La nube como escenario de amenazas
¡Hola, lectores!
Hace una década, el número de usuarios que optaba por almacenar sus archivos y documentos en la red de servidores en la nube era reducido, una tendencia que ha aumentado significativamente durante los últimos años llegando a convertirse en uno de los servicios de almacenamiento de información, software y sistemas más utilizado en la actualidad. Al hacer uso de este tipo de servicios, los usuarios particulares y las empresas pueden evitar, entre otras cosas, el empleo de discos duros destinados al almacenamiento de datos.
En la actualidad, los servicios en la nube pueden ser públicos, donde los datos almacenados dependen de una organización externa como Microsoft Azure o Google Cloud; privados, en los que los servidores son propiedad de los usuarios; e híbridos, que surgen como una combinación de los dos anteriores. Del mismo modo, también existen los servicios conocidos como espacios multi-nube, en los que se combinan diferentes servicios de nubes públicas de distintos proveedores y, en ocasiones, también incluyen nubes privadas.
Ilustración 1. Tipologías de nube. Elaboración propia
Por su parte, la seguridad informática relacionada con entornos en la nube ha ido cobrando especial protagonismo durante los últimos años, destacando las actividades empresariales y gubernamentales. La utilización de estos servicios en los entornos de trabajo habituales se vio impulsada durante la pandemia de COVID-19 a causa de la implantación del teletrabajo en gran parte de las organizaciones empresariales, muchas de las cuales continúan trabajando en remoto total o parcialmente en la actualidad. Por esta razón, resulta indispensable conocer los riesgos de seguridad más comunes asociados al uso de estos servicios, entre los que se pueden destacar los siguientes:
- Vulnerabilidades: constituyen uno de los principales vectores de entrada de los que hacen uso los ciberdelincuentes para obtener accesos no autorizados a los sistemas informáticos. En este sentido, resulta conveniente que las organizaciones minimicen este tipo de riesgos de seguridad a través de detección temprana de vulnerabilidades y de la implementación de parches de seguridad.
- Robo de cuentas corporativas: el secuestro de cuentas de usuarios y empleados se posiciona como uno de los principales riesgos de seguridad en la nube, siendo el factor humano un eslabón que tiende a subestimar los riesgos asociados al uso de sistemas informáticos. De este modo, resulta común que los usuarios continúen utilizando claves de acceso débiles y tiendan a la reutilización de contraseñas.
- Configuraciones y API inseguras: las interfaces de programación de aplicaciones (API) y otros activos similares pueden contener vulnerabilidades a raíz de configuraciones deficientes, errores de codificación o de falta de autenticación y autorización. En este punto, los equipos de tecnologías de la información deben verificar que sólo los usuarios autorizados tengan acceso a los datos.
Por otro lado, debido en gran parte al incremento en su utilización durante los últimos años, cabe señalar que los entornos en la nube se han convertido en un objetivo idóneo para los actores de amenazas. En este sentido, los ciberdelincuentes han observado que estos servicios albergan una gran cantidad de información, aplicaciones y datos a partir de los cuales podrían obtener diferentes beneficios. Por todo ello, resulta indispensable señalar cuáles son los principales ciberataques a los que se enfrentan dichos entornos en la actualidad:
- Denegación de servicio (DDoS): este tipo de ataque puede afectar tanto al canal o aplicación de transmisión como a la red informática. Tiene lugar al sobrecargar la máquina objetivo con solicitudes hasta que la cantidad de tráfico normal no logra ser procesada. El mayor ciberataque DDoS registrado hasta la fecha que se ha dirigido contra proveedores de la infraestructura en la nube como Google Cloud o Microsoft Azure se registró durante el mes de agosto de 2023. Durante el transcurso de la operación, los ciberdelincuentes hicieron uso de una técnica novedosa conocida como “Rapid Reset”, la cual aprovechaba una característica del protocolo HTTP/2 para lanzar un ataque de saturación de HTTP.
- Fuerza bruta: en este tipo de incidentes los ciberdelincuentes prueban numerosas combinaciones de usuarios y contraseñas en los formularios de inicio de sesión de los sitios web o de las aplicaciones objetivo. Desde el año 2019 hasta 2021, expertos en ciberseguridad detectaron que el Directorio Principal del Alto Estado Mayor de las Fuerzas Armadas de la Federación Rusa (GRU) llevó a cabo un ataque de fuerza bruta contra diferentes empresas de computación en la nube. La mayor parte de los objetivos de esta campaña pertenecían al sector gubernamental y privado de todo el mundo, habiendo apuntado específicamente contra organizaciones que utilizaban servicios en la nube de Microsoft Office 365.
