La semana pasada, la famosa banda de hackers ShinyHunters causó conmoción en todo el mundo al supuestamente saquear 1,3 terabytes de datos de 560 millones de usuarios de Ticketmaster. Esta colosal violación, con un precio de 500.000 dólares, podría exponer la información personal de una gran parte de la clientela de la compañía de eventos en vivo, provocando una tormenta de preocupación e indignación.
Una filtración masiva de datos
Repasemos los hechos. Live Nation ha confirmado oficialmente la infracción en una presentación 8-K ante la SEC. De acuerdo con la documento publicado el 20 de mayo, la compañía «identificó actividad no autorizada dentro de un entorno de base de datos en la nube de terceros que contiene datos de la Compañía», principalmente de la subsidiaria Ticketmaster. La presentación afirma que Live Nation inició una investigación y está cooperando con las autoridades. Hasta ahora, la empresa no cree que la infracción vaya a tener un impacto material en sus operaciones comerciales.
Llama la atención que el mismo grupo de hackers también esté ofreciendo datos supuestamente del Santander. Según las afirmaciones, los datos robados contienen información confidencial que pertenece a millones de empleados y clientes de Santander. El banco confirmó que se accedió a «una base de datos alojada por un proveedor externo», lo que provocó fugas de datos de clientes en Chile, España y Uruguay, así como de todos los empleados actuales y antiguos de Santander.
La conexión a la nube
Lo que podría vincular estas dos infracciones es la empresa de datos en la nube Snowflake, que cuenta entre sus usuarios tanto a Santander como a Live Nation/Ticketmaster. Ticketmaster confirmó que la base de datos robada estaba alojada en Snowflake.
Snowflake publicó una advertencia con CISA, lo que indica un «aumento reciente en la actividad de amenazas cibernéticas dirigidas a cuentas de clientes en su plataforma de datos en la nube». Snowflake emitió una recomendación para que los usuarios consulten los registros de la base de datos en busca de actividad inusual y realicen análisis adicionales para evitar el acceso de usuarios no autorizados.
En un comunicado separado, el CISO de Snowflake, Brad Jones, dejó claro que el sistema Snowflake en sí no fue violado. Según Jones, «esto parece ser una campaña dirigida a usuarios con autenticación de un solo factor», y los actores de amenazas han aprovechado las credenciales obtenidas previamente a través de varios métodos.
Snowflake también enumeró algunas recomendaciones para todos los clientes, como aplicar la autenticación multifactor (MFA) en todas las cuentas, configurar reglas de política de red para permitir el acceso al entorno de la nube solo desde ubicaciones confiables preestablecidas y restablecer y rotar las credenciales de Snowflake.
Simplificando la ciberseguridad
Tendemos a romantizar la ciberseguridad, y es una disciplina increíblemente difícil y compleja en TI. Sin embargo, no todos los desafíos de la ciberseguridad son igualmente difíciles. La orientación ofrecida por Snowflake realmente deja claro este punto: la MFA es imprescindible. Es una herramienta increíblemente eficaz contra una variedad de ataques cibernéticos, incluidos relleno de credenciales.
Investigación realizada por la empresa de seguridad en la nube Mitiga afirma que los incidentes de Snowflake son parte de una campaña en la que un actor de amenazas utiliza credenciales de clientes robadas para atacar a organizaciones que utilizan bases de datos de Snowflake. Según la investigación publicada, «el actor de amenazas aprovechó principalmente entornos que carecían de autenticación de dos factores» y los ataques generalmente se originaban en IP de VPN comerciales.
Las políticas son tan efectivas como su implementación y cumplimiento. Es posible que existan tecnologías como el inicio de sesión único (SSO) corporativo y MFA, pero no se aplican realmente en todos los entornos y usuarios. No debería haber ninguna posibilidad de que los usuarios aún puedan autenticarse usando nombre de usuario/contraseña fuera de SSO para acceder a cualquier recurso corporativo. Lo mismo ocurre con MFA: en lugar de la autoinscripción, debería ser obligatoria para todos los usuarios en todos los sistemas y todos los entornos, incluidos los servicios de nube y de terceros.
¿Tienes el control total?
No hay nube, es solo la computadora de otra persona, como dice el viejo refrán. Y si bien usted (y su organización) disfrutan de un gran acceso a los recursos de esa computadora, en última instancia, ese acceso nunca es completo, una limitación inherente a la computación en la nube. Las tecnologías de nube multiinquilino logran economías de escala al limitar lo que un solo cliente puede hacer en esa «computadora», y eso a veces incluye la capacidad de implementar seguridad.
Un ejemplo de ello es la rotación automática de contraseñas. Las herramientas modernas de gestión de acceso privilegiado, como One Identity Safeguard, pueden rotar las contraseñas después de su uso. Esto los hace efectivamente de un solo uso e inmuniza el entorno contra ataques de relleno de credenciales, pero también contra amenazas más sofisticadas como los registradores de pulsaciones de teclas, que se utilizaron en el hack de LastPass. Sin embargo, la API que proporciona esta función debe estar presente. Snowflake proporciona la interfaz para actualizar las contraseñas de los usuarios, por lo que correspondía al cliente usarla y rotar las contraseñas según el uso o el tiempo.
Al elegir dónde alojar datos críticos para el negocio, asegúrese de que la plataforma ofrezca estas API a través de gestión de identidad privilegiada y le permite incorporar el nuevo entorno bajo su paraguas de seguridad corporativa. MFA, SSO, rotación de contraseñas y registro centralizado deberían ser requisitos básicos en este panorama de amenazas, ya que estas características permiten al cliente proteger los datos de su parte.
La identidad no humana
Un aspecto único de la tecnología moderna es la identidad no humana. Por ejemplo, se confía en las herramientas RPA (automatización robótica de procesos) y también en las cuentas de servicio para realizar algunas tareas en la base de datos. Proteger estas identidades es un desafío interesante, ya que los mecanismos fuera de banda como las notificaciones automáticas o los tokens TOTP no son factibles para los casos de uso de cuentas de servicio.
Las cuentas no humanas son objetivos valiosos para los atacantes, ya que suelen tener permisos muy potentes para realizar sus tareas. Proteger sus credenciales siempre debe ser una prioridad para los equipos de seguridad. Snowflake utiliza una multitud de cuentas de servicio para operar la solución y desarrolló una serie de publicaciones en el blog sobre cómo proteger estas cuentas y sus credenciales.
Se trata del costo
Los ciberdelincuentes tienen una lógica brutalmente simple: maximizar las ganancias automatizando ataques masivos y apuntar a grandes grupos de víctimas con métodos simples pero efectivos. Los ataques de relleno de credenciales, como el tipo de ataque utilizado contra los inquilinos de Snowflake, son uno de los métodos de ataque más baratos: el equivalente en 2024 al spam por correo electrónico. Y teniendo en cuenta su bajo coste, debería ser casi 100% ineficaz. El hecho de que al menos dos organizaciones importantes hayan perdido una cantidad significativa de datos críticos pinta un panorama sombrío de nuestro estado actual de ciberseguridad global.
Conclusión
Al implementar controles simples como SSO, MFA y rotación de contraseñas, el costo de los ataques a gran escala se vuelve prohibitivo. Si bien esto no significa que los ataques dirigidos no tendrán éxito o que los ataques de amenazas persistentes avanzadas (APT) sin fines de lucro serán disuadidos por completo, sí hace que los ataques masivos a este vector de ataque sean inviables, lo que hace que todos estén un poco más seguros.