{"id":1088323,"date":"2023-12-12T12:08:20","date_gmt":"2023-12-12T12:08:20","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-acceso-no-humano-es-el-camino-de-menor-resistencia-resumen-de-2023\/"},"modified":"2023-12-12T12:08:25","modified_gmt":"2023-12-12T12:08:25","slug":"el-acceso-no-humano-es-el-camino-de-menor-resistencia-resumen-de-2023","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-acceso-no-humano-es-el-camino-de-menor-resistencia-resumen-de-2023\/","title":{"rendered":"El acceso no humano es el camino de menor resistencia: resumen de 2023"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">12 de diciembre de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Las noticias de los piratas inform\u00e1ticos<\/span><\/span><span class=\"p-tags\">Ciberseguridad \/ Seguridad GenAI<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEgmWbS5ycnyGutc4gpBaGYeT1xivbkY4Mo5nixiiyJ9wmW3hbi4YanY9rrLPUBohXwvCloK1-gA44IwI3sRnIGjR__gX9VBXZq6JhWVWn6PjG5eQVA8aqTTfQttNcV1tRqfKTqkB1FsVjXPSuEmjsEvM8YvnI68p7S_QzwBwHgT9pdLxj6r9XuqOglTmvE\/s1200\/aws.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\" target=\"_blank\"><\/a><\/div>\n<p>En 2023 se han producido una buena cantidad de ataques cibern\u00e9ticos; sin embargo, hay un vector de ataque que demuestra ser m\u00e1s destacado que otros: el acceso no humano.  Con <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/11-attacks-in-13-months-the-new-generation-of-supply-chain-attacks\/\" target=\"_blank\">11 ataques de alto perfil en 13 meses <\/a>y una superficie de ataque ingobernable cada vez mayor, las identidades no humanas son el nuevo per\u00edmetro, y 2023 es s\u00f3lo el comienzo. <\/p>\n<h2>Por qu\u00e9 el acceso no humano es el para\u00edso de los ciberdelincuentes <\/h2>\n<p>La gente siempre busca la forma m\u00e1s f\u00e1cil de conseguir lo que quiere, y esto tambi\u00e9n se aplica al ciberdelito.  Los actores de amenazas buscan el camino de menor resistencia, y parece que en 2023 este camino fueron las credenciales de acceso que no son de usuarios (claves API, tokens, cuentas de servicio y secretos). <\/p>\n<blockquote><p><em>&#8220;<\/em><strong><em>El 50 % de los tokens de acceso activos que conectan Salesforce y aplicaciones de terceros no se utilizan.  En GitHub y GCP las cifras alcanzan el 33%.&#8221;<\/em><\/strong><\/p><\/blockquote>\n<p><strong><em\/><\/strong><\/p>\n<p>Estas credenciales de acceso de no usuarios se utilizan para conectar aplicaciones y recursos a otros servicios en la nube.  Lo que los convierte en el sue\u00f1o de un verdadero hacker es que no tienen medidas de seguridad como las que tienen las credenciales de usuario (MFA, SSO u otras pol\u00edticas de IAM), en su mayor\u00eda son demasiado permisivos, no gobernados y nunca revocados.  De hecho, el 50% de los tokens de acceso activos que conectan Salesforce y aplicaciones de terceros no se utilizan.  En GitHub y GCP las cifras llegan al 33%.* <\/p>\n<p>Entonces, \u00bfc\u00f3mo explotan los ciberdelincuentes estas credenciales de acceso no humanas?  Para comprender las rutas de ataque, primero debemos comprender los tipos de identidades y accesos no humanos.  Generalmente, existen dos tipos de acceso no humano: externo e interno. <\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow noopener\" href=\"https:\/\/blogger.googleusercontent.com\/img\/b\/R29vZ2xl\/AVvXsEjWzts-97lzYjNifcTyskSXLmTJ-hS8u3gXvNbQKEkVcNufG6a4NAI4PTfZHXLGQkCpVNrk_9uJaf-uCNkVpolmh3LSlG4NLHTmq3DoJdCNBz-IylxbGN13zs0-Kaszw6aFP3ONEd8blOGsTlU8rd30XDnybN_MsRI3fE_b6ddT6MwaNcjqh1zv43pQ2DI\/s1200\/non%20human%20access.png\" style=\"clear: left; display: block; float: left; text-align: center;\" target=\"_blank\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/El-acceso-no-humano-es-el-camino-de-menor-resistencia.png\" alt=\"Acceso no humano\" border=\"0\" data-original-height=\"630\" data-original-width=\"1200\" title=\"Acceso no humano\"\/><\/a><\/div>\n<p>El acceso externo no humano lo crean los empleados que conectan herramientas y servicios de terceros a entornos comerciales y de ingenier\u00eda centrales como Salesforce, Microsoft365, Slack, GitHub y AWS, para optimizar los procesos y aumentar la agilidad.  