- Phishing: respecto a esta tipología de ataques, los ciberdelincuentes han optado por innovar y comenzar a utilizar los servicios en la nube como ubicación segura para ocultar enlaces que alberguen contenido fraudulento. De esta forma, al utilizar servicios legítimos se incrementa la confiabilidad de los usuarios en la amenaza y, por tanto, aumenta la posibilidad de que los usuarios no detecten que se trata de un sitio web fraudulento, ya que el phishing se aloja en dominios legítimos como, por ejemplo, “drive [.] google [.] com” y el atacante hace uso de certificados SSL, tal y como se puede apreciar en la siguiente ilustración, que referencia un documento PDF fraudulento que ha sido cargado en Google Drive.
Ilustración 2. Documento PDF fraudulento cargado en Google Drive. Fuente: Check Point
De este modo, los ataques de phishing se posicionan como una de las amenazas activas más comunes relacionadas con entornos en la nube.
- Malware: otra de las tipologías de ciberincidentes a tener en cuenta a la hora de utilizar servicios en la nube es la distribución de cargas útiles de malware que, generalmente, se produce a través de la descarga de aplicaciones desde el servicio en cuestión. Concretamente, las cargas útiles de malware distribuidas en la nube han aumentado desde el 33% registrado durante 2022 hasta alcanzar el 53% durante el último año. Investigadores de ciberseguridad han señalado que los troyanos han representado el 79% de todas las cargas útiles detectadas durante 2023 en estos entornos.
Entre las principales familias de malware identificadas en las campañas más significativas de los últimos años contra servicios en la nube se han posicionado Tsunami, Androxgh0st, las puertas traseras SharpStage y DropBook y el downloader MoleNet. Así mismo, algunos de los grupos de cibercriminales más notorios y que más actividad han mostrado contra este tipo de entornos han sido Molerats, TeamTNT o el conocido APT29, una organización ilícita dedicada al ciberespionaje vinculada con el Servicio de Inteligencia Exterior de Rusia (SVR).
Por otro lado, tal y como se puede apreciar en el siguiente gráfico, el cual data del año 2022, Google Drive se posicionó como el servicio en la nube en el que se producían más descargas de malware, acumulando un 37%; mientras que en las siguientes posiciones se encontraban los servicios de OneDrive y Sharepoint, con un 20% y un 9% respectivamente.
Ilustración 3. Top de aplicaciones distribuidoras de malware 2021. Fuente: IT Digital Security
- Robo de información confidencial: continúa posicionándose como uno de los incidentes de seguridad que más preocupa en la actualidad, especialmente en lo que atañe a particulares y entidades empresariales. Para lograrlo, los atacantes tratan de robar cuentas personales y corporativas a través de ataques de phishing, malware de recopilación de credenciales, ataques de fuerza bruta, reutilización de credenciales o credential stuffing. Una vez que los ciberdelincuentes han logrado acceder a los sistemas objetivo, tratarán de establecer persistencia y de propagarse en busca de nuevas víctimas. Así mismo, habrán obtenido una vía de acceso que puede desembocar en el robo de registros financieros, de propiedad intelectual e, incluso, derivar en nuevos y más sofisticados ciberataques.
- Man in the Cloud: consiste en que un actor de amenazas logra obtener acceso a los servicios de almacenamiento en la nube, como, por ejemplo, Dropbox o Google Cloud, con la finalidad de subir al entorno archivos infectados previamente con cargas útiles de malware, convirtiendo así los servicios de sincronización de archivos en un vector de ataque a gran escala. Este tipo de ataques suele tener un alcance masivo debido a que, en ocasiones, los miembros de una entidad tienen sincronizados y compartidos sus archivos con otros usuarios y organizaciones, por lo que, al infectar una de las cuentas que forma parte de la carpeta compartida, la carga útil logrará propagarse a todas las restantes.
- Técnicas de ataque y herramientas adicionales: para finalizar, cabe destacar que, tras indagar en diversos foros clandestinos de ciberdelincuencia, se han identificado diferentes publicaciones de usuarios en las que se hace mención a cinco técnicas y herramientas que, a pesar de tener en su mayoría fines legítimos, ocasionalmente son empleadas por los ciberdelincuentes para llevar a cabo ataques contra el entorno en la nube. Estas cinco técnicas y herramientas son conocidas como: Cloud Container Attack Tool (CCAT), CloudHunter, Cloudsplaining, Endgame y GCPBucketBrute.
Como conclusión, resulta factible considerar que, debido al mencionado incremento respecto a la utilización de este tipo de servicios, la cantidad y variedad de incidentes a los que se han enfrentado estos entornos durante los últimos años ha experimentado una notable tendencia al alza. Entre los principales ataques perpetrados contra estos sistemas continúan destacando métodos tradicionales como los ampliamente conocidos correos electrónicos de phishing, malware o las técnicas destinadas al robo de información confidencial. Al llevar a cabo este tipo de ataques contra los servicios en la nube los ciberdelincuentes dotan a la amenaza de un mayor grado de confiabilidad, en gran medida a causa de la utilización de dominios y sitios de almacenamiento legítimos que han sido vulnerados, a la vez que minimizan su perceptibilidad por parte de terceros que pudieran poner en riesgo sus operaciones.
