Informe advierte que las credenciales de larga duración siguen siendo un riesgo de seguridad significativo
Las claves de acceso obsoletas aumentan la vulnerabilidad en las plataformas en la nube
La gestión automatizada de credenciales es crucial para la seguridad en la nube
A medida que la adopción de la computación en la nube continúa aumentando, las organizaciones dependen cada vez más de plataformas como Amazon Web Services (AWS), Microsoft Azure y Google Cloud para su infraestructura y servicios, sin embargo, esto también significa que sus riesgos de seguridad se vuelven más complejos.
El reciente informe Estado de la Seguridad en la Nube 2024 de Datadog revela un problema particularmente preocupante: el uso de credenciales de larga duración, que representan amenazas de seguridad significativas en todos los principales proveedores de la nube.
A pesar de los avances en herramientas y prácticas de seguridad en la nube, muchas organizaciones siguen utilizando credenciales de larga duración, que no caducan automáticamente.
Las credenciales de larga duración, especialmente aquellas que ya no se gestionan activamente, pueden convertirse en un objetivo fácil para los atacantes. Si se filtran o se comprometen, podrían proporcionar acceso no autorizado a datos o sistemas sensibles. Cuanto más tiempo permanezcan estas credenciales en su lugar sin rotación ni supervisión, mayor será el riesgo de una violación de seguridad.
El informe de Datadog revela que casi la mitad (46%) de las organizaciones aún tienen usuarios no gestionados con credenciales de larga duración. Estas credenciales son particularmente problemáticas porque a menudo están incrustadas en diversos activos como código fuente, imágenes de contenedores y registros de compilación. Si estas credenciales no se gestionan correctamente, pueden filtrarse o exponerse fácilmente, proporcionando un punto de entrada para que los atacantes accedan a sistemas y datos críticos.
Casi dos tercios (62%) de las cuentas de servicio de Google Cloud, el 60% de los usuarios de AWS Identity and Access Management (IAM) y el 46% de las aplicaciones de Microsoft Entra ID tienen claves de acceso que tienen más de un año.
En respuesta a estos riesgos, los proveedores de la nube han estado avanzando hacia la mejora de la seguridad. El informe de Datadog señala que la adopción de barreras de protección en la nube está en aumento. Estas barreras son reglas o configuraciones automatizadas diseñadas para hacer cumplir las mejores prácticas de seguridad y prevenir errores humanos.
Por ejemplo, el 79% de los buckets de Amazon S3 ahora tienen bloqueos de acceso público habilitados a nivel de cuenta o específicos del bucket, frente al 73% del año anterior. Sin embargo, aunque estas medidas proactivas son un paso en la dirección correcta, las credenciales de larga duración siguen siendo un punto ciego importante en los esfuerzos de seguridad en la nube.
Además, el informe añadió que hay un número conspicuamente alto de recursos en la nube con configuraciones demasiado permisivas.
Aproximadamente el 18% de las instancias de AWS EC2 y el 33% de las VM de Google Cloud tenían permisos sensibles que podrían permitir a un atacante comprometer el entorno. En casos en los que se viola una carga de trabajo en la nube, estos permisos sensibles pueden explotarse para robar credenciales asociadas, lo que permite a los atacantes acceder al entorno de nube más amplio.
Además, existe el riesgo de integraciones de terceros, que son comunes en los entornos de nube modernos. Más del 10% de las integraciones de terceros examinadas en el informe se encontraron tener permisos en la nube riesgosos, lo que potencialmente permitiría al proveedor acceder a datos sensibles o tomar el control de toda la cuenta de AWS.
Además, el 2% de estos roles de terceros no imponen el uso de IDs externas, dejándolos susceptibles a un ataque de “delegado confundido”, un escenario en el que un atacante engaña a un servicio para que utilice sus privilegios para realizar acciones no deseadas.
“Los hallazgos del Estado de la Seguridad en la Nube 2024 sugieren que es poco realista esperar que las credenciales de larga duración puedan ser gestionadas de forma segura”, dijo Andrew Krug, Jefe de Defensa de Seguridad en Datadog.
“Además de las credenciales de larga duración que representan un gran riesgo, el informe encontró que la mayoría de los incidentes de seguridad en la nube son causados por credenciales comprometidas. Para protegerse, las empresas necesitan asegurar identidades con mecanismos de autenticación modernos, aprovechar credenciales de corta duración y monitorear activamente los cambios en las APIs que los atacantes utilizan comúnmente”, agregó Krug.