COMENTARIO
Una mirada retrospectiva a los principales ataques de identidad no humana (NHI) de 2024 y su explosión de fin de año envía una señal preocupante: 2025 será un año difícil para el robo de identidad de máquina a máquina.
Hace un año, NHI irrumpió en escena con una gran señal de advertencia, cuando Cloudflare reveló que la mala gestión del NHI provocó una infracción masivacomo resultado de no rotar un token de acceso y las credenciales de la cuenta expuestas en el compromiso de Okta 2023.
Aunque el ataque fue contenido, el impacto en Cloudflare fue significativo. La compañía reveló que tuvo que rotar cada ID de producción (más de 5000 ID individuales), segmentar físicamente los sistemas de prueba y preparación, realizar evaluaciones forenses en 4893 sistemas y luego volver a crear imágenes y reiniciar cada máquina de producción.
A medida que avanzaba el año, las violaciones del NHI se intensificaron.
En junio, The New York Times fue noticia cuando 270 GB de sus datos internos y aplicaciones en 5.000 repositorios fueron robados de GitHub y publicados en la web.
¿Cómo? La infracción se ejecutó utilizando NHI cuando un token de acceso personal de GitHub expuesto, un secreto de máquina a máquina, permitió el acceso no autorizado a los repositorios de códigos de la empresa. El medio de comunicación “Todas las noticias que vale la pena imprimir” restó importancia a la historia. Sin embargo, los expertos en ciberseguridad no están de acuerdo y argumentan que las filtraciones del código fuente pueden tener amplias implicaciones.
Divulgaciones de violaciones de alto perfil
El año terminó con una serie de revelaciones de violaciones de alto perfil atribuidas a NHI durante el cuarto trimestre.
Miles de tiendas en línea que ejecutan el software Adobe Commerce (anteriormente Magento) fueron pirateados e infectados por skimmers de pagos digitales. El ataque a NHI utilizó claves criptográficas robadas para generar un token de autorización de interfaz de programación de aplicaciones (API), lo que permitió al atacante acceder a datos privados del cliente e insertar skimmers de pago en el proceso de pago.
Las claves de autenticación de máquina a máquina de AWS y Microsoft Azure que se encuentran en aplicaciones de Android e iOS utilizadas por millones de personas se han visto comprometidas, exponiendo los datos del usuario y el código fuente a vulnerabilidades de seguridad. La exposición de este tipo de credenciales puede conducir fácilmente a un acceso no autorizado a depósitos de almacenamiento y bases de datos que contienen datos confidenciales del usuario. Aparte de eso, los atacantes podrían utilizarlos para manipular o robar datos.
Schneider Electric confirmó que su plataforma de desarrollo había sido hackeada después de que un hacker utilizó credenciales expuestas de Jira para robar datos. El hacker se jactaba de que la infracción había comprometido datos críticos, incluidos proyectos, problemas y complementos, así como más de 400.000 filas de datos de usuario, con un total de más de 40 GB de datos comprimidos.
La Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) advirtió que los atacantes explotaron una vulnerabilidad crítica de autenticación faltante en Palo Alto Networks Expedition, una herramienta de migración que puede ayudar a convertir la configuración del firewall de Checkpoint, Cisco y otros proveedores a PAN-OS. Esta falla de seguridad permitió a actores malintencionados explotarla de forma remota para restablecer las credenciales de administrador de aplicaciones en servidores Expedition expuestos a Internet.
Una nueva y sofisticada herramienta de phishing dirigida a usuarios de GitHub También se reveló en el último trimestre. Esto representó una amenaza significativa para los desarrolladores y organizaciones de todo el mundo. Así es como se relaciona con NHI: los bots utilizaron un secreto comprometido y un conjunto de permisos asociados con esas credenciales como ingredientes para realizar llamadas API y crear comentarios usando un script.
Los propios comentarios convencieron a los desarrolladores de utilizar scripts inseguros como soluciones validadas.
Estos scripts, a su vez, podrían llevar a las víctimas a páginas de phishing diseñadas para robar credenciales de inicio de sesión, descargas de malware o solicitudes de autorización de aplicaciones OAuth maliciosas que permitan a los atacantes acceder a repositorios y datos privados.
Finalmente, y para cerrar el año de forma espectacular, NHI fue el responsable de Hackeo del Tesoro de Estados Unidos por parte de actores de amenazas chinosquien obtuvo acceso a “documentos no clasificados” después de comprometer las redes de la agencia. Los atacantes pudieron explotar las vulnerabilidades en el software de asistencia técnica remota mediante el uso indebido de una clave API filtrada para obtener acceso no autorizado.
La ola de ataques contra el NHI a finales de año demuestra una dinámica extremadamente fuerte a medida que nos acercamos a 2025. Esto no augura nada bueno.
Los directores de seguridad de la información (CISO) y los equipos de seguridad deben priorizar las amenazas emergentes del NHI a medida que se acerca el nuevo año.