La invasión rusa a Ucrania multiplica los ataques a las infraestructuras en la nube

Durante semanas, los expertos en ciberseguridad y las agencias gubernamentales han instado a las organizaciones a mejorar sus ciberdefensas debido al aumento de ciberataques en medio de la invasión rusa de Ucrania. Esto significa no sólo mejorar la detección y la respuesta a las amenazas, sino también reforzar la resistencia de la infraestructura para que pueda soportar mejor los ataques. Los recursos en la nube son especialmente vulnerables, ya que muchos de ellos han sido configurados erróneamente y se encuentran expuestos, de ahí que las bases de datos y los espacios de almacenamiento podrían ser un objetivo atractivo para los atacantes si se materializan los temores de que los ciberataques se intensifiquen más allá del conflicto en Ucrania.

Para ESET, el reto es que el almacenamiento en la nube y las bases de datos se desconfiguran fácilmente y una vez que quedan expuestos, pueden ser encontrados con relativa facilidad con herramientas de escaneo de Internet. Así, en caso de una escalada de las hostilidades, los sistemas en la nube expuestos serían un objetivo natural. Muchos de ellos son relativamente fáciles de descubrir y comprometer: por ejemplo, las cuentas que se dejan abiertas, protección por contraseña y otros métodos de autenticación multifactor. De hecho, los investigadores ya han observado ciberactividad ofensiva de este tipo, en este caso, dirigida a bases de datos en la nube ubicadas en Rusia.

De una muestra aleatoria de 100 bases de datos en la nube mal configuradas, la investigación descubrió que 92 habían sido comprometidas. En algunas se sustituyeron los nombres de los archivos por mensajes contra la guerra, pero la mayor parte de ellas se borró por completo mediante un sencillo script.

Las organizaciones occidentales tienen ante sí tres riesgos: los grupos de ciberdelincuentes prorrusos que se están preparando para atacar objetivos y solicitar un rescate por ficheros comprometidos; ataques destructivos, siendo relativamente fácil borrar por completo el contenido de las bases de datos en la nube, una vez que se ha accedido a ellas; y fugas de datos, en las que, antes de borrar los datos por completo, los ciberdelincuentes pueden intentar analizarlos en busca de información confidencial y filtrarla primero para maximizar el daño financiero y de reputación infligido a las organizaciones víctimas.

Lamentablemente, afrontar el reto de la desconfiguración de la nube no es tan fácil como pulsar un interruptor. Sin embargo, hay varios cambios que se pueden llevar a cabo desde hoy para ayudar a mitigar los riesgos señalados anteriormente, entre ellos, adoptar una estrategia ‘shifting left’ en DevOps, mediante la construcción de controles de seguridad y configuración automatizados en el proceso de desarrollo; la egstión continua de los ajustes de configuración, con herramientas de gestión de la postura de seguridad en la nube (CSPM); utilizar las herramientas de los CSP para la supervisión y la gestión segura de la infraestructura en la nube; uso de herramientas de política como código (PaC) para escanear y evaluar automáticamente la postura de cumplimiento en la nube; y cifrar los datos confidenciales de forma estándar, de modo que si los controles de acceso se dejan mal configurados, los ciberdelincuentes no puedan ver lo que hay dentro.