Código de programación
Vía Pixabay

La Agencia de Seguridad Nacional (NSA) de Estados Unidos advierte sobre ciberdelincuentes que usan credenciales falsos para acceder a la nube. El organismo ha elaborado un documento que enseña a los administradores de Microsoft Azure a detectar y protegerse de esta clase de ataques.

Esta iniciativa se debe a que se ha registrado ataques cibernéticos en distintas organizaciones. Entre las que destacan la cadena de suministro de SolarWinds, el departamento del Tesoro, Comercio y Energía. Así como Seguridad Nacional, Institutos Nacionales de Salud y la Administración Nacional de Seguridad Nuclear.

¿De qué trata esta modalidad de falsificación de credenciales en la nube?

La NSA indica que la ciberdelincuencia utiliza dos tácticas, técnicas y procedimientos (TTP) para falsificar credenciales y acceder a la nube.

La primera de ellas es la “falsificación de tokens de Lenguaje de marcado de aserción de seguridad (SAML)” en inicios de sesión. Esta práctica compromete la infraestructura de la nube, robando datos como usuarios y contraseñas, para falsificarlos y acceder a ella en cualquier momento.

En el segundo TTP, los hackers van allá. Los ciberdelincuentes usan perfiles administrativos para asignar “credenciales a identidades” para que puedan acceder a otros recursos de la nube. En esta, el objetivo “normalmente” es el servicio de correo electrónico. Al respecto, la NSA expresa:

“Es fundamental que cuando se ejecuten productos que realicen autenticación, el servidor y todos los servicios que dependen de él estén configurados correctamente para una operación e integración segura. De lo contrario, los tokens SAML podrían falsificarse, otorgando acceso a numerosos recursos”.

Recomendaciones hechas por la NSA para detectar tokens sospechosos

La Agencia de Seguridad Nacional recomienda chequear la configuración de autenticación y autorización en el Directorio Activo (Active Directory). Esto con la intencion de validar que los tokens con atributos estén en línea con las políticas de la organización.

Otra recomendación es eliminar aplicaciones innecesarias, de autenticación multifactor. Además de desactivar la autenticación heredada.

La NSA está consciente de la importancia que tiene la nube en nuestras vidas. Muchas de nuestras actividades (servicios y herramientas) personales y empresariales dependen de ella. Esta agencia insta a los usuarios a realizar revisiones periódicas y chequear aquellos tokens sospechosos que no correspondan con las normativas de la empresa.