El protocolo de autorización OAuth sobresale como vector de ataque
- Endpoint
Cualquier aplicación OAuth con amplios permisos de acceso es un riesgo de seguridad para una organización, como sucedió en el ataque a SolarWinds. El 10% de las organizaciones ha autorizado aplicaciones OAuth maliciosas, que permiten a los atacantes acceder a datos de los usuarios.
|
Recomendados: Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar Brechas de seguridad, ¿hay opciones? Webinar |
OAuth es un protocolo de autorización mediante el cual una aplicación de terceros puede añadir funciones empresariales y mejoras en la interfaz de usuario a servicios cloud como Microsoft 365 y Google Workspace. Actualmente se ofrecen millones de aplicaciones y complementos OAuth bastante útiles para tares de análisis, seguridad, CRM, gestión de documentos o gestión de proyectos. Pues bien, según una investigación de Proofpoint, los ciberdelincuentes están abusando cada vez más de aplicaciones legítimas de OAuth para exfiltrar datos y mantener su perseverancia en recursos específicos de cloud después de comprometer la cuenta de un usuario.
OAuth se ha convertido en un vector de ataque importante debido a los amplios permisos que puede llegar a tener en aplicaciones de organizaciones en la nube. La mayoría de las aplicaciones OAuth permiten que la información o los datos de la cuenta de un usuario sean utilizados sin exponer la contraseña, iniciando sesión en otras aplicaciones en la nube en nombre de esos usuarios. Por ejemplo, pueden acceder a archivos de personas, leer sus calendarios o enviar correos electrónicos, entre otras opciones. Datos de Proofpoint revelan que el 10% de las organizaciones ha autorizado aplicaciones OAuth maliciosas, permitiendo a los atacantes acceder y gestionar la información o los datos de los usuarios.
El estudio sobre OAuth revela que, en el último año, los atacantes se han dirigido al 95% de las organizaciones con la intención de comprometer cuentas en la cloud, y el 52% ha sufrido al menos una vulneración de este tipo. Entre las empresas afectadas, más del 30% ha registrado otras acciones después de que los ciberdelincuentes accedieran a las cuentas, como manipulación de archivos, reenvío de correos electrónicos y actividad OAuth.
Cualquier aplicación OAuth que tenga amplios permisos de acceso es un riesgo potencial de seguridad para una organización. Así sucedió en el ataque a SolarWinds, conocido el pasado diciembre, que consiguió comprometer la información de decenas de miles de empresas en el mundo. El abuso de OAuth permitió a los ciberdelincuentes de esta campaña tener una visibilidad del correo que simplemente no habría sido posible usando solo el malware Sunburst.
Proofpoint recomienda a las organizaciones que implementen una estrategia de ciberseguridad centrada en las personas en la que se controlen de forma activa las aplicaciones OAuth, minimizando los permisos concedidos y gestionando la lista de usuarios para reducir riesgos.
