Servicios en la nube bajo amenaza: cómo cerrar las puertas virtuales a la ciberdelincuencia

Debido al nuevo modelo de trabajo híbrido, cada vez son más las organizaciones que trasladan una mayor parte de su carga de trabajo a la nube. Si bien esta transformación ofrece grandes ventajas de agilidad y escalabilidad, viene acompañada de riesgos inherentes y mayores para la seguridad y el cumplimiento. Un simple error de configuración puede hacer que toda una empresa quede expuesta a amenazas o qataques de ransomware.

En este sentido, Gartner pronostica que para 2025, el 99% de los problemas de seguridad en la nube serán el resultado de un error humano al configurar los activos y su seguridad. En un momento en el que las compañías dependen cada vez más de terceros proveedores cloud, como AWS, Microsoft Azure, IBM y Google Cloud Platformpara gestionar sus datos de forma segura, es probable que la preocupación por los fallos de configuración crezca. Además, muchas de las empresas que se encuentran en situación de riesgo han tenido que acelerar sus iniciativas de transformación digital a un ritmo incómodo en los últimos dos años, lo que ha dado lugar a déficits de conocimiento y talento que no hacen sino aumentar sus temores en torno a la ciberseguridad.

Según el modelo de responsabilidad compartida -un marco de seguridad diseñado para garantizar la responsabilidad de los datos comprometidos y otros incidentes-, el proveedor ofrecerá la seguridad básica de la misma, pero son las propias empresas las que deben asegurar sus propios datos dentro de la nube. Dicho de otro modo, si los proveedores de esta tecnología se aseguran de que las puertas de la ciudad están cerradas y el perímetro está bien vigilado, sigue siendo responsabilidad de las empresas asegurarse de que sus propias puertas están cerradas. Esto no es nada fácil, sobre todo si se tiene en cuenta que muchas grandes empresas dependen ahora de tres o cuatro plataformas cloud como parte de una estrategia multicloud.

Aumentan los ataques a proveedores de servicios en la nube

Como se indica en nuestro Security Report 2022, el año pasado se produjo una oleada de ataques que aprovechan los fallos de los servicios de los proveedores cloud líderes del sector. Para los ciberdelincuentes implicados, el objetivo final es obtener el control total de la infraestructura en la nube de una organización o, peor aún, de todo su patrimonio informático, incluyendo su código propietario y los registros de sus clientes.

Los errores a los que me refiero no son fallos lógicos o basados en permisos derivados de la política de control de una organización que los ciberdelincuentes podrían utilizar para obtener acceso no autorizado y escalar privilegios. Esto podría al menos ser localizado y tratado por la organización en cuestión. En su lugar, estos defectos tienden a ser vulnerabilidades críticas dentro de la propia infraestructura de la nube que pueden ser mucho más difíciles de proteger.

Por ejemplo, el fallo OMIGOD con el que se abrieron las puertas a los ataques a los servicios en la nube en 2021. En septiembre, se descubrieron cuatro vulnerabilidades críticas en el agente de software de Microsoft Azure que permitía a los usuarios gestionar configuraciones en entornos remotos y locales. Se estima que el 65% de la base de clientes de Azure fue vulnerable por este exploit, poniendo en riesgo a miles de organizaciones y millones de dispositivos endpoints. A través de este defecto en OMIGOD, los ciberdelincuentes fueron capaces de ejecutar código arbitrario remoto dentro de la red de una organización y escalar privilegios de raíz, tomando efectivamente el control de la red. Como parte de su actualización de septiembre de 2021, Microsoft abordó el problema, pero la corrección automática que lanzó pareció ineficaz durante varios días. A lo largo del año se expusieron otros fallos en los servicios en la nube de Microsoft Azure, incluida la vulnerabilidad "ChaosDB", que permitía a los atacantes recuperar varias claves internas utilizadas para obtener privilegios de administrador que finalmente les permitirían gestionar las bases de datos y cuentas de las compañías objetivo. Entre las empresas vulnerables por esta particular "puerta abierta" se encuentran Coca-Cola, Skype e incluso el especialista en seguridad Symantec.

Cerrar las puertas y reforzar la seguridad interna

Reforzar la seguridad en estas plataformas no consiste únicamente en disponer de los productos y servicios adecuados, sino también en fomentar una mentalidad de seguridad en toda la organización. Independientemente de lo que diga el acuerdo de nivel de servicio entre una compañía y el proveedor cloud, la responsabilidad de garantizar la protección de los registros de sus clientes y otros datos importantes recae en última instancia en la empresa.

Así pues, antes de trasladar las cargas de trabajo de misión crítica a la nube, las entidades deben asegurarse de que las "puertas" de sus aplicaciones y datos están firmemente cerradas. Esto significa afinar la gestión de las identidades y los accesos, aplicando el principio de "mínimo privilegio" para que sólo accedan a los datos los individuos y las aplicaciones que estrictamente necesiten conocerlos. También significa una mejor segmentación de las redes y el uso de la tecnología de cortafuegos para garantizar que los datos sensibles puedan ser adecuadamente aislados y protegidos cuando sea necesario.

De hecho, esta seguridad es compleja, y con los entornos Multicloud se vuelve aún más complicada. Por lo tanto, hay que pensar en consolidar toda su seguridad a través de todos los proveedores cloud en una solución que supervise toda la actividad maliciosa y reduzca la carga de trabajo mediante la automatización de tareas comunes como las actualizaciones de políticas. En un mundo ideal, esto supondría un enfoque de "panel único" para la gestión de la seguridad en todos sus activos en la nube, de modo que pueda vigilar más de cerca los incidentes de seguridad y centrar sus esfuerzos en los más preocupantes.

Cualquier solución de protección en la nube es tan buena como el motor de inteligencia que la respalda, así que hay que preguntar a su proveedor cómo se mantiene al tanto de las amenazas emergentes y de Zero-Day.

Y, por último, implantar la seguridad en la fase más temprana del desarrollo de la aplicación. Nadie quiere que las comprobaciones de seguridad ralenticen indebidamente su DevOps y retrasen el despliegue de la aplicación, pero tampoco puede permitirse recortar la protección. Un enfoque de DevSecOps que permita escanear el código en busca de configuraciones erróneas o incluso de malware como parte del proceso de DevOps garantizará que no se incorporen vulnerabilidades desde el principio.

El cambio a la nube no hará más que acelerarse a medida que las organizaciones se den cuenta de los beneficios que aporta, por lo que ahora es el momento de adoptar un enfoque responsable de la seguridad, el cumplimiento de la normativa y de aumentar la capacidad de protección cloud. Es una tarea difícil y compleja, pero la buena noticia es que existen soluciones no solo para bloquear el acceso a esta red, sino también formas, mediante el uso de la IA y la automatización, de reducir la carga de trabajo para detectar y prevenir las amenazas, incluso las que aún no se han ideado. Por último, esto se puede hacer a gran velocidad… ¡todo está en la nube!

Mario García, director general de Check Point Software para España y Portugal