Tabla 1. Criticidad de determinados recursos de la nube.<\/p>\n
Cabe destacar que los atacantes se dirig\u00edan con frecuencia a los tokens de IAM sin servidor, lo que provocaba el uso remoto de la l\u00ednea de comandos. Esto es importante porque pueden utilizarse para obtener acceso al entorno de nube m\u00e1s amplio de una organizaci\u00f3n. Como parte del aumento de las alertas en la nube, hubo tres veces m\u00e1s eventos de acceso remoto a la l\u00ednea de comandos utilizando tokens de acceso y gesti\u00f3n de identidades (IAM), y credenciales que son utilizadas por funciones sin servidor en la nube.<\/p>\n
Tambi\u00e9n identificamos otras tendencias al alza en cuanto a las alertas:<\/p>\n
- \n
- Un aumento del 116% en las alertas de \"sucesos de viaje imposibles\" basadas en la IAM (es decir, inicios de sesi\u00f3n procedentes de zonas geogr\u00e1ficas distantes dentro de un margen de tiempo acotado).<\/li>\n
- Un aumento del 60% en las solicitudes de la interfaz de programaci\u00f3n de aplicaciones (API) de IAM procedentes de regiones exteriores para recursos inform\u00e1ticos (m\u00e1quina virtual en la nube).<\/li>\n
- Un aumento m\u00e1ximo del 45% en el n\u00famero de exportaciones de instant\u00e1neas en la nube durante noviembre de 2024<\/li>\n
- Un aumento del 305% en el n\u00famero de descargas sospechosas de m\u00faltiples objetos de almacenamiento en la nube<\/li>\n<\/ul>\n
La identidad es el per\u00edmetro de defensa de la infraestructura de la nube. Los atacantes tienen como objetivo los tokens y las credenciales de IAM, ya que contienen las claves de la nube, lo que permite a los atacantes moverse lateralmente, escalar sus permisos y realizar otras operaciones maliciosas. El aumento del n\u00famero de intentos de acceso y del uso de cuentas de servicios de IAM sensibles implica que los atacantes de todo el mundo tienen sus sitios puestos en los recursos de la nube.<\/p>\n
El objetivo de los atacantes son los servicios de almacenamiento en la nube, ya que a menudo contienen datos confidenciales. Hemos observado un notable aumento del n\u00famero de descargas sospechosas de objetos de almacenamiento en la nube y de exportaciones de instant\u00e1neas de im\u00e1genes. Las alertas de descarga sospechosa de objetos de almacenamiento en la nube se activan cuando una \u00fanica identidad basada en IAM descarga un gran n\u00famero de objetos de almacenamiento dentro de un margen de tiempo acotado. Esto puede implicar operaciones maliciosas como ransomware o extorsi\u00f3n. Las instant\u00e1neas de im\u00e1genes son el objetivo de los atacantes, ya que pueden contener datos sensibles relacionados con la infraestructura de la nube y credenciales de IAM que podr\u00edan permitir que el atacante escale permisos y se mueva lateralmente dentro de un entorno de nube v\u00edctima.<\/p>\n
Estos ejemplos ilustran la necesidad inmediata de proteger los entornos de nube, no solo con herramientas fundacionales de gesti\u00f3n de la postura de seguridad en la nube (CSPM), sino en cooperaci\u00f3n con herramientas que detecten y eviten las operaciones maliciosas en tiempo de ejecuci\u00f3n a medida que se producen.<\/p>\n
Al implementar las herramientas de seguridad en la nube en tiempo de ejecuci\u00f3n de Cortex Cloud -tambi\u00e9n denominadas Detecci\u00f3n y Respuesta en la Nube (CDR<\/a>), los equipos de seguridad pueden identificar y prevenir eventos maliciosos dentro de los entornos de nube.<\/p>\n
