El Cybersecurity Action Team de Google acaba de publicar la primera edición de un boletín titulado Cloud Threat Intelligence.
Las principales advertencias no son sorprendentes (los visitantes habituales de este blog las habrán leído aquí durante años), y se reducen a dos puntos principales.
En primer lugar, los delincuentes aparecen rápidamente: en ocasiones, tardan días en encontrar instancias en la nube recién iniciadas e inseguras e irrumpir en ellas, pero Google dice que los tiempos de descubrimiento-ruptura-y-entrada eran “de tan sólo 30 minutos”.
En una investigación de Sophos realizada hace dos años, en la que nos propusimos medir específicamente el tiempo que transcurría antes de que los primeros ciberdelincuentes nos visitaran, nuestros honeypots registraron tiempos de primera entrada de 84 segundos a través de RDP, y de 54 segundos a través de SSH.
Imagínate que, después de cerrar el contrato de tu nueva propiedad, los primeros delincuentes tardaran un minuto en llegar a la entrada de tu casa para probar todas las puertas y ventanas.
Atacado a pesar de todo
Es importante destacar que, en nuestra investigación, las instancias en la nube que utilizamos no eran el tipo de servidor en la nube que una empresa típica establecería, dado que nunca se nombraron a través de DNS, ni se anunciaron, ni se vincularon, ni se utilizaron para ningún propósito en el mundo real.
En otras palabras, los primeros delincuentes nos encontraron en un minuto simplemente porque aparecíamos en Internet: nos atacaron sin importar lo que hiciéramos para mantener un perfil mínimo.
No tuvieron que esperar a que nosotros mismos diéramos a conocer los servidores, como sucedería si se iniciara un nuevo sitio web, un blog o un sitio de descargas.
Del mismo modo, los delincuentes no necesitaron esperar hasta que estableciéramos los servidores como objetivos estándar de la API de la red (conocidos en la jerga, de forma ligeramente ambigua, como endpoints) y empezáramos a generar nosotros mismos un tráfico visible que pudiera ser detectado utilizando esos servicios en línea.
Por lo tanto, en la vida real, la situación es probablemente incluso peor que en nuestra investigación, dado que definitivamente eres un objetivo genérico y automático para los delincuentes que simplemente escanean, vuelven a escanear y vuelven a escanear Internet buscando a todo el mundo; y también puedes ser un objetivo específico e interesante para los delincuentes que están al acecho no de cualquiera, sino de alguien.
En segundo lugar, las contraseñas débiles siguen siendo la principal vía de entrada: Google confirmó que las contraseñas débiles no son sólo una cosa utilizada por los ciberdelincuentes en las intrusiones en la nube, sino la cosa.
Técnicamente, las contraseñas débiles (una categoría que, tristemente, incluye no tener ninguna contraseña) no tuvieron la mayoría absoluta en la lista de Google de “cómo entraron”, pero con un 48% estuvo muy cerca.
En particular, los errores en la seguridad de las contraseñas se sitúan muy por delante de la siguiente técnica de intrusión más probable, que es el software sin parches.
Probablemente ya habías adivinado que la aplicación de parches sería un problema, dada la frecuencia con la que escribimos sobre este tema: el software vulnerable dejó entrar al 26% de los atacantes.
Curiosamente, si se nos permite esbozar una sonrisa irónica en este punto, el 4% de las intrusiones de Google fueron supuestamente causadas por usuarios que publicaron accidentalmente sus propias contraseñas o claves de seguridad al subirlas por error mientras publicaban material de código abierto en sitios como GitHub.
Irónicamente, en Sophos ya hemos hablado sobre los riesgos de lo que podría llamarse “autoinculpación en materia de ciberseguridad”, desde casi el principio de este blog con la famosa contraseña de la RAF descubierta casualmente por unas fotos del Príncipe Guillermo, hasta hace poco más de dos meses. En ese caso, informamos de cómo los investigadores en el Reino Unido fueron capaces de rastrear más de 4400 proyectos de GitHub en los que los propios archivos de cookies de Firefox del cargador se habían enredado de alguna manera – una búsqueda que literalmente tomó segundos cuando la reprodujimos.
Y eso es sólo un tipo de archivo que podría contener secretos de la API, de una aplicación específica, en un servicio de intercambio en la nube en particular.
No estamos seguros de si sentirnos aliviados de que la autoinculpación representara sólo el 4% de las intrusiones, o consternados de que esta técnica de intrusión (no estamos seguros de que sea lo suficientemente sofisticada como para llamarla “hacking”) estuviera en la lista.
¿Y el ransomware?
Sabemos lo que estás pensando. “Seguramente las intrusiones eran todas de ransomware”, podrías estar diciendo, “porque ese es el único problema de ciberseguridad del que vale la pena preocuparse ahora mismo”.
Desafortunadamente, si estás viendo el ransomware de forma aislada, poniéndolo al frente de la cola para tratar de forma aislada, y relegando todo lo demás a un segundo plano, entonces no estás pensando en la ciberseguridad de forma suficientemente amplia.
