El 95% de las organizaciones ha sufrido ataques contra sus cuentas Cloud

Silvia

Redactora especializada en Seguridad y Tecnología.

Guardar

entornos cloud
entornos cloud

Los ciberdelincuentes están explotando cada vez más las aplicaciones OAuth para dirigir ataques contra organizaciones empresariales, según concluye una nueva investigación de la compañía de ciberseguridad Proofpoint.

Para aquellos que no estén familiarizados, Proofpoint explica que una aplicación OAuth es aquella que se integra con un servicio en la nube y que puede ser proporcionada por un proveedor diferente al proveedor de servicios en la nube.

"Estas aplicaciones agregan funciones comerciales y mejoras en la interfaz de usuario a los servicios en la nube como Microsoft 365 y Google Workspace. La mayoría de las aplicaciones de OAuth solicitan permiso para acceder y administrar la información y los datos del usuario e iniciar sesión en otras aplicaciones en la nube en nombre del usuario. Por ejemplo, pueden acceder a los archivos de los usuarios, leer sus calendarios, enviar correos electrónicos en su nombre y más. Dados los amplios permisos que pueden tener para sus aplicaciones centrales en la nube, las aplicaciones OAuth se han convertido en un vector y una superficie de ataque en crecimiento", afirma Proofpoint.

La compañía de ciberseguridad detalla que OAuth funciona a través de HTTPS, utilizando tokens de acceso (en lugar de credenciales de inicio de sesión) para autorizar dispositivos, API, servidores y aplicaciones. No obstante, asegura que estas aplicaciones se pueden explotar "fácilmente" y se pueden describir como "maliciosas, vulnerables y explotadas".

La explotación de OAuth por parte de los ciberdelincuentes

Este estudio también subraya que los ciberdelincuentes utilizan una variedad de métodos para explotar las aplicaciones OAuth, entre ellos el robo o la creación de certificados de aplicaciones. "Este método fue clave para mantener la persistencia en las cuentas afectadas por el ataque a la actualización de la aplicación SolarWinds".

Asimismo, la compañía señala que los atacantes pueden utilizar el acceso OAuth para comprometer y apoderarse de cuentas en la nube. Además, advierte que los atacantes tienen acceso continuo a la cuenta y a los datos del usuario hasta que el token de OAuth se revoca explícitamente.

"Cualquier aplicación OAuth que tenga amplios permisos de acceso es un riesgo potencial de seguridad para una organización. Así sucedió en el ataque a SolarWinds, conocido el pasado diciembre, que consiguió comprometer la información de decenas de miles de empresas en el mundo. El abuso de OAuth permitió a los ciberdelincuentes de esta campaña tener una visibilidad del correo que simplemente no habría sido posible de haberse usado solo el malware Sunburst", indica la firma de ciberseguridad.

Las principales conclusiones de la investigación de Proofpoint

Para realizar su estudio sobre OAuth, Proofpoint ha examinado más de 20 millones de cuentas cloud de usuarios y miles de inquilinos en la nube entre enero y diciembre de 2020 en Norteamérica y Europa. Estas han sido sus principales conclusiones:

  • En el último año, los atacantes se han dirigido al 95% de las organizaciones con la intención de comprometer cuentas en la cloud.
  • El 52% de las empresas ha sufrido al menos una vulneración de este tipo en 2020.
  • Entre las empresas afectadas, más del 30% ha registrado otras acciones después de que los ciberdelincuentes accedieran a las cuentas, como manipulación de archivos, reenvío de correos electrónicos y actividad OAuth.
  • El 10% de las organizaciones ha autorizado aplicaciones OAuth maliciosas, permitiendo a los atacantes acceder y gestionar la información o los datos de los usuarios.

Recomendaciones de seguridad

Para evitar el abuso de la aplicación OAuth, el informe recomienda a las organizaciones implementar una estrategia de ciberseguridad centrada en las personas en la que se controlen de forma activa las aplicaciones OAuth, minimizando los permisos concedidos y gestionando la lista de usuarios para reducir riesgos.

"Las aplicaciones con roles de administrador y permisos delegados por la aplicación suponen un riesgo mayor porque, si se abusa de ellas, dan un acceso muy amplio al atacante. Por eso, los propietarios de la aplicación necesitan entender el mecanismo de acceso a los recursos de la misma y hacer un seguimiento de posibles cambios o anomalías, como consentimientos extraños a una aplicación poco común, certificados o URLs de dominios desconocidos", agrega la compañía de ciberseguridad.