<\/a> Si cree que puede haber estado en peligro o tiene un asunto urgente, p\u00f3ngase en contacto con el equipo de respuesta a incidentes de la Unit 42<\/a>.<\/p>\n
Ataques a la Nube a Escala<\/h2>\n
En una publicaci\u00f3n reciente de Unit 42<\/a>, detallamos una campa\u00f1a de ransomware y extorsi\u00f3n que apuntaba directamente a archivos de variables de entorno expuestos. El actor de amenazas de la campa\u00f1a cosech\u00f3 con \u00e9xito m\u00e1s de 90,000 credenciales de 110,000 dominios objetivo. Y lo que es m\u00e1s preocupante, tambi\u00e9n cosecharon cerca de 1,200 credenciales de IAM de la nube. Estas credenciales permitieron al actor de amenazas realizar con \u00e9xito ataques de extorsi\u00f3n contra m\u00faltiples organizaciones.<\/p>\n
Esta operaci\u00f3n brinda la oportunidad de analizar los mecanismos de seguridad existentes para proteger a las organizaciones. En concreto, esto nos permite determinar c\u00f3mo emplear sin problemas tanto las soluciones de seguridad de gesti\u00f3n de la postura como las de supervisi\u00f3n en tiempo de ejecuci\u00f3n. Esto permite a las organizaciones construir un per\u00edmetro de defensa de la seguridad en la nube que sea lo suficientemente robusto y capaz de hacer frente a estas nuevas oleadas de atacantes.<\/p>\n
Durante la investigaci\u00f3n para este art\u00edculo, descubrimos que el n\u00famero total medio de alertas en la nube que recibe una organizaci\u00f3n aument\u00f3 un 388% en 2024. Estas alertas proceden tanto de la gesti\u00f3n de la postura como de las operaciones de detecci\u00f3n de la supervisi\u00f3n en tiempo de ejecuci\u00f3n.<\/p>\n
Si bien la mayor\u00eda de las alertas fueron de gravedad \"informativa\", es sumamente importante destacar que el cambio m\u00e1s significativo se produjo en el n\u00famero de alertas de gravedad alta. Estas alertas aumentaron un 235% durante 2024. Las alertas de gravedad media y baja tambi\u00e9n aumentaron un 21% y un 10%, respectivamente.<\/p>\n
<\/a>Qu\u00e9 Significan Estas Alertas de Tendencia<\/h3>\n
Los cambios que observamos en el n\u00famero de alertas se alinean con nuestro Informe sobre el estado de la seguridad nativa de la nube 2024,<\/a> que descubri\u00f3 que el 71% de las organizaciones atribuyen el aumento de la exposici\u00f3n a vulnerabilidades a la aceleraci\u00f3n de las implementaciones. Adem\u00e1s, el 45% de esas organizaciones informan de un aumento de los ataques de amenazas avanzadas persistentes (APT) en el \u00faltimo a\u00f1o.<\/p>\n
Un ejemplo de ello es la reciente investigaci\u00f3n de Microsoft sobre Storm-2077<\/a> un grupo de actores de amenazas en la nube (CTAG) con sede en China que emplea complejas t\u00e9cnicas de recolecci\u00f3n de credenciales IAM en la nube para obtener y mantener el acceso a los entornos de nube de las v\u00edctimas. R\u00e1pidamente se hace evidente que tanto la gesti\u00f3n de la postura en la nube como la supervisi\u00f3n de la seguridad en tiempo de ejecuci\u00f3n deben funcionar como una sola unidad para llevar a cabo una protecci\u00f3n adecuada frente a la siguiente fase de amenazas en entornos de nube. La secci\u00f3n Antecedentes<\/a>, a continuaci\u00f3n proporciona informaci\u00f3n adicional sobre la administraci\u00f3n de la postura y las detecciones de monitorizaci\u00f3n en tiempo de ejecuci\u00f3n.<\/p>\n
