El uso indebido de las credenciales, vector de acceso inicial de más de un tercio de los incidentes cloud

IBM acaba de dar a conocer los resultados del "2023 Cloud Threat Landscape Report", a través de un post que firma Chris Caridi, Senior Threat Analyst de IBM Security X-Force. En él revela que la facilidad que tienen los atacantes para acceder a las credenciales comprometidas se ha convertido en el principal vector de ataque utilizado para infiltrarse en entornos en la nube, lo que pone en evidencia la importancia de que las empresas refuercen sus procedimientos de gestión de credenciales. El 36% de los incidentes en la nube se produjo con el uso de credenciales como vector de acceso inicial frente a solo el 9% en 2022.

De hecho, según asegura en el post, al final, esas credenciales comprometidas en la nube no sólo monopolizan los mercados de la Dark Web, sino que son muy baratas. Al respecto, el informe revela que más del 35% de los incidentes de seguridad en la nube se produjeron por el uso de credenciales válidas comprometidas por los ciberdelincuentes. Resulta evidente la popularidad de las credenciales entre los ciberdelincuentes, cuyo tráfico representa casi el 90% de los activos en venta en los mercados de la dark web, con un coste medio de 10 dólares por listado, lo que equivale al coste de una docena de donuts. Sólo de las credenciales de Microsoft Outlook Cloud se detectaron más de 5 millones de menciones en los mercados ilícitos, con diferencia, el tipo de accesos más populares a la venta en este mercado clandestino.

En relación con ello, hay otro dato preocupante. Un 33% de simulaciones de ataques de X-Force en entornos en la nube revelaron la existencia de credenciales en texto sin cifrar en estaciones de trabajo de los usuarios, a menudo para cuentas con privilegios excesivos.

Por otro lado, han aumentado las vulnerabilidades graves relacionadas con la nube. Más del 50% de las nuevas vulnerabilidades en cloud reveladas el año pasado fueron graves e implicaban acceso no autorizado, permisos adicionales o información de infraestructura, lo que crea un mayor riesgo de impacto en la empresa. X-Force observó un incremento de casi el 200% en nuevas vulnerabilidades y Exposiciones Comunes (CVE) relacionadas con cloud desde el año anterior. En concreto, se han rastreado cerca de 3.900 vulnerabilidades relacionadas con cloud, una cifra que se ha duplicado desde 2019. Los agresores pueden avanzar significativamente en la consecución de sus objetivos explotando muchas de estas vulnerabilidades, ya que más del 40% de las nuevas CVE relacionadas con la nube les permiten obtener información o les proporcionan directamente accesos.

También resulta preocupante que el 64% de los incidentes relacionados con cloud a los que X-Force respondió durante el pasado año implicaron a organizaciones europeas. De hecho, de todo el malware observado por Red Hat Insights, el 87% se identificó en organizaciones europeas, lo que pone de manifiesto su atractivo para los atacantes. "Es posible que las crecientes tensiones en la región y el repunte en el despliegue de puertas traseras —como recogía el 2023 X-Force Threat Intelligence Index— puedan guardar relación con el hecho de que los entornos cloud europeos sean los principales objetivos de los atacantes", señala Caridi en el post.

El informe ha sido elaborado a partir de datos de análisis de amenazas de X-Force, tests de intrusión, compromisos de respuesta a incidentes, Red Hat Insights y otros proporcionados por Cybersixgill, colaborador del informe, entre junio de 2022 y junio de 2023.