El problema con el ransomware es que casi siempre es el final del trabajo para los ciberdelincuentes en tu red, porque la idea del ransomware es llamar la atención al máximo.
Como sabemos por el equipo de Respuesta Rápida de Sophos, los atacantes de ransomware no dejan a sus víctimas ninguna duda de que están en toda su vida digital.
Las notificaciones de ransomware de hoy en día ya no se basan simplemente en poner calaveras en llamas en el escritorio de Windows de todo el mundo y exigir dinero de esa manera.
Hemos visto cómo los ciberdelincuentes imprimen notas de rescate en todas las impresoras de la empresa (incluidos los terminales de los puntos de venta, para que incluso los clientes sepan lo que acaba de ocurrir), y amenazan a los empleados individualmente utilizando datos muy personales robados, como los números de la seguridad social.
Incluso les hemos oído dejar escalofriantes y lacónicos mensajes de voz explicando con despiadado detalle cómo planean acabar con tu negocio si no entras en su juego:
¿Qué pasó realmente después?
Pues bien, en el informe de Google, todos los elementos de la lista de “acciones tras el compromiso”, excepto una, implicaban que los ciberdelincuentes utilizaban tu instancia en la nube para perjudicar a otra persona, incluyendo:
- Buscar nuevas víctimas desde tu cuenta.
- Atacar otros servidores desde tu cuenta.
- Entregar malware a otras personas utilizando tus servidores.
- Lanzamiento de ataques DDoS, abreviatura de ataques de denegación de servicio distribuidos.
- Enviando spam para que te incluyan a ti en la lista de bloqueados, no a los ciberdelincuentes.
Pero el primer lugar de la lista, aparentemente en el 86% de los compromisos con éxito, fue la minería de criptomonedas.
En este caso, los delincuentes utilizan tu capacidad de procesamiento, tu espacio en el disco y tu memoria asignada (en pocas palabras, te roban el dinero) para minar criptomonedas que se quedan ellos.
Recuerda que el ransomware no funciona para los delincuentes si tienes un servidor en la nube recién configurado al que todavía no le has dado un uso completo, porque es casi seguro que no hay nada en el servidor que los delincuentes puedan utilizar para chantajearte.
Los servidores infrautilizados son inusuales en las redes normales, porque no puedes permitirte dejarlos inactivos después de haberlos comprado. Pero la nube no funciona así: puedes pagar una suma modesta para que la capacidad del servidor esté disponible para cuando la necesites, sin grandes costes de capital por adelantado antes de poner en marcha el servicio.
Sólo empezarás a pagar mucho dinero si empiezas a utilizar los recursos asignados: un servidor inactivo es un servidor barato; sólo cuando tu servidor esté ocupado empezarás a acumular gastos.
Si has hecho bien tus cálculos económicos, esperas salir ganando, ya que un aumento de la carga del servidor debería corresponder a un aumento del negocio del cliente, de modo que tus costes adicionales se cubren automáticamente con ingresos adicionales.
Pero no existe ese equilibrio económico si los delincuentes se dedican a trabajar en su propio beneficio económico en servidores que se supone que están inactivos.
En lugar de pagar euros al día para tener energía en el servidor a la espera de que la necesites, podrías estar pagando miles de euros al día por energía en el servidor que no te está haciendo ganar nada.
¿Qué hacer?
- Elige contraseñas adecuadas. Mira nuestro vídeo sobre cómo elegir una buena y lee nuestros consejos sobre gestores de contraseñas.
- Utiliza la función 2FA siempre que puedas. Si utilizas un gestor de contraseñas, configura la función 2FA para ayudarte a mantener segura tu base de datos de contraseñas.
- Parchea pronto, parchea a menudo. No te fijes sólo en los llamados “días cero” que los delincuentes ya conocen. Los parches para los agujeros de seguridad son objeto de ingeniería inversa para descubrir cómo explotarlos, a menudo por parte de investigadores de seguridad que luego hacen públicos estos exploits, supuestamente para educar a todo el mundo sobre los riesgos. Todo el mundo, por supuesto, incluye a los ciberdelincuentes.
- Invierte en una protección proactiva de seguridad cloud. No esperes a que te llegue la próxima factura de la nube (o a que la compañía de tu tarjeta de crédito te envíe un aviso de saldo de la cuenta) para descubrir que hay ciberdelincuentes que acumulan comisiones y lanzan ataques a tu costa.
Piénsalo así: solucionar la seguridad cloud es el mejor tipo de altruismo.
Tienes que hacerlo de todos modos, para protegerte a ti mismo, pero al hacerlo proteges a todos los demás que, de otro modo, recibirían ataques DDoS, spam, sondeos, hackeos o infecciones desde tu cuenta.
Nuestro próximo webinar de este viernes de enero a las 10:30 hablará de Sophos Cloud Optix, la solución de gestión de la postura de seguridad en la nube de Sophos, que reduce de forma proactiva el riesgo empresarial derivado de la actividad no autorizada, las vulnerabilidades y las configuraciones erróneas en los entornos de nube pública de Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform. Regístrate aquí.
Dejar un comentario