En 2023 se han producido una buena cantidad de ataques cibernéticos; sin embargo, hay un vector de ataque que demuestra ser más destacado que otros: el acceso no humano. Con 11 ataques de alto perfil en 13 meses y una superficie de ataque ingobernable cada vez mayor, las identidades no humanas son el nuevo perímetro, y 2023 es sólo el comienzo.
Por qué el acceso no humano es el paraíso de los ciberdelincuentes
La gente siempre busca la forma más fácil de conseguir lo que quiere, y esto también se aplica al ciberdelito. Los actores de amenazas buscan el camino de menor resistencia, y parece que en 2023 este camino fueron las credenciales de acceso que no son de usuarios (claves API, tokens, cuentas de servicio y secretos).
«El 50 % de los tokens de acceso activos que conectan Salesforce y aplicaciones de terceros no se utilizan. En GitHub y GCP las cifras alcanzan el 33%.»
Estas credenciales de acceso de no usuarios se utilizan para conectar aplicaciones y recursos a otros servicios en la nube. Lo que los convierte en el sueño de un verdadero hacker es que no tienen medidas de seguridad como las que tienen las credenciales de usuario (MFA, SSO u otras políticas de IAM), en su mayoría son demasiado permisivos, no gobernados y nunca revocados. De hecho, el 50% de los tokens de acceso activos que conectan Salesforce y aplicaciones de terceros no se utilizan. En GitHub y GCP las cifras llegan al 33%.*
Entonces, ¿cómo explotan los ciberdelincuentes estas credenciales de acceso no humanas? Para comprender las rutas de ataque, primero debemos comprender los tipos de identidades y accesos no humanos. Generalmente, existen dos tipos de acceso no humano: externo e interno.
El acceso externo no humano lo crean los empleados que conectan herramientas y servicios de terceros a entornos comerciales y de ingeniería centrales como Salesforce, Microsoft365, Slack, GitHub y AWS, para optimizar los procesos y aumentar la agilidad. Estas conexiones se realizan a través de claves API, cuentas de servicio, tokens OAuth y webhooks, que son propiedad de la aplicación o servicio de terceros (la identidad no humana). Con la creciente tendencia de adopción de software ascendente y servicios de nube freemium, muchas de estas conexiones las realizan regularmente diferentes empleados sin ningún control de seguridad y, peor aún, de fuentes no investigadas. La investigación de Astrix muestra que el 90% de las aplicaciones conectadas a entornos de Google Workspace no son aplicaciones de mercado, lo que significa que no fueron examinadas por una tienda de aplicaciones oficial. En Slack, las cifras llegan al 77%, mientras que en Github llegan al 50%.*
«El 74% de los tokens de acceso personal en entornos GitHub no tienen vencimiento».
El acceso interno no humano es similar, sin embargo, se crea con credenciales de acceso interno – también conocidos como ‘secretos’. Los equipos de I+D generan periódicamente secretos que conectan diferentes recursos y servicios. Estos secretos a menudo están dispersos en múltiples administradores de secretos (bóvedas), sin que el equipo de seguridad tenga visibilidad de dónde están, si están expuestos, a qué permiten el acceso y si están mal configurados. De hecho, el 74% de los tokens de acceso personal en entornos GitHub no tienen caducidad. De manera similar, el 59% de los webhooks en GitHub están mal configurados, lo que significa que no están cifrados ni asignados.*
Programe una demostración en vivo de Astrix, líder en seguridad de identidades no humanas
Los ataques de alto perfil de 2023 que explotan el acceso no humano
Esta amenaza es todo menos teórica. En 2023, algunas grandes marcas fueron víctimas de ataques de acceso no humanos, lo que afectó a miles de clientes. En tales ataques, los atacantes aprovechan las credenciales de acceso expuestas o robadas para penetrar los sistemas centrales más sensibles de las organizaciones y, en el caso del acceso externo, llegar a los entornos de sus clientes (ataques a la cadena de suministro). Algunos de estos ataques de alto perfil incluyen:
- Okta (Octubre de 2023): los atacantes utilizaron una cuenta de servicio filtrada para acceder al sistema de gestión de casos de soporte de Okta. Esto permitió a los atacantes ver archivos cargados por varios clientes de Okta como parte de casos de soporte recientes.