Estas conexiones se realizan a trav\u00e9s de claves API, cuentas de servicio, tokens OAuth y webhooks, que son propiedad de la aplicaci\u00f3n o servicio de terceros (la identidad no humana).  Con la creciente tendencia de adopci\u00f3n de software ascendente y servicios de nube freemium, muchas de estas conexiones las realizan regularmente diferentes empleados sin ning\u00fan control de seguridad y, peor a\u00fan, de fuentes no investigadas.  La investigaci\u00f3n de Astrix muestra que el 90% de las aplicaciones conectadas a entornos de Google Workspace no son aplicaciones de mercado, lo que significa que no fueron examinadas por una tienda de aplicaciones oficial.  En Slack, las cifras llegan al 77%, mientras que en Github llegan al 50%.* <\/p>\n<blockquote><p><strong><em>&#8220;El 74% de los tokens de acceso personal en entornos GitHub no tienen vencimiento&#8221;.<\/em><\/strong><\/p><\/blockquote>\n<p>El acceso interno no humano es similar, sin embargo, se crea con <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/not-just-code-vulnerabilities-the-overlooked-cause-of-software-supply-chain-attacks\/\" target=\"_blank\">credenciales de acceso interno<\/a> &#8211; tambi\u00e9n conocidos como &#8216;secretos&#8217;.  Los equipos de I+D generan peri\u00f3dicamente secretos que conectan diferentes recursos y servicios.  Estos secretos a menudo est\u00e1n dispersos en m\u00faltiples administradores de secretos (b\u00f3vedas), sin que el equipo de seguridad tenga visibilidad de d\u00f3nde est\u00e1n, si est\u00e1n expuestos, a qu\u00e9 permiten el acceso y si est\u00e1n mal configurados.  De hecho, el 74% de los tokens de acceso personal en entornos GitHub no tienen caducidad.  De manera similar, el 59% de los webhooks en GitHub est\u00e1n mal configurados, lo que significa que no est\u00e1n cifrados ni asignados.* <\/p>\n<p><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/schedule-a-live-demo\/?utm_source=hackernews&amp;utm_medium=sponsored_article&amp;utm_campaign=hackernewsarticle\" target=\"_blank\">Programe una demostraci\u00f3n en vivo de Astrix, l\u00edder en seguridad de identidades no humanas <\/a><\/p>\n<h2>Los ataques de alto perfil de 2023 que explotan el acceso no humano<\/h2>\n<p>Esta amenaza es todo menos te\u00f3rica.  En 2023, algunas grandes marcas fueron v\u00edctimas de ataques de acceso no humanos, lo que afect\u00f3 a miles de clientes.  En tales ataques, los atacantes aprovechan las credenciales de acceso expuestas o robadas para penetrar los sistemas centrales m\u00e1s sensibles de las organizaciones y, en el caso del acceso externo, llegar a los entornos de sus clientes (ataques a la cadena de suministro).  Algunos de estos ataques de alto perfil incluyen: <\/p>\n<ul>\n<li><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/okta-breach-leaked-service-account\/\" target=\"_blank\">Okta <\/a>(Octubre de 2023): los atacantes utilizaron una cuenta de servicio filtrada para acceder al sistema de gesti\u00f3n de casos de soporte de Okta.  Esto permiti\u00f3 a los atacantes ver archivos cargados por varios clientes de Okta como parte de casos de soporte recientes.