Report advierte que las credenciales de larga duración siguen siendo un riesgo de seguridad significativo
Las claves de acceso desactualizadas aumentan la vulnerabilidad en las plataformas en la nube
La gestión automática de credenciales es crucial para la seguridad en la nube
A medida que la adopción de la computación en la nube continúa aumentando, las organizaciones dependen cada vez más de plataformas como Amazon Web Services (AWS), Microsoft Azure y Google Cloud para su infraestructura y servicios, sin embargo, esto significa que sus riesgos de seguridad también se vuelven más complejos.
El reciente informe Datadog Estado de la Seguridad en la Nube 2024 revela un problema particularmente preocupante: el uso de credenciales de larga duración, que representan importantes amenazas de seguridad en todos los principales proveedores de nube.
A pesar de los avances en herramientas y prácticas de seguridad en la nube, muchas organizaciones siguen utilizando credenciales de larga duración, que no caducan automáticamente.
La prevalencia de credenciales de larga duración
Las credenciales de larga duración, especialmente aquellas que ya no se gestionan activamente, pueden ser un objetivo fácil para los atacantes. Si se filtran o se comprometen, podrían proporcionar acceso no autorizado a datos o sistemas sensibles. Cuanto más tiempo permanezcan estas credenciales en su lugar sin rotación o monitoreo, mayor será el riesgo de una violación de seguridad.
El informe de Datadog revela que casi la mitad (46%) de las organizaciones todavía tienen usuarios no gestionados con credenciales de larga duración. Estas credenciales son particularmente problemáticas porque a menudo están incrustadas en varios activos como código fuente, imágenes de contenedores y registros de compilación. Si estas credenciales no se gestionan correctamente, pueden filtrarse o exponerse fácilmente, proporcionando un punto de entrada para que los atacantes accedan a sistemas y datos críticos.
Casi dos tercios del 62% de las cuentas de servicio de Google Cloud, el 60% de los usuarios de IAM de Amazon Web Services (IAM) y el 46% de las aplicaciones de Microsoft Entra ID tienen claves de acceso que tienen más de un año.
En respuesta a estos riesgos, los proveedores de nube han estado avanzando hacia la mejora de la seguridad. El informe de Datadog señala que la adopción de guardrails en la nube está en aumento. Estos guardrails son reglas o configuraciones automatizadas diseñadas para hacer cumplir las mejores prácticas de seguridad y prevenir errores humanos.
¡Regístrese en el boletín de TechRadar Pro para obtener todas las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito!
Por ejemplo, el 79% de los buckets de Amazon S3 tienen habilitados bloques de acceso público en toda la cuenta o en el bucket específico, frente al 73% del año anterior. Sin embargo, si bien estas medidas proactivas son un paso en la dirección correcta, las credenciales de larga duración siguen siendo un punto ciego importante en los esfuerzos de seguridad en la nube.
Además, el informe agregó que hay un número conspicuamente alto de recursos en la nube con configuraciones excesivamente permisivas.
Aproximadamente el 18% de las instancias de AWS EC2 y el 33% de las VM de Google Cloud tenían permisos sensibles que potencialmente podrían permitir a un atacante comprometer el entorno. En los casos en que una carga de trabajo en la nube es comprometida, estos permisos sensibles pueden ser explotados para robar credenciales asociadas, permitiendo a los atacantes acceder al entorno en la nube en general.
Además, existe el riesgo de integraciones de terceros, que son comunes en los entornos de nube modernos. Más del 10% de las integraciones de terceros examinadas en el informe se encontraron tener permisos en la nube arriesgados, lo que potencialmente permite al proveedor acceder a datos sensibles o tomar el control de toda la cuenta de AWS.
Además, el 2% de estos roles de terceros no hacen cumplir el uso de IDs externos, dejándolos susceptibles a un ataque de “delegado confundido”, un escenario donde un atacante engaña a un servicio para que utilice sus privilegios para realizar acciones no deseadas.
“Los hallazgos del Estado de la Seguridad en la Nube 2024 sugieren que es poco realista esperar que las credenciales de larga duración se puedan gestionar de forma segura”, dijo Andrew Krug, Jefe de Abogacía de Seguridad en Datadog.
“Además de que las credenciales de larga duración son un riesgo importante, el informe encontró que la mayoría de los incidentes de seguridad en la nube son causados por credenciales comprometidas. Para protegerse, las empresas necesitan asegurar identidades con mecanismos de autenticación modernos, aprovechar las credenciales de corta duración y monitorear activamente los cambios en las APIs que los atacantes suelen utilizar”, agregó Krug.