Después de que el colectivo de hackers ShinyHunters aprovechara las configuraciones "excesivamente permisivas" de los usuarios invitados de Salesforce para acceder a datos de hasta 400 organizaciones, ¿cómo pueden las empresas fortalecer su resiliencia?
Por Kate O'Flaherty
En marzo, Salesforce emitió un de advertencia de ugencia a los clientes que el Colectivo de hackers ShinyHunters Se aprovechaba de configuraciones erróneas en los sitios de Experience Cloud accesibles al público para acceder a datos confidenciales y extorsionar a las empresas.
Los atacantes aparentemente utilizaron como arma una versión modificada de una herramienta de código abierto. Inspector de auras, desarrollado originalmente por Mandiant, para realizar escaneos masivos y encontrar fallos de configuración para atacar hasta 400 organizaciones.
Como parte del marco Salesforce Aura para identificar configuraciones de seguridad incorrectas en los sitios de Experience Cloud, los atacantes crearon una versión de la herramienta "capaz de ir más allá de la identificación para extraer datos", advirtió Salesforce en un comunicado. asesor.
“Esta es la estrategia del atacante moderno”, afirma Dean Garvey-North, director de tecnología de Microlise. “Utilizan herramientas legítimas, se centran en las debilidades de configuración en lugar de las vulnerabilidades de la plataforma y operan a escala de internet”.
Dado que los adversarios se aprovecharon de clientes con configuraciones de usuario invitado demasiado permisivas, Salesforce no tuvo la culpa del incidente, al menos desde un punto de vista legal. Este incidente es un claro ejemplo de cómo la configuración en la nube, la exposición de identidades y los modelos de responsabilidad compartida están creando áreas de riesgo nuevas y a menudo malinterpretadas.
¿Cómo pueden las organizaciones reducir la exposición y fortalecer la resiliencia en entornos basados en la nube, donde el riesgo a menudo reside en la brecha entre la capacidad de la plataforma y la configuración del cliente?
Configuraciones incorrectas
Como demuestra el incidente de Salesforce, las configuraciones incorrectas, en particular las relacionadas con el acceso de invitados y los permisos de identidad, siguen siendo una fuente constante de exposición de datos.
Las configuraciones erróneas persisten porque las organizaciones con frecuencia priorizan la usabilidad y el despliegue digital rápido sobre la seguridad. Esto otorga inadvertidamente a los usuarios externos no autenticados "amplios permisos de datos internos" en lugar de aplicar estrictamente una modelo de acceso de “privilegio mínimo”Así lo afirma Dray Agha, gerente sénior de operaciones de seguridad en Huntress.
Según Garvey-North de Microlise, la usabilidad y la seguridad están «en tensión por diseño», y las decisiones de configuración tomadas durante la implementación rara vez se revisan. «Los portales de Salesforce Experience Cloud utilizan un perfil de usuario invitado específico que permite a los visitantes no autenticados ver páginas públicas o enviar formularios sin iniciar sesión. Cuando ese perfil está mal configurado con permisos excesivos, los datos que no deberían ser públicos se vuelven directamente consultables, sin necesidad de iniciar sesión».
El problema es estructural, afirma Garvey-North. «Las plataformas se lanzan con configuraciones predeterminadas permisivas para reducir las dificultades para los nuevos clientes. Los equipos de implementación optimizan el sistema para que todo funcione correctamente. Las revisiones de seguridad se realizan en momentos puntuales».
Pero la configuración en la nube no es estática: «Cada nuevo portal, integración o lanzamiento de funciones representa una posible vulnerabilidad», señala Garvey-North. «Sin una monitorización continua de la configuración, básicamente se está confiando en que nada se haya desviado desde la última auditoría».
¿De quien es la culpa?
Salesforce es un ejemplo de cómo las funciones diseñadas para facilitar la usabilidad, como los portales públicos, las API y el acceso de invitados, introducen riesgos de seguridad nuevos y a menudo subestimados.
Estas características suelen modificar las premisas tradicionales de seguridad, afirma Dana Simberkoff, directora de riesgos, privacidad y seguridad de la información en AvePoint. «El diseño centrado en la usabilidad a menudo traslada el riesgo, de forma silenciosa, de la plataforma al cliente».
En consecuencia, puede resultar complicado determinar la responsabilidad entre los proveedores de servicios en la nube y los clientes, especialmente cuando los incidentes se deben a problemas de configuración, en lugar de a vulnerabilidades de la plataforma principal.
Los atacantes afirmaron que una "limitación de Salesforce" propició el incidente. Sin embargo, Salesforce ha sido claro: no se trata de una vulnerabilidad de la plataforma, sino de un problema en la configuración de los permisos de usuario invitado por parte de los clientes, según Garvey-North.
Proveedores de la nube La plataforma es segura, pero los clientes son responsables de su configuración, incluyendo la identidad, los permisos y la exposición de datos. «Ahí es donde fallan la mayoría de las organizaciones», afirma Stew Parkin, CTO global de Assured Data Protection. «Terminan dependiendo de auditorías puntuales en entornos que cambian constantemente».
El modelo de responsabilidad compartida está «bien establecido en teoría, pero se malinterpreta constantemente en la práctica», añade Garvey-North de Microlise. «Los proveedores de servicios en la nube protegen la infraestructura y la plataforma. Los clientes son responsables de lo que almacenan, de cómo configuran el acceso y de cómo lo gestionan a lo largo del tiempo. La vulnerabilidad, y donde se producen la mayoría de las brechas de seguridad, reside en la capa de configuración».
La automatización facilita los ataques.