<\/li>\n<li><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/checkmarx.com\/blog\/surprise-when-dependabot-contributes-malicious-code\/\" target=\"_blank\">Robot dependiente de GitHub<\/a> (Septiembre de 2023): Los piratas inform\u00e1ticos robaron tokens de acceso personal (PAT) de GitHub.  Luego, estos tokens se utilizaron para realizar confirmaciones no autorizadas como Dependabot en repositorios de GitHub p\u00fablicos y privados.<\/li>\n<li><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.wiz.io\/blog\/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers\" target=\"_blank\">Clave SAS de Microsoft <\/a>(Septiembre de 2023): un token SAS publicado por investigadores de inteligencia artificial de Microsoft en realidad otorg\u00f3 acceso completo a toda la cuenta de almacenamiento en la que se cre\u00f3, lo que provoc\u00f3 una filtraci\u00f3n de m\u00e1s de 38 TB de informaci\u00f3n extremadamente confidencial.  Estos permisos estuvieron disponibles para los atacantes durante m\u00e1s de 2 a\u00f1os (!).<\/li>\n<li><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/slacks-github-breach-6-tips-to-avoid-similar-attacks\/\" target=\"_blank\">Repositorios de Slack GitHub<\/a> (Enero de 2023): los actores de amenazas obtuvieron acceso a los repositorios de GitHub alojados externamente de Slack a trav\u00e9s de una cantidad &#8220;limitada&#8221; de tokens de empleados de Slack robados.  Desde all\u00ed, pudieron descargar repositorios de c\u00f3digos privados.<\/li>\n<li><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/the-circleci-breach-the-results-of-a-stolen-access-token\/\" target=\"_blank\">C\u00edrculoCI<\/a> (Enero de 2023): la computadora de un empleado de ingenier\u00eda se vio comprometida por un malware que eludi\u00f3 su soluci\u00f3n antivirus.  La m\u00e1quina comprometida permiti\u00f3 a los actores de amenazas acceder y robar tokens de sesi\u00f3n.  Los tokens de sesi\u00f3n robados brindan a los actores de amenazas el mismo acceso que el propietario de la cuenta, incluso cuando las cuentas est\u00e1n protegidas con autenticaci\u00f3n de dos factores.<\/li>\n<\/ul>\n<h2>El impacto del acceso a GenAI<\/h2>\n<blockquote><p><strong><em>&#8220;El 32% de las aplicaciones GenAI conectadas a entornos de Google Workspace tienen permisos de acceso muy amplios (lectura, escritura, eliminaci\u00f3n)&#8221;.<\/em><\/strong><\/p><\/blockquote>\n<p>Como era de esperar, la amplia adopci\u00f3n de herramientas y servicios GenAI exacerba el problema del acceso no humano.  GenAI ha ganado una enorme popularidad en 2023 y es probable que no haga m\u00e1s que crecer.  Con <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.businessinsider.com\/chatgpt-may-be-fastest-growing-app-in-history-ubs-study-2023-2\" target=\"_blank\">ChatGPT se convierte en la aplicaci\u00f3n de m\u00e1s r\u00e1pido crecimiento de la historia<\/a>y aplicaciones impulsadas por IA que se descargan <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/techcrunch.com\/2023\/04\/12\/user-spending-goes-up-by-more-than-4000-on-ai-powered-apps\/\" target=\"_blank\">1506% m\u00e1s que el a\u00f1o pasado<\/a>, los riesgos de seguridad que supone el uso y la conexi\u00f3n de aplicaciones GenAI, a menudo no examinadas, a los sistemas centrales de la empresa ya est\u00e1n provocando noches de insomnio a los l\u00edderes de seguridad.  Las cifras de Astrix Research proporcionan otro testimonio de esta superficie de ataque: el 32% de las aplicaciones GenAI conectadas a entornos de Google Workspace tienen permisos de acceso muy amplios (lectura, escritura, eliminaci\u00f3n).* <\/p>\n<p>Los riesgos del acceso a GenAI est\u00e1n afectando a toda la industria.  