En este sentido, los actores de amenazas también se han visto abocados a la utilización de técnicas de ataque tradicionales en las que han implementado ciertas modificaciones, como es el caso de los incidentes conocidos dentro del panorama actual de ciberamenazas como Man in the Cloud. Este ataque ha derivado del ciberincidente clásico Man in the Middle y, tal y como se ha mencionado con anterioridad, tiene como principal objetivo lograr acceder a los entornos en la nube con la finalidad de llevar a cabo alguna actividad fraudulenta, como, por ejemplo, propagar cargas útiles de malware en los sistemas de usuarios particulares y empresas. Así, es posible constatar que el uso de los entornos en la nube está contribuyendo al desarrollo de nuevas formas de ciberdelincuencia adaptadas de manera particular a estos servicios o que se dirigen contra ellos de manera exclusiva.
Por todo lo expuesto anteriormente, a continuación se procede a ofrecer una serie de recomendaciones de carácter general a tener en cuenta con el objetivo de evitar posibles incidentes relacionados con las tipologías de ciberamenazas mencionadas durante el análisis:
- Habilitar restricciones de acceso y establecer políticas de confianza cero para todos los usuarios de la organización.
- Realizar copias de seguridad de todos los datos y archivos almacenados en los servicios en la nube en memorias externas y cifradas.
- Actualizar periódicamente el software y las tecnologías empleadas en el desarrollo de las actividades habituales de una organización.
- Configurar las políticas de seguridad de los navegadores deshabilitando la opción de guardado automático de contraseñas y la función de autocompletar con las credenciales de acceso previamente almacenadas.
- Utilizar gestores de contraseñas corporativos y generadores de contraseñas para lograr una mayor robustez al respecto. Así mismo, se recomienda implementar mecanismos de autenticación multifactor (2FA) y emplear contraseñas de uso único.
- Comprobar que al acceder a algún anuncio o enlace el usuario esté siendo redirigido al sitio web deseado.
- Mantenerse actualizados sobre las últimas novedades en ciberamenazas, concretamente sobre las relacionadas con incidentes en entornos de la nube.
Y hasta aquí la entrada de hoy. Espero que os haya sido de interés, ¡hasta la próxima!
Bibliografía
Bustos, V. & Llano, A. (2024). ¿Te ha llegado un SMS de la Agencia Tributaria para devolverte dinero? Cuidado con la estafa masiva. El Español. Disponible en: https://www.elespanol.com/invertia/mis-finanzas/llegado-sms-agencia-tributaria-devolverte-dinero-cuidado-estafa-masiva/828667479_0.html.
Sisó, P. V. (2024). Declaración de la renta 2023-2024: novedades para que la devolución de Hacienda sea más alta. Antena 3. Disponible en: https://www.antena3.com/noticias/economia/declaracion-renta-20232024-novedades-que-hacienda-devuelva-mas_20240331660897280999030001c49501.html.
Sin autor (2024). Revista de la Seguridad Social. X. Disponible en: https://twitter.com/RvstaSegSocial/status/1767100958448775344.
Sin autor (2024). Ana NSK. X. Disponible en: https://twitter.com/nuskafe/status/1758547403974582354.
Sin autor (2024). Isidro M. Pérez. X. Disponible en: https://twitter.com/maverick69i/status/1767200318964531602.
Sin autor (2023). Notificaciones fraudulentas suplantan la identidad de la Agencia Tributaria para propagar malware. INCIBE. Disponible en: https://www.incibe.es/ciudadania/avisos/notificaciones-fraudulentas-suplantan-la-identidad-de-la-agencia-tributaria-para.
Sin autor (2018). Mucho ojo: cuelan una app falsa de la Renta en Google Play. Yahoo! Disponible en: https://es.finance.yahoo.com/noticias/mucho-ojo-cuelan-una-app-falsa-de-la-renta-en-google-play-171250974.html.
Sin autor. A través de Internet: páginas web falsas y phishing. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/traves-internet-paginas-web-falsas-phishing.html.
Sin autor. Mensajes de texto (SMS) no enviados por la Agencia Tributaria. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/mensajes-texto-no-enviados-agencia-tributaria.html.
Sin autor. Aplicaciones para móviles. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/aplicaciones-moviles.html.
Sin autor. Servicios telefónicos de cita ajenos a la Agencia Tributaria. Agencia Tributaria. Disponible en: https://sede.agenciatributaria.gob.es/Sede/condiciones-uso-sede-electronica/aviso-seguridad/servicios-telefonicos-cita-previa-ajenos-tributaria.html.
Raquel Puebla González e Itxaso Reboleiro Torca, Analistas de Ciberinteligencia en Innotec Security, Part of Accenture