La popularidad de la nube ha aumentado significativamente en los últimos años: un número cada vez mayor de empresas aprovecha el acceso a los datos en cualquier momento y lugar para lograr una mayor productividad y flexibilidad. Sin embargo, el crecimiento de estos servicios no ha pasado desapercibido para los ciberdelincuentes, lo que ha dado lugar a una nueva generación de ataques cibernéticos.
Una técnica maliciosa que se ha vuelto bastante frecuente en los últimos años es lo que se conoce como el ataque del «hombre en la nube» o “Man in the Cloud” (MitC por sus siglas en inglés). Este ataque intenta acceder a las cuentas de las víctimas sin necesidad de disponer de unas credenciales de usuario obtenidas de antemano. Este artículo explica el funcionamiento de los ataques MitC y ofrece consejos prácticos sobre qué pueden hacer las empresas para defenderse de ellos.
¿Qué es un ataque del hombre en la nube?
Para obtener acceso a las cuentas en la nube, los ataques del hombre en la nube aprovechan el sistema de token de sincronización OAuth que utilizan las aplicaciones en la nube. La mayoría de los servicios de nube populares (como Dropbox, Microsoft OneDrive o Google Drive) guardan uno de estos tokens en el dispositivo del usuario después de haber realizado la autenticación inicial. Esto se hace para ofrecer una mayor facilidad de uso: los usuarios no tienen que introducir su contraseña cada vez que quieren acceder a una aplicación si disponen de un token OAuth. Sin embargo, la disponibilidad en cualquier momento y lugar de los servicios en la nube significa que el mismo token puede dar acceso desde cualquier dispositivo. De este modo, si un atacante consigue acceder y copiar un token, puede infiltrarse en la cuenta de nube de la víctima de forma remota, de un modo que parezca genuino y que burle las medidas de seguridad.
Según Minerva, el primer equipo de investigación que descubrió los ataques del hombre en la nube, la forma más fácil de acceder a un token es mediante la ingeniería social. Esto requiere engañar a la víctima para que ejecute herramientas de software malicioso, como Switcher, que generalmente se distribuyen por correo electrónico. Una vez se ha ejecutado en el dispositivo de la víctima, este malware instala un nuevo token (que pertenece a una nueva cuenta creada por el atacante) y mueve el token real de la víctima a una carpeta de sincronización en la nube. Después, cuando el dispositivo de la víctima se sincroniza, los datos se sincronizan con la cuenta del atacante en lugar de la cuenta de la víctima. Además, el token de la cuenta original se revela al atacante. En ese momento, se puede usar Switcher para copiar el token de la cuenta original en el equipo de la víctima y borrar el malicioso, eliminando cualquier rastro de la brecha de seguridad y dando al atacante un acceso completo a la cuenta de la víctima en cualquier dispositivo.
Cómo protegerse de este ataque 
La naturaleza de un ataque de este tipo hace que sea muy difícil evitarlo con las medidas de seguridad convencionales, como la protección de los puntos finales y del perímetro. Sin embargo, hay varias medidas que las empresas pueden adoptar para reducir significativamente (o incluso eliminar) la posibilidad de convertirse en víctimas de un ataque del hombre en la nube.
- Realizar formaciones de seguridad periódicas
Una de las medidas de seguridad más efectivas es también una de las más simples. Como hemos indicado anteriormente, los ataques MitC dependen de la ingeniería social para tener éxito. Afortunadamente, un empleado bien formado y precavido es mucho menos probable que haga clic en un enlace malicioso o en un archivo adjunto sospechoso incluido en un correo electrónico de phishing. Las empresas que se preocupan por la seguridad deben ofrecer formaciones periódicas a todos sus empleados para asegurarse de que tengan presente la protección y conozcan las señales que indican un intento de ataque.
- Utilizar el cifrado para proteger los datos en la nube
Aunque el cifrado no puede evitar un ataque MitC, sí es capaz de evitar las brechas de datos que pueden producirse como resultado. Siempre que las claves de cifrado no se almacenen también dentro del
servicio en la nube atacado, cualquier información a la que se acceda mediante un ataque MitC permanecerá cifrada para el atacante. Esto significa que la información robada será indescifrable e inutilizable por parte del ciberdelincuente.
- Habilitar la autenticación de dos factores
La autenticación multifactor (AMF) es otra forma simple pero efectiva de reducir la amenaza que suponen los ataques MitC. Este sistema de autenticación está disponible en los servicios de nube líderes (Office 365), así como mediante soluciones de seguridad especializadas creadas para verificar las identidades de los usuarios en todos los recursos en la nube de una empresa. La AMF añade una capa adicional de seguridad que puede frustrar fácilmente a un atacante que use la técnica MitC, al no tener la posibilidad de autenticarse más allá del token OAuth.
- Invertir en un agente de acceso seguro a la nube (CASB)
Una de las formas más completas de protegerse de amenazas como los ataques MitC es mediante la implementación de un CASB. Los CASB intermedian todo el tráfico entre las aplicaciones en la nube de una empresa y los dispositivos de punto final. Para ello, reemplazan automáticamente los tokens OAuth de cada aplicación por tokens cifrados antes de enviarlos a los puntos finales. Cuando un dispositivo intenta acceder a una aplicación en la nube, se envía un token cifrado y único al CASB, que lo descifra y lo transmite a la aplicación. En consecuencia, si un ciberdelincuente sustituyera el token de un usuario, el token malicioso fallaría en el proceso de validación y descifrado en el proxy, denegando el acceso a la cuenta de la víctima y anulando el ataque.
La popularidad de la nube sigue aumentando a un ritmo sin precedentes. Sin embargo, al igual que ocurre con tantas tecnologías nuevas, esta creciente aceptación conlleva nuevos riesgos. Los ataques del hombre en la nube están diseñados para aprovechar el acceso a los datos en cualquier momento y lugar que permite la nube con el fin de proporcionar a los piratas informáticos un acceso no autorizado a la información confidencial. Si bien es prácticamente imposible detectar estas amenazas con herramientas de seguridad convencionales, eso no significa que las empresas estén indefensas. La formación periódica de los empleados, combinada con medidas de seguridad como el uso del cifrado, la autenticación de dos factores y los CASB, puede proporcionar una defensa extremadamente sólida contra los ataques MitC y muchas otras amenazas. En el mundo de los negocios modernos, la seguridad efectiva no es un lujo: es una necesidad. Cualquier empresa que no esté preparada sufrirá inevitablemente una brecha en la seguridad de sus datos.
Anurag Kahol
Director técnico de Bitglass
