Los agresores buscan constantemente mejorar sus márgenes de productividad, pero los nuevos datos de IBM X-Force sugieren que, para conseguirlo, no se apoyan exclusivamente en la sofisticación. Siguen siendo muy utilizadas tácticas sencillas y fiables que resultan fáciles de usar y que ofrecen acceso directo a entornos privilegiados. La principal causa de los ataques a la nube a los que X-Force respondió el año pasado fue el uso indebido de credenciales, lo que refuerza la importancia de que las empresas refuercen sus procedimientos de gestión de credenciales.
Estas son algunas de sus principales conclusiones.
Índice de temas
Credenciales que valen lo que una docena de donuts
Más del 35% de los incidentes de seguridad en la nube se produjeron por el uso de credenciales válidas comprometidas por los ciberdelincuentes. Resulta evidente la popularidad de las credenciales entre los ciberdelincuentes, cuyo tráfico representa casi el 90% de los activos en venta en los mercados de la Dark Web, con un coste medio de 10 dólares por listado, lo que equivale al coste de una docena de donuts. Sólo de las credenciales de Microsoft Outlook Cloud se detectaron más de cinco millones de menciones en los mercados ilícitos; con diferencia, el tipo de accesos más populares a la venta en este mercado negro.
Los atacantes siguen apostando por una higiene inadecuada de las credenciales en las empresas para llevar a cabo sus ataques. Las investigaciones de X-Force revelan que a menudo las credenciales con acceso con privilegios excesivos se dejan expuestas en los terminales de usuario en texto sin formato, lo que crea una oportunidad para que los atacantes establezcan un punto de apoyo para adentrarse en el entorno o acceder a información muy sensible. En concreto, el año pasado se localizaron credenciales en texto plano en los terminales de usuario en el 33% de los casos de simulación de ataques de X-Force Red relacionados con entornos cloud. Esta tendencia al alza del uso de credenciales como vector de acceso inicial, que supuso el 36% de los incidentes en la nube en 2023 frente a solo el 9% en 2022, pone de manifiesto la necesidad de que las organizaciones vayan más allá de las autenticaciones humanas y den prioridad a las barreras tecnológicas capaces de proteger la identidad de los usuarios y la gestión del acceso.
Nubes descuidadas
X-Force observó un incremento de casi el 200% en nuevas Vulnerabilidades y Exposiciones Comunes (CVE) relacionadas con cloud desde el año anterior. En concreto, se han rastreado cerca de 3.900 vulnerabilidades relacionadas con cloud, una cifra que se ha duplicado desde 2019. Los agresores pueden avanzar significativamente en la consecución de sus objetivos explotando muchas de estas vulnerabilidades, ya que más del 40% de las nuevas CVE relacionadas con la nube les permiten obtener información o les proporcionan directamente accesos.
Nubarrones en Europa
El 64% de los incidentes relacionados con cloud a los que X-Force respondió durante el pasado año implicaron a organizaciones europeas. De hecho, de todo el malware observado por Red Hat Insights, el 87% se identificó en organizaciones europeas, lo que pone de manifiesto su atractivo para los atacantes. Es posible que las crecientes tensiones en la región y el repunte en el despliegue de puertas traseras —como recogía el 2023 X-Force Threat Intelligence Index— puedan guardar relación con el hecho de que los entornos cloud europeos sean los principales objetivos de los atacantes.
Las organizaciones minimizan su exposición a ataques
La capacidad de gestionar el alcance completo de la exposición a ataques de las organizaciones es clave para establecer la ciberresiliencia. Sin embargo, las organizaciones tienden a estar más expuestas de lo que creen, a menudo por subestimar los objetivos potenciales dentro de su entorno que pueden servir como objetivos de los atacantes. Las Shadows IT y una vulnerabilidades inmanejable heredadas hacen que las organizaciones tengan cada vez más dificultad para conocer su verdadera exposición.
Según el informe de X-Force, casi el 60% de las vulnerabilidades recientemente reveladas podrían permitir a los atacantes obtener información o bien obtener acceso o privilegios que permitan el movimiento lateral a través de la red. En este sentido, resulta fundamental que las organizaciones sepan qué riesgos deben priorizar, especialmente cuando operan con recursos limitados: desde proporcionar a los atacantes información sobre cómo están configurados los entornos hasta la autenticación no autorizada que puede conceder a los atacantes permisos adicionales.
A medida que las organizaciones se centran en comprender mejor su posición de riesgo en la nube, es importante que combinen dicho conocimiento con la preparación de la respuesta participando en ejercicios de simulación de ataques, utilizando escenarios basados en la nube para entrenar y practicar una respuesta eficaz ante incidentes en cloud. De este modo, no sólo pueden obtener información sobre las rutas de ataque y los objetivos que podría perseguir un ciberataque, sino que también pueden medir mejor su capacidad para responder a un ataque de este tipo y contener cualquier impacto potencial.
