La principal causa de los ataques a la nube es el uso indebido de credenciales
- Seguridad
El 36% de los incidentes en la nube se produjo con el uso de credenciales como vector de acceso inicial frente a solo el 9% en 2022. Las credenciales comprometidas en la nube no sólo monopolizan los mercados de la Dark Web, sino que los atacantes se hacen con ellas por muy poco. Los accesos más populares a la venta son las credenciales de Microsoft Outlook Cloud.
Los agresores buscan constantemente mejorar sus márgenes de productividad, pero, para conseguirlo, no se apoyan exclusivamente en la sofisticación, sino que siendo muy utilizadas tácticas sencillas y fiables que resultan fáciles de usar y que ofrecen acceso directo a entornos privilegiados. X-Force ha publicado el informe 2023 Cloud Threat Landscape, que revela que la principal causa de los ataques a la nube a los que X-Force respondió el año pasado fue el uso indebido de credenciales, lo que refuerza la importancia de que las empresas refuercen sus procedimientos de gestión de credenciales.
De acuerdo con el informe, más del 35% de los incidentes de seguridad en la nube se produjeron por el uso de credenciales válidas comprometidas por los ciberdelincuentes. Resulta evidente la popularidad de las credenciales entre los ciberdelincuentes, cuyo tráfico representa casi el 90% de los activos en venta en los mercados de la Dark Web, con un coste medio de 10 dólares por listado. Sólo de las credenciales de Microsoft Outlook Cloud se detectaron más de 5 millones de menciones en los mercados ilícitos, siendo el tipo de accesos más populares a la venta en este mercado negro.
Los atacantes siguen apostando por una higiene inadecuada de las credenciales en las empresas para llevar a cabo sus ataques. A menudo las credenciales con acceso con privilegios excesivos se dejan expuestas en los terminales de usuario en texto sin formato, lo que crea una oportunidad para que los atacantes establezcan un punto de apoyo para adentrarse en el entorno o acceder a información muy sensible. En concreto, el año pasado se localizaron credenciales en texto plano en los terminales de usuario en el 33% de los casos de simulación de ataques de X-Force Red relacionados con entornos cloud.
Esta tendencia al alza del uso de credenciales como vector de acceso inicial, que supuso el 36% de los incidentes en la nube en 2023 frente a solo el 9% en 2022, pone de manifiesto la necesidad de que las organizaciones vayan más allá de las autenticaciones humanas y den prioridad a las barreras tecnológicas capaces de proteger la identidad de los usuarios y la gestión del acceso.
La nube se llena de vulnerabilidades
X-Force observó un incremento de casi el 200% en nuevas Vulnerabilidades y Exposiciones Comunes (CVE) relacionadas con cloud desde el año anterior. En concreto, se han rastreado cerca de 3.900 vulnerabilidades relacionadas con cloud, una cifra que se ha duplicado desde 2019. Los agresores pueden avanzar significativamente en la consecución de sus objetivos explotando muchas de estas vulnerabilidades, ya que más del 40% de las nuevas CVE relacionadas con la nube les permiten obtener información o les proporcionan directamente accesos.
Por otra parte, el 64% de los incidentes relacionados con cloud a los que X-Force respondió durante el pasado año implicaron a organizaciones europeas. De hecho, de todo el malware observado por Red Hat Insights, el 87% se identificó en organizaciones europeas, lo que pone de manifiesto su atractivo para los atacantes. Es posible que las crecientes tensiones en la región y el repunte en el despliegue de puertas traseras puedan guardar relación con el hecho de que los entornos cloud europeos sean los principales objetivos de los atacantes.
