Las aplicaciones OAuth maliciosas ponen en riesgo la seguridad en la nube

  • Cloud

Un estudio de la firma de seguridad Proofpoint advierte de que las aplicaciones OAuth maliciosas están amenazando la ciberseguridad en los entornos corporativos en cloud. Solo el año pasado detectó 180 apps diferentes en intentos de ataque dirigidos al 55% de sus clientes, con una tasa de éxito del 22%.

Recomendados: 

Seis razones para proteger Salesforce con una solución de terceros Leer

Nutanix Enterprise Cloud Index - Situación en España Leer

OAuth es un estándar abierto que permite añadir funciones empresariales y mejoras en la interfaz de usuario de plataformas cloud como Microsoft 365 y Google Workspace. Sin embargo, estas mismas capacidades lo están convirtiendo en un nuevo vector de ataque por parte de los ciberdelincuentes, quienes están creando apps OAuth 2.0 maliciosas o malware cloud para extraer información y acceder a datos sensibles. Sólo en 2020 Proofpoint detectó más de 180 aplicaciones maliciosas diferentes en intentos de ataque a más de la mitad de los clientes (55%) con una tasa de éxito del 22%.

Entre las formas de ataque más empleadas está el phishing con tokens de OAuth y el abuso de aplicaciones OAuth, puesto que facilitan a los atacantes lanzar amenazas de usuario a usuario, así como sustraer archivos o correos de plataformas cloud. Estas amenazas con aplicaciones maliciosas se dirigen principalmente a altos cargos de una organización y otros empleados con acceso a datos sensibles. De tener éxito con el ataque, los ciberdelincuentes pueden llegar a leer, escribir o enviar emails, configurar el buzón, acceder a archivos, contactos o a chats como Microsoft Teams dejando apenas huella de su actividad. 

Algunos de los ataques más sofisticados se sirven incluso de la plataforma Microsoft para generar invitaciones a las páginas de consentimiento de estas aplicaciones maliciosas. Los ciberdelincuentes han ido cambiando sus tácticas conforme lo han ido necesitando, desde comprometer cuentas de otros inquilinos a crear, alojar y propagar el malware cloud desde dentro de la plataforma. El compromiso de cuentas cloud se ha convertido en un problema a gran escala en el que el 95% de inquilinos cloud es objeto de ataque a través de una o más campañas maliciosas y más del 50% ha sido finalmente comprometidos.

Para protegerse de aplicaciones maliciosas creadas por los ciberdelincuentes en cloud, Proofpoint recomienda usar la verificación de editor de Microsoft, impedir a los usuarios que no son administradores crear aplicaciones, no dar el consentimiento a ninguna aplicación a menos que se requiera, revisar permisos solicitados por la aplicación o el origen de la misma, revocar constantemente aquellas aplicaciones que no se utilizan y examinar las acciones que sucedan posteriormente a la autorización de una aplicación sea cual sea la fuente.