McAfee: La colaboración en la nube aumenta y también los ataques

0
16

La pandemia de COVID-19 ha empujado a las empresas a adaptarse a las nuevas restricciones impuestas por el gobierno sobre el movimiento de la fuerza de trabajo en todo el mundo. La respuesta inmediata ha sido la rápida adopción e integración de los servicios en la nube, en particular las herramientas de colaboración basadas en la nube, como Microsoft Office 365, Slack y las plataformas de videoconferencia. Un nuevo informe de la empresa de seguridad McAfee muestra que los piratas informáticos están respondiendo a esto con un mayor enfoque en el abuso de las credenciales de las cuentas en la nube.

Tras analizar los datos de uso de la nube que se recogieron entre enero y abril de más de 30 millones de empresas usuarias de su plataforma de monitoreo de seguridad MVISION Cloud, la empresa estima un crecimiento del 50% en la adopción de servicios de nube en todos los sectores. Algunas industrias, sin embargo, vieron un pico mucho mayor, por ejemplo, la fabricación con un 144% y la educación con un 114%.

El índice de uso de ciertas herramientas de colaboración y videoconferencia ha sido particularmente alto. El uso de Cisco Webex ha aumentado en un 600%, Zoom en un 350%, Microsoft Teams en un 300% y Slack en un 200%. Una vez más, la manufactura y la educación se ubicaron en los primeros lugares.

Si bien este aumento en la adopción de los servicios en la nube es comprensible y, según algunos, algo bueno para la productividad a la luz de la situación de trabajo forzado desde el hogar, también ha introducido riesgos de seguridad. Los datos de McAfee muestran que el tráfico de los dispositivos no gestionados a las cuentas empresariales en la nube se duplicó.

«No hay forma de recuperar datos sensibles de un dispositivo no gestionado, por lo que este aumento del acceso podría dar lugar a eventos de pérdida de datos, si los equipos de seguridad no controlan el acceso a la nube por tipo de dispositivo».

Las amenazas de la nube aumentaron
Los atacantes se han dado cuenta de esta rápida adopción de los servicios de la nube y están tratando de explotar la situación. Según McAfee, el número de amenazas externas dirigidas a los servicios en la nube aumentó en un 630% durante el mismo período, con la mayor concentración en las plataformas de colaboración.

Para su informe, la empresa dividió los intentos de inicio de sesión y acceso sospechosos en dos categorías: uso excesivo desde una ubicación anómala y superhombre sospechoso. Ambas han visto un patrón similar de aumento y crecimiento durante el período de tiempo analizado.

Uso excesivo desde una ubicación anómala. Esta categoría se refiere a los inicios de sesión exitosos desde ubicaciones que son inusuales dado el perfil de la organización, seguidos por el usuario que accede a grandes cantidades de datos o que realiza un gran número de tareas privilegiadas.

Sospechoso superhombre. Esta categoría es para los inicios de sesión del mismo usuario desde dos lugares geográficamente distantes durante un corto período de tiempo, por ejemplo, si el mismo usuario inicia la sesión en un servicio de un país y luego minutos más tarde accede a un servicio mientras utiliza una dirección IP de un país diferente.

Las instituciones de transporte y logística, educación y gobierno han visto los mayores incrementos de eventos de amenaza detectados en sus cuentas en la nube. En el caso del transporte y la logística, el aumento de las amenazas fue de hasta 1.350%, seguido de la educación con 1.114%, el gobierno con 773%, la industria manufacturera con 679%, los servicios financieros con 571% y la energía con 472%.

Las diez principales fuentes de ataques externos contra las cuentas de nubes de las empresas por la ubicación de las direcciones IP han sido Tailandia, EE.UU., China, India, Brasil, Rusia, Laos, México, Nueva Caledonia y Vietnam.

«Muchos de estos ataques son probablemente oportunistas, esencialmente ‘rociando’ las cuentas en nube con intentos de acceso utilizando credenciales robadas», dijeron los investigadores de McAfee. «Sin embargo, varias industrias prominentes son a menudo el objetivo de actores de amenazas externas, en particular, los servicios financieros. Estos ataques dirigidos suelen tener su origen en China, Irán o Rusia».

Aumentan los ataques de relleno de credenciales
La frecuencia de los ataques de relleno de credenciales, en los que los delincuentes utilizan listas de combinaciones de nombres de usuario y contraseñas filtradas o robadas para acceder a las cuentas, ha aumentado considerablemente en los últimos años. A menudo las credenciales utilizadas provienen de violaciones de datos de terceros y los atacantes intentan explotar la mala, pero aún común, práctica de reutilización de contraseñas.

En un informe publicado este año, la empresa de seguridad y entrega de contenido Akamai reveló que observó 85,4 mil millones de ataques de abuso de credenciales contra organizaciones de todo el mundo entre diciembre del 2017 y noviembre del 2019. De estos, 473 millones de ataques se dirigieron al sector financiero.

Para proteger mejor las cuentas en la nube de sus empleados y evitar el acceso no autorizado, McAfee recomienda que las empresas implementen un gateway seguro basado en la nube para que los empleados no tengan que enrutar su tráfico a través de una VPN, o utilizar una plataforma de agente de seguridad de acceso a la nube con políticas estrictas de verificación de dispositivos y control de datos. Si los empleados necesitan utilizar sus dispositivos personales para acceder a las aplicaciones SaaS de la empresa, se debe colocar un acceso condicional a los datos confidenciales.

Lucian Constantin, CSOonline.com