El 52% de las organizaciones ha tenido comprometida alguna cuenta cloud en 2020

31 marzo, 2021
6 Compartido 1,213 Visualizaciones

OAuth se ha convertido en una superficie y un vector de ataque mayor por los amplios permisos que puede llegar a tener en aplicaciones de organizaciones en la nube

OAuth es un protocolo de autorización mediante el cual una aplicación de terceros puede añadir funciones empresariales y mejoras en la interfaz de usuario a servicios cloud como Microsoft 365 y Google Workspace. Actualmente se ofrecen millones de aplicaciones y complementos OAuth bastante útiles para tares de análisis, seguridad, CRM, gestión de documentos o gestión de proyectos. La mayoría de aplicaciones OAuth permite que la información o los datos de la cuenta de un usuario sean utilizados sin exponer la contraseña, iniciando sesión en otras aplicaciones en la nube en nombre de esos usuarios. Por ejemplo, pueden acceder a archivos de personas, leer sus calendarios o enviar correos electrónicos, entre otras opciones. 

Según una investigación de Proofpoint, los ciberdelincuentes están abusando cada vez más de aplicaciones legítimas de OAuth para exfiltrar datos y mantener su perseverancia en recursos específicos de cloud después de comprometer la cuenta de un usuario. La empresa de ciberseguridad y cumplimiento normativo ha examinado más de 20 millones de cuentas cloud de usuarios y miles de inquilinos en la nube entre enero y diciembre de 2020 en Norteamérica y Europa. Estas son lasprincipales conclusiones de su estudio sobre OAuth

  • En el último año, los atacantes se han dirigido al 95% de las organizaciones con la intención de comprometer cuentas en la cloud.
  •  El 52% de las empresas ha sufrido al menos una vulneración de este tipo en 2020.
  • Entre las empresas afectadas, más del 30% ha registrado otras acciones después de que los ciberdelincuentes accedieran a las cuentas, como manipulación de archivos, reenvío de correos electrónicos y actividad OAuth.
  • El 10% de las organizaciones ha autorizado aplicaciones OAuth maliciosas, permitiendo a los atacantes acceder y gestionar la información o los datos de los usuarios.

 

Cualquier aplicación OAuth que tenga amplios permisos de acceso es un riesgo potencial de seguridad para una organización. Así sucedió en el ataque a SolarWinds, conocido el pasado diciembre, que consiguió comprometer la información de decenas de miles de empresas en el mundo. El abuso de OAuth permitió a los ciberdelincuentes de esta campaña tener una visibilidad del correo que simplemente no habría sido posible de haberse usado solo el malware Sunburst.

El abuso de una aplicación, es decir, que un ciberdelincuente emplee una aplicación legítima, no es una vulnerabilidad de la aplicación. Proofpoint recomienda a las organizaciones que implementen una estrategia de ciberseguridad centrada en las personas en la que se controlen de forma activa las aplicaciones OAuth, minimizando los permisos concedidos y gestionando la lista de usuarios para reducir riesgos. Las aplicaciones con roles de administrador y permisos delegados por la aplicación suponen un riesgo mayor porque, si se abusa de ellas, dan un acceso muy amplio al atacante. Por eso, los propietarios de la aplicación necesitan entender el mecanismo de acceso a los recursos de la misma y hacer un seguimiento de posibles cambios o anomalías, como consentimientos extraños a una aplicación poco común, certificados o URLs de dominios desconocidos.

Para estos casos, Proofpoint Cloud App Security Broker (CASB) detecta, evalúa y revoca los permisos de OAuth para aplicaciones y scripts de terceros que acceden a sus servicios cloud. Su análisis en profundidad ayuda a identificar las aplicaciones de riesgo, incluidas las maliciosas; reducir la superficie de ataque; y, en función del riesgo y el contexto, definir o automatizar acciones.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

La importancia de proteger la identidad digital en verano
Actualidad
9 compartido1,649 visualizaciones
Actualidad
9 compartido1,649 visualizaciones

La importancia de proteger la identidad digital en verano

Vicente Ramírez - 6 agosto, 2019

5 claves para no ser una víctima más de la ciberdelincuencia estas vacaciones. El verano es la época del año…

Ciber-seguro.es, la nueva plataforma de Artai
Actualidad
9 compartido1,523 visualizaciones
Actualidad
9 compartido1,523 visualizaciones

Ciber-seguro.es, la nueva plataforma de Artai

Aina Pou Rodríguez - 2 junio, 2020

Artai lanza una nueva plataforma online para la evaluación de riesgos en ciberseguridad A raíz del acuerdo entre Artai, el…

IA y Deep Learning protagonizan los servidores de Fujitsu
Cloud
15 compartido1,406 visualizaciones
Cloud
15 compartido1,406 visualizaciones

IA y Deep Learning protagonizan los servidores de Fujitsu

Samuel Rodríguez - 10 abril, 2018

Fujitsu acelera la adopción de Inteligencia Artificial (AI) y Deep Learning (DL) con la disponibilidad a nivel mundial de sus…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.