Una misi\u00f3n clave para los defensores de la nube es dise\u00f1ar e implementar una plataforma de seguridad en la nube que mejore la capacidad de detecci\u00f3n. Esto permitir\u00e1 a los administradores no solo detectar errores de configuraci\u00f3n y vulnerabilidades, sino tambi\u00e9n recopilar y analizar los eventos en tiempo de ejecuci\u00f3n dentro de los entornos de nube. Una plataforma de este tipo proporciona a los defensores una mejor visibilidad y permite un tiempo de respuesta m\u00e1s r\u00e1pido a la hora de gestionar las alertas.<\/p>\n
Si bien la capacidad para identificar y detectar eventos maliciosos o sospechosos en la nube ha aumentado en todo el sector, tambi\u00e9n lo ha hecho la complejidad de las operaciones ofensivas en la nube de los actores de amenazas. Por ejemplo, en enero de 2024, el entorno de nube medio solo recibi\u00f3 dos alertas por el uso de la l\u00ednea de comandos remota de un token de IAM de una funci\u00f3n sin servidor. Esto se mantuvo constante durante todo el a\u00f1o. Sin embargo, en diciembre de 2024, el entorno de nube medio registr\u00f3 m\u00e1s de 200 de esas mismas alertas, una preocupante se\u00f1al de aumento de la actividad. Como se comparti\u00f3 en el art\u00edculo Variables de entorno filtradas<\/a> , esta operaci\u00f3n en tiempo de ejecuci\u00f3n es exactamente lo que ocurri\u00f3 durante ese evento de extorsi\u00f3n maliciosa.<\/p>\n
Otras pruebas que respaldan esta tendencia son las siguientes:<\/p>\n
- \n
- Un aumento del 116% en las alertas de viajes imposibles relacionadas con las identidades en la nube<\/li>\n
- Un aumento del 60% en el n\u00famero de carga de trabajo inform\u00e1tica<\/a> llamadas a la API que se producen desde fuera de la regi\u00f3n de la nube de esa instancia<\/li>\n
- Un aumento del 45% en el n\u00famero de exportaciones de instant\u00e1neas en la nube<\/li>\n
- Un aumento del 305% en el n\u00famero de descargas sospechosas de m\u00faltiples objetos de almacenamiento en la nube<\/li>\n<\/ul>\n
Ambos hallazgos de alerta indican claramente que el objetivo principal de los CTAG es enfocarse, recopilar y utilizar un token o credencial de IAM en la nube. Esto tambi\u00e9n indica que los atacantes utilizar\u00e1n estos tokens o credenciales para operaciones potencialmente maliciosas.<\/p>\n
<\/a>Antecedentes<\/h2>\n
Las herramientas de gesti\u00f3n de la postura de seguridad en la nube (CSPM<\/a>) constituyen la base de la seguridad en la nube. Sus operaciones se centran en la supervisi\u00f3n del control de las protecciones para garantizar que los entornos de nube mantienen configuraciones seguras y est\u00e1n libres de vulnerabilidades y errores de configuraci\u00f3n.<\/p>\n
La supervisi\u00f3n de la gesti\u00f3n de la postura se basa tradicionalmente en el escaneo de la seguridad de los recursos y las configuraciones de un entorno de nube en funci\u00f3n del tiempo. Las alertas se activan cuando un recurso de la nube nuevo o modificado parece plantear riesgos potenciales para la seguridad.<\/p>\n
Por ejemplo, se activar\u00e1 una alerta si una pol\u00edtica de IAM es demasiado permisiva y permite el acceso a otros recursos de la nube. Tambi\u00e9n se activar\u00e1 si una instancia de computaci\u00f3n en la nube o una funci\u00f3n sin servidor contiene vulnerabilidades o errores de configuraci\u00f3n.<\/p>\n