En un informe reciente llamado <a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/www.gartner.com\/document\/4623399?ref=solrAll&amp;refval=379579725&amp;\" target=\"_blank\">&#8220;Tecnolog\u00eda emergente: los 4 principales riesgos de seguridad de GenAI<\/a>&#8220;, Gartner explica los riesgos que conlleva el uso predominante de herramientas y tecnolog\u00edas GenAI. Seg\u00fan el informe, &#8220;El uso de grandes modelos de lenguaje (LLM) de IA generativa (GenAI) e interfaces de chat, especialmente conectados a soluciones de terceros fuera el firewall de la organizaci\u00f3n, representan una ampliaci\u00f3n de las superficies de ataque y amenazas de seguridad para las empresas&#8221;.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702382900_928_El-acceso-no-humano-es-el-camino-de-menor-resistencia.png\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/12\/1702382900_928_El-acceso-no-humano-es-el-camino-de-menor-resistencia.png\" alt=\"Acceso no humano\" border=\"0\" data-original-height=\"1961\" data-original-width=\"3430\" title=\"Acceso no humano\"\/><\/a><\/div>\n<h2>La seguridad tiene que ser un facilitador<\/h2>\n<p>Dado que el acceso no humano es el resultado directo de la adopci\u00f3n y automatizaci\u00f3n de la nube (ambas tendencias bienvenidas que contribuyen al crecimiento y la eficiencia), la seguridad debe respaldarlo.  Dado que los l\u00edderes de seguridad se esfuerzan continuamente por ser facilitadores en lugar de bloqueadores, un enfoque para proteger las identidades no humanas y sus credenciales de acceso ya no es una opci\u00f3n. <\/p>\n<p>El acceso no humano mal protegido, tanto externo como interno, aumenta enormemente la probabilidad de ataques a la cadena de suministro, filtraciones de datos e infracciones de cumplimiento.  Las pol\u00edticas de seguridad, as\u00ed como las herramientas autom\u00e1ticas para hacerlas cumplir, son imprescindibles para quienes buscan proteger esta vol\u00e1til superficie de ataque y al mismo tiempo permitir que la empresa aproveche los beneficios de la automatizaci\u00f3n y la hiperconectividad. <\/p>\n<p><a rel=\"nofollow noopener\" class=\"editor-rtfLink\" href=\"https:\/\/astrix.security\/schedule-a-live-demo\/?utm_source=hackernews&amp;utm_medium=sponsored_article&amp;utm_campaign=hackernewsarticle\" target=\"_blank\">Programe una demostraci\u00f3n en vivo de Astrix, l\u00edder en seguridad de identidades no humanas <\/a><\/p>\n<p><i>*Seg\u00fan datos de Astrix Research, recopilados de entornos empresariales de organizaciones con entre 1.000 y 10.000 empleados.<\/i><\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/12\/non-human-access-is-path-of-least.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80212 de diciembre de 2023\ue804Las noticias de los piratas inform\u00e1ticosCiberseguridad \/ Seguridad GenAI En 2023 se han producido<\/p>\n","protected":false},"author":1,"featured_media":1088324,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[3348,4657,4656,4661,614,4664,4662,5638,4668,201033,8426,4654,201031,4659,4653,4655,1025,94,4666,4665,201032,4660],"class_list":["post-1088323","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-acceso","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-camino","tag-como-hackear","tag-filtracion-de-datos","tag-humano","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-menor","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-resistencia","tag-resumen","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1088323","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1088323"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1088323\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1088324"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1088323"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1088323"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1088323"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}