Al mismo tiempo, los atacantes están aumentando sus capacidades, utilizando la automatización y herramientas legítimas para identificar y explotar vulnerabilidades en cientos de organizaciones simultáneamente. CTO de Mandiant confirmado Shiny Hunters utilizaba AuraInspector para automatizar los análisis de vulnerabilidades en entornos de Salesforce a gran escala.
“Cuando los responsables de la seguridad informática piensan en el riesgo de la nube, tienden a seguir pensando en términos de incidentes individuales”, afirma Garvey-North.
Pero los atacantes piensan en términos de superficie de ataque. "Cualquier patrón de configuración errónea que exista en miles de organizaciones está a una sola campaña automatizada de distancia de una explotación masiva", dice Garvey-North.
Mientras tanto, tácticas como las filtraciones escenificadas y las campañas de vishing están aumentando el impacto de este tipo de incidentes.
ShinyHunters fijó un plazo público, advirtiendo que los datos robados serían publicados a menos que las víctimas accedieran a sus demandas de extorsión.
El grupo llevó a cabo operaciones paralelas de vishing, suplantando la identidad del personal de TI y dirigiendo a los empleados a sitios de recolección de credenciales para capturar credenciales de inicio de sesión único y autenticación multifactor Códigos MFA. La combinación es deliberada, afirma Garvey-North: “Robar datos mediante una configuración incorrecta, obtener credenciales mediante ingeniería social y luego extorsionar utilizando ambos métodos”.
Esto se produce en un momento de crecientes exigencias regulatorias en materia de protección de datos, control de acceso y rendición de cuentas. Con la existencia de leyes de protección de datos en muchos territorios y el auge de las demandas colectivas, la prevención de la exposición de datos suele ser el principal factor determinante en el pago de extorsiones.
“Aunque está claro que no es recomendable, a menudo resulta más barato pagar para evitar la divulgación de los datos que afrontar las multas y los gastos legales que conlleva su revelación”, afirma Tony Gee, consultor principal de ciberseguridad en 3B Data Security.
Superando la brecha de visibilidad
Incidentes como los ataques a Salesforce ponen de manifiesto un problema persistente: las organizaciones dependen cada vez más de las plataformas en la nube, pero la responsabilidad en materia de seguridad está distribuida y no siempre se comprende con claridad.
Las empresas deben ir más allá de asumir que la seguridad de la plataforma en la nube es suficiente, y avanzar hacia un enfoque más continuo y basado en sistemas para la gestión de la configuración, la gobernanza de la identidad y la garantía de calidad.
Según Agha, de Huntress, la seguridad tradicional se basa en gran medida en auditorías estáticas y puntuales que "pasan por alto por completo las sutiles y continuas desviaciones de configuración y las exposiciones de API que caracterizan los riesgos de la nube moderna".
Esto deja “un peligroso vacío de visibilidad donde se abusa silenciosamente de funciones legítimas”, advierte.
Teniendo esto en cuenta, existen algunas medidas prácticas que los responsables de seguridad y cumplimiento normativo deberían adoptar para mejorar la visibilidad y el control sobre la identidad, el acceso y la configuración.
Según Agha, los líderes deben adoptar una postura de seguridad de "privacidad por defecto" mediante la auditoría activa de los permisos de los perfiles de invitados externos, la desactivación del acceso público a la API sin autenticación a menos que sea estrictamente necesario y la implementación de una monitorización continua de los registros de eventos para detectar consultas de datos anómalas.
“Sea sumamente curioso con la infraestructura utilizada y asuma que el proveedor no ha implementado la seguridad por defecto”, aconseja. “Investigue las opciones de seguridad disponibles en la configuración de herramientas de terceros”.
Según Gee, de 3B Data Security, un control defensivo clave es la debida diligencia con los proveedores y la gestión continua de riesgos con terceros. Recomienda un enfoque de privilegios mínimos para el intercambio de datos, compartiendo únicamente con terceros la información necesaria.
Garvey-North, de Microlise, recomienda hacer a los proveedores las mismas preguntas que le harías a tu propia infraestructura: "¿Cuáles son tus configuraciones seguras por defecto, cómo detectas el acceso anómalo a nivel de plataforma y cómo es tu proceso de divulgación cuando algo sale mal?".
Mientras tanto, contar con un proceso de respuesta sólido es fundamental para limitar el riesgo de multas y demandas, afirma Gee. «Se ha observado que demostrar una sólida resiliencia cibernética es un factor determinante en el monto de la multa. No hacer nada y confiar en el atractivo marketing de terceros no es una defensa válida y, a menudo, conlleva multas más elevadas y demandas colectivas fáciles de ganar».
Al mismo tiempo, marcos como ISO 27001, Esto ayuda a garantizar evaluaciones de riesgos rigurosas y continuas, así como políticas sistemáticas de control de acceso. Según Agha, esto transforma la seguridad en la nube, pasando de ser una simple casilla de verificación a un proceso gestionado de forma continua que alinea entornos complejos con estándares resilientes.
Según Garvey-North, la norma ISO 27001 aporta un valor real en entornos digitales complejos al fomentar la claridad organizativa: quién es responsable de cada control, qué se considera un riesgo aceptable y cómo se gestionan los incidentes y se aprende de ellos. «Esa estructura de gobernanza se convierte en el nexo de unión entre la capacidad de ingeniería de seguridad y el nivel de tolerancia al riesgo de la junta directiva. Sin ella, se dispone de herramientas sin rendición de cuentas».
Amplíe su conocimiento
Webinar: El poder de las normas ISO 27017 y 27018: Cómo proteger su entorno en la nube