Las operaciones de escaneo de gesti\u00f3n de la postura se realizan de forma rutinaria, a menudo cada hora o cada d\u00eda. Algunas herramientas de seguridad de CSPM permiten tambi\u00e9n supervisar los registros de auditor\u00eda de la plataforma en nube, lo que puede ayudar a detectar actividades sospechosas a medida que se producen dentro de una plataforma de servicios en la nube (CSP). Es fundamental que las organizaciones configuren su plataforma CSPM para recopilar los registros de auditor\u00eda de sus aplicaciones de software como servicio (SaaS) de terceros basadas en la nube para garantizar la visibilidad.<\/p>\n
Las herramientas de CDR proporcionan detecciones de supervisi\u00f3n en tiempo de ejecuci\u00f3n mediante la recopilaci\u00f3n, identificaci\u00f3n e incluso prevenci\u00f3n de las operaciones que se producen durante un evento concreto. Al recopilar los registros de las instancias de computaci\u00f3n en la nube, los recursos de registro de los CSP y las aplicaciones SaaS en la nube de terceros, las herramientas de seguridad de CDR pueden identificar, alertar y prevenir eventos maliciosos en la nube.<\/p>\n
Un ejemplo de estas operaciones puede ser la ejecuci\u00f3n de una solicitud API contra una plataforma o aplicaci\u00f3n en la nube como:<\/p>\n
- \n
- Crear nuevos usuarios de la nube o cuentas de servicio<\/li>\n
- Adjuntar pol\u00edticas de IAM a usuarios o roles de IAM nuevos o establecidos<\/li>\n
- Establecer conexiones de red desde un nodo de salida Tor o un host VPN<\/li>\n<\/ul>\n
A diferencia de las herramientas de gesti\u00f3n de posturas, las herramientas de supervisi\u00f3n en tiempo de ejecuci\u00f3n supervisan continuamente el entorno de nube y a menudo requieren un agente dedicado para mantener la visibilidad de los recursos de la nube. Cuando se instala un agente, las herramientas de seguridad de supervisi\u00f3n en tiempo de ejecuci\u00f3n de la nube permiten detectar e incluso prevenir las operaciones maliciosas en la nube a medida que se producen.<\/p>\n
<\/a>Tendencias de las Alertas de Alta Gravedad<\/h2>\n
Hemos observado un claro aumento del n\u00famero de alertas en 2024, en relaci\u00f3n con el aumento de los ataques a entornos de nube.<\/p>\n
Las alertas por nubes de alta gravedad aumentaron un 235% a lo largo de 2024. El mayor pico en un solo mes (281%) se produjo en mayo, y observamos el aumento m\u00e1s sustancial de estas alertas (204%, 247% y 122%) en agosto, octubre y diciembre, como se muestra en la Figura 1.<\/p>\n
![\"Line]()
Figura 1. Tendencias de las alertas de alta gravedad para 2024.<\/figcaption><\/figure>\n <\/a>Las 10 Principales Alertas<\/h3>\n
Un examen m\u00e1s detallado de las 10 alertas diarias de alta gravedad m\u00e1s frecuentes revela un elevado n\u00famero de alertas que pertenecen \u00fanicamente a eventos centrados en el tiempo de ejecuci\u00f3n. Estas alertas se activan por un acontecimiento singular o por una secuencia de acontecimientos conectados. Esto hizo necesario un an\u00e1lisis en tiempo casi real o, en algunos casos, en tiempo real para su detecci\u00f3n.<\/p>\n
En la Tabla 2 se muestra que el uso remoto de la l\u00ednea de comandos de los tokens de IAM sin servidor es un evento que requiere un an\u00e1lisis de registros en tiempo real para detectarlo y, potencialmente, prevenirlo. Por el contrario, la alerta de alta gravedad m\u00e1s frecuente, \"protecci\u00f3n contra borrado de almacenamiento en la nube desactivada,\" puede detectarse y mitigarse con una herramienta CSPM.<\/p>\n
![\"Line](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart.png\")
![\"Line](\"https:\/\/unit42.paloaltonetworks.com\/wp-content\/uploads\/2025\/04\/chart-1.png\")