“Autorizados” para entrar: los atacantes utilizan credenciales válidas para comprometer entornos cloud

Los agresores buscan constantemente mejorar sus márgenes de productividad, pero los nuevos datos de IBM X-Force sugieren que, para conseguirlo, no se apoyan exclusivamente en la sofisticación. Siguen siendo muy utilizadas tácticas sencillas y fiables que resultan fáciles de usar y que ofrecen acceso directo a entornos privilegiados. X-Force acaba de publicar el informe 2023 Cloud Threat Landscape, en el que se detallan las tendencias más comunes y las principales amenazas observadas contra entornos cloud durante 2022.

La principal causa de los ataques a la nube a los que X-Force respondió el año pasado fue el uso indebido de credenciales, lo que refuerza la importancia de que las empresas refuercen sus procedimientos de gestión de credenciales.

El informe ha sido elaborado a partir de datos de análisis de amenazas de X-Force, tests de intrusión, compromisos de respuesta a incidentes, Red Hat Insights y otros proporcionados por Cybersixgill, colaborador del informe, entre junio de 2022 y junio de 2023. Algunos de los aspectos más destacados del 2023 Cloud Threat Landscape:

    * Credenciales que valen lo que una docena de donuts – Más del 35% de los incidentes de seguridad en la nube se produjeron por el uso de credenciales válidas comprometidas por los ciberdelincuentes. Resulta evidente la popularidad de las credenciales entre los ciberdelincuentes, cuyo tráfico representa casi el 90% de los activos en venta en los mercados de la Dark Web, con un coste medio de 10 dólares por listado, lo que equivale al coste de una docena de donuts. Sólo de las credenciales de Microsoft Outlook Cloud se detectaron más de 5 millones de menciones en los mercados ilícitos; con diferencia, el tipo de accesos más populares a la venta en este mercado negro.

    * Nubes “descuidadas” – X-Force observó un incremento de casi el 200% en nuevas Vulnerabilidades y Exposiciones Comunes (CVE) relacionadas con cloud desde el año anterior. En concreto, se han rastreado cerca de 3.900 vulnerabilidades relacionadas con cloud, una cifra que se ha duplicado desde 2019. Los agresores pueden avanzar significativamente en la consecución de sus objetivos explotando muchas de estas vulnerabilidades, ya que más del 40% de las nuevas CVE relacionadas con la nube les permiten obtener información o les proporcionan directamente accesos.

    * Pronóstico de nubarrones en Europa – El 64% de los incidentes relacionados con cloud a los que X-Force respondió durante el pasado año implicaron a organizaciones europeas. De hecho, de todo el malware observado por Red Hat Insights, el 87% se identificó en organizaciones europeas, lo que pone de manifiesto su atractivo para los atacantes. Es posible que las crecientes tensiones en la región y el repunte en el despliegue de puertas traseras —como recogía el 2023 X-Force Threat Intelligence Index— puedan guardar relación con el hecho de que los entornos cloud europeos sean los principales objetivos de los atacantes.
 
Las credenciales ya no son autenticadores creíbles

Los atacantes siguen apostando por una higiene inadecuada de las credenciales en las empresas para llevar a cabo sus ataques. Las investigaciones de X-Force revelan que a menudo las credenciales con acceso con privilegios excesivos se dejan expuestas en los terminales de usuario en texto sin formato, lo que crea una oportunidad para que los atacantes establezcan un punto de apoyo para adentrarse en el entorno o acceder a información muy sensible.

En concreto, el año pasado se localizaron credenciales en texto plano en los terminales de usuario en el 33% de los casos de simulación de ataques de X-Force Red relacionados con entornos cloud. Esta tendencia al alza del uso de credenciales como vector de acceso inicial, que supuso el 36% de los incidentes en la nube en 2023 frente a solo el 9% en 2022, pone de manifiesto la necesidad de que las organizaciones vayan más allá de las autenticaciones humanas y den prioridad a las barreras tecnológicas capaces de proteger la identidad de los usuarios y la gestión del acceso.

A medida que crece la necesidad de acceder a más datos en más entornos, el error humano sigue suponiendo un gran reto para la seguridad. La creciente necesidad de una gestión de identidades y accesos más dinámica y adaptable puede satisfacerse con las capacidades avanzadas de IA que existen actualmente en el mercado.

Por ejemplo, los clientes de IBM Security Verify obtienen una mejora sustancial al apoyarse en procesos de autenticación más intuitivos para calcular la puntuación de riesgo en función de los patrones de inicio de sesión, la ubicación del dispositivo, la analítica de comportamiento y otros contextos, y luego adaptar automáticamente el proceso de inicio de sesión y la verificación en consecuencia.
 
Las organizaciones minimizan su exposición a ataques: la prueba de estrés de su seguridad es clave
La capacidad de gestionar el alcance completo de la exposición a ataques de las organizaciones es clave para establecer la ciberresiliencia. Sin embargo, las organizaciones tienden a estar más expuestas de lo que creen, a menudo por subestimar los objetivos potenciales dentro de su entorno que pueden servir como objetivos de los atacantes. Las Shadows IT y una vulnerabilidades inmanejable heredadas hacen que las organizaciones tengan cada vez más dificultad para conocer su verdadera exposición.

Según el informe de X-Force, casi el 60% de las vulnerabilidades recientemente reveladas podrían permitir a los atacantes obtener información o bien obtener acceso o privilegios que permitan el movimiento lateral a través de la red.

En este sentido, resulta fundamental que las organizaciones sepan qué riesgos deben priorizar, especialmente cuando operan con recursos limitados: desde proporcionar a los atacantes información sobre cómo están configurados los entornos hasta la autenticación no autorizada que puede conceder a los atacantes permisos adicionales. 

Para ayudar a las organizaciones en este desafío, X-Force Red utiliza IA para la evaluación de riesgos de ataques selectivos, aprovechando el motor de clasificación automatizado creado por hackers del equipo para enriquecer y priorizar los hallazgos en función de los ataques selectivos y los factores de riesgo clave, como el valor de los activos y la exposición.

A medida que las organizaciones se centran en comprender mejor su posición de riesgo en la nube, es importante que combinen dicho conocimiento con la preparación de la respuesta participando en ejercicios de simulación de ataques, utilizando escenarios basados en la nube para entrenar y practicar una respuesta eficaz ante incidentes en cloud.

De este modo, no sólo pueden obtener información sobre las rutas de ataque y los objetivos que podría perseguir un ciberataque, sino que también pueden medir mejor su capacidad para responder a un ataque de este tipo y contener cualquier impacto potencial.