Disponer de las tecnologías de la información más avanzadas a modo de servicio para recabar y almacenar datos, analizar información, optimizar procesos, desarrollar aplicaciones y guiar la toma de decisiones estratégicas ha traído multitud de ventajas a las organizaciones en términos de costes, flexibilidad, escalabilidad, rendimiento y eficiencia. Tal es así que acudir a los servicios de informática en la nube, sea esta pública, privada o híbrida, para proveerse de todo tipo de recursos TIC es algo cada vez más común entre las empresas, sobre todo si son de gran tamaño.
A rebufo de ese traslado de recursos TIC empresariales a la nube ha crecido el interés de los grupos de ciberdelincuentes por diseñar procedimientos para acceder a ellos de forma fraudulenta, con el fin de extorsionar a las compañías a cambio de suculentas sumas de dinero, so pena de provocarles daños irreparables, sea por medio del secuestro de información o por medio de la detención “sine die” de procesos clave para el desarrollo del negocio.
Uno de los últimos trabajos dedicados a contabilizar la cantidad de ataques lanzados contra aplicaciones alojadas en la nube, de empresas que operan a escala global, ha cosechado resultados concluyentes al respecto. Entre septiembre de 2018 y febrero de 2019 han aumentado un 65%. La mayor parte de ellos han sido perpetrados utilizando servidores alojados en Nigeria (40%) y China (26%) y utilizando dos métodos: Password Spraying y phising.
En búsqueda de un efecto masivo
El primero aprovecha la debilidad de los protocolos de acceso IMAP heredados, que no exigen a los usuarios identificarse de múltiples modos sino tan sólo mediante un password, para acceder a una gran cantidad de cuentas utilizando contraseñas de uso común. Es un tipo de ataque a gran escala que puede llegar a comprometer las cuentas de multitud de usuarios al unísono y dificulta la detección de los atacantes.
Según el estudio citado, el 44% de los ataques de este tipo que se han realizado durante el primer trimestre de 2019 ha tenido éxito. Una cifra muy alta teniendo en cuenta que, durante el periodo referido, un 60% de los usuarios de Office 365 ha recibido algún ataque de esta clase, y al menos uno de cada cuatro ha detectado inicios de sesión no autorizados en su cuenta.
En lo que se refiere al origen de las ofensivas, los expertos que han elaborado el estudio concluyen que más de la mitad proceden de China (53%), y el resto de Brasil (39%) y Estados Unidos (31%).
Señalar un objetivo para abrir brecha
Los ataques efectuados según el método phising, consistente en crear una réplica fraudulenta de un sitio o página web para atraer a usuarios incautos con el fin de obtener datos relevantes o desviar transferencias e ingresos, también han experimentado un ascenso notable. Se trata de un tipo de ataques más sofisticados, dirigidos a individuos muy concretos dentro de las compañías, y que pueden llegar a implicar el seguimiento de sus hábitos de comunicación durante meses.
El atacante procede buscando la vulnerabilidad de un usuario objetivo inicial para obtener sus credenciales de acceso a cuentas personales. Una vez dispone de ellas, las emplea para abrir una brecha en el interior de la organización, gracias a la que amplía su capacidad de llevar a cabo ataques del tipo phising mucho más difíciles de detectar.
Según la investigación sobre la evolución de los ciberataques durante este primer trimestre de 2019, más del 31% de los ataques sufridos por compañías con recursos alojados en la nube partieron de violaciones de seguridad originadas por campañas de phishing exitosas.
A pesar de que organizaciones de todos los sectores han sufrido ataques de este tipo, los resultados del estudio señalan una predilección especial por las dedicadas al ámbito educativo, que han padecido hasta el 15% de los ataques de phising en aplicaciones cloud durante el primer trimestre de 2019, la mayoría para obtener acceso a contraseñas de estudiantes.
Dos países africanos, Nigeria (63%) y Sudáfrica (21%), han sido los puntos de procedencia principales desde los que se han lanzado este tipo de ataques, quedando Estados Unidos como tercer punto de origen más importante (11%).
Líneas básicas de actuación para reducir riesgos
Habida cuenta de la tendencia alcista de los ciberataques en entornos cloud (y siguiendo siempre la premisa de que, en materia de seguridad, es mejor no confiarse en ningún momento) no está de más recordar algunas líneas de actuación generales recomendadas por los profesionales dedicados a neutralizarlos o minimizar sus efectos.
En primer lugar, para evitar riesgos es imprescindible garantizar la solidez de los protocolos de control y seguridad pautados, tanto para el ámbito virtual como en el entorno de red física. Para ello se han de establecer niveles claros e idénticos de exigencia y fiscalización de las operaciones que sean sospechosas o conduzcan a malas configuraciones, y diseñar pautas de prevención que protejan tanto el entorno virtual como el físico.
Centralizar el despliegue de las políticas de seguridad y mantener actualizados los protocolos establecidos es otra de las prácticas esenciales. Lo mejor para hacerlo es habilitar una misma infraestructura e interface, para así gestionar y desplegar una política de seguridad coherente, actualizada y automatizada, en la medida de lo posible, tanto de las instalaciones físicas como de los recursos virtualizados.
En tercer lugar, la segmentación de las aplicaciones de negocio. Con ello se evita tener “todos los huevos en la misma cesta” cuando se facilitan servicios a terceros, generando un entorno de seguridad más estricto. Si los datos y aplicaciones se alojan en diferentes servidores, la intrusión en uno de ellos no conducirá automáticamente a que el cliente sufra un problema que afecte seriamente la continuidad de sus operaciones de negocio.