- Robot dependiente de GitHub (Septiembre de 2023): Los piratas informáticos robaron tokens de acceso personal (PAT) de GitHub. Luego, estos tokens se utilizaron para realizar confirmaciones no autorizadas como Dependabot en repositorios de GitHub públicos y privados.
- Clave SAS de Microsoft (Septiembre de 2023): un token SAS publicado por investigadores de inteligencia artificial de Microsoft en realidad otorgó acceso completo a toda la cuenta de almacenamiento en la que se creó, lo que provocó una filtración de más de 38 TB de información extremadamente confidencial. Estos permisos estuvieron disponibles para los atacantes durante más de 2 años (!).
- Repositorios de Slack GitHub (Enero de 2023): los actores de amenazas obtuvieron acceso a los repositorios de GitHub alojados externamente de Slack a través de una cantidad «limitada» de tokens de empleados de Slack robados. Desde allí, pudieron descargar repositorios de códigos privados.
- CírculoCI (Enero de 2023): la computadora de un empleado de ingeniería se vio comprometida por un malware que eludió su solución antivirus. La máquina comprometida permitió a los actores de amenazas acceder y robar tokens de sesión. Los tokens de sesión robados brindan a los actores de amenazas el mismo acceso que el propietario de la cuenta, incluso cuando las cuentas están protegidas con autenticación de dos factores.
El impacto del acceso a GenAI
«El 32% de las aplicaciones GenAI conectadas a entornos de Google Workspace tienen permisos de acceso muy amplios (lectura, escritura, eliminación)».
Como era de esperar, la amplia adopción de herramientas y servicios GenAI exacerba el problema del acceso no humano. GenAI ha ganado una enorme popularidad en 2023 y es probable que no haga más que crecer. Con ChatGPT se convierte en la aplicación de más rápido crecimiento de la historiay aplicaciones impulsadas por IA que se descargan 1506% más que el año pasado, los riesgos de seguridad que supone el uso y la conexión de aplicaciones GenAI, a menudo no examinadas, a los sistemas centrales de la empresa ya están provocando noches de insomnio a los líderes de seguridad. Las cifras de Astrix Research proporcionan otro testimonio de esta superficie de ataque: el 32% de las aplicaciones GenAI conectadas a entornos de Google Workspace tienen permisos de acceso muy amplios (lectura, escritura, eliminación).*
Los riesgos del acceso a GenAI están afectando a toda la industria. En un informe reciente llamado «Tecnología emergente: los 4 principales riesgos de seguridad de GenAI«, Gartner explica los riesgos que conlleva el uso predominante de herramientas y tecnologías GenAI. Según el informe, «El uso de grandes modelos de lenguaje (LLM) de IA generativa (GenAI) e interfaces de chat, especialmente conectados a soluciones de terceros fuera el firewall de la organización, representan una ampliación de las superficies de ataque y amenazas de seguridad para las empresas».
La seguridad tiene que ser un facilitador
Dado que el acceso no humano es el resultado directo de la adopción y automatización de la nube (ambas tendencias bienvenidas que contribuyen al crecimiento y la eficiencia), la seguridad debe respaldarlo. Dado que los líderes de seguridad se esfuerzan continuamente por ser facilitadores en lugar de bloqueadores, un enfoque para proteger las identidades no humanas y sus credenciales de acceso ya no es una opción.
El acceso no humano mal protegido, tanto externo como interno, aumenta enormemente la probabilidad de ataques a la cadena de suministro, filtraciones de datos e infracciones de cumplimiento. Las políticas de seguridad, así como las herramientas automáticas para hacerlas cumplir, son imprescindibles para quienes buscan proteger esta volátil superficie de ataque y al mismo tiempo permitir que la empresa aproveche los beneficios de la automatización y la hiperconectividad.
Programe una demostración en vivo de Astrix, líder en seguridad de identidades no humanas
*Según datos de Astrix Research, recopilados de entornos empresariales de organizaciones con entre 1.000 y 10.000 empleados.