pérdida de negocio).

"Es una locura porque las operaciones de escritura son más caras y, si te hacen 10.000 millones de peticiones, empieza a picar."

Comparativa con Alternativas

Se menciona la comparativa con Cloudflare R2, destacando que su estructura de costes elimina el cargo por ancho de banda, lo cual representa un ahorro sustancial frente a S3 en ciertos casos de uso, aunque S3 sigue siendo un estándar robusto para almacenamiento de objetos.