Home > Monitoreo de Red > Los ataques a la identidad son la principal amenaza a combatir en el contexto del SaaS

Los ataques a la identidad son la principal amenaza a combatir en el contexto del SaaS

Creating Secure Authentication Processes and Providing Digital Access to the Right People

Cristina De Luca -

septiembre 02, 2024

En los últimos meses hemos visto cómo el ecosistema de la ciberdelincuencia se inclinaba hacia el robo de credenciales y los ataques de acolchado, con un mercado en auge de credenciales violadas que se alimenta y es alimentado por una tubería continua de violaciones de datos, dando a los atacantes un montón de víctimas primarias, secundarias y de terceros a las que extorsionar, a menudo dirigidas a una sola aplicación SaaS. La filtración de Snowflake, considerada una de las mayores de la historia, es un ejemplo elocuente de esto que sin duda se considerará un momento decisivo. Utilizando malware para robar credenciales de empleados de varias empresas, los atacantes consiguieron acceder a cuentas sin autenticación multifactor (MFA). Y la cosa no acaba ahí.

El 80% de los ataques actuales implican identidades y credenciales comprometidas (CrowdStrike).
Sólo en 2023, se multiplicaron por 10 los ataques a la identidad, con una media de 4.000 ataques por segundo (Microsoft).
El 79% de las aplicaciones Web comprometidas fueron el resultado de credenciales violadas (Verizon).
Cada mes se distribuyen un millón de nuevos registros de infosteadores, de los cuales entre el 3 y el 5% contienen credenciales corporativas (Flare).
Microsoft detectó 147.000 ataques de repetición de token en 2023, lo que supone un aumento del 111% respecto al año anterior (Microsoft).

Hoy en día, la gran mayoría de las vulnerabilidades de identidad existen en el contexto de las aplicaciones SaaS. Las razones son claras: los equipos de seguridad tienen menos supervisión y control central sobre las aplicaciones SaaS de lo que están acostumbrados, estas aplicaciones existen en grandes cantidades por empresa y las identidades utilizadas para acceder a estas aplicaciones son… complicadas, por no decir otra cosa. Así que proteger cientos de aplicaciones, con miles de identidades asociadas, no es tarea fácil.

El compromiso de un usuario estándar en una aplicación de bajo riesgo puede convertirse rápidamente en un compromiso más amplio, que permita a los atacantes pasar a aplicaciones de alto riesgo con la funcionalidad o los datos que desean. Los atacantes pueden alcanzar (y alcanzarán) sus objetivos por etapas (tomar el control de una cuenta, crear una puerta trasera en una aplicación, propagarse a otras aplicaciones, exfiltrar datos…) utilizando diversas técnicas, a menudo en tándem. El objetivo es siempre progresar hasta el final de la cadena de ataque para lograr cualesquiera que sean sus objetivos: robo de datos y extorsión, abuso de la funcionalidad de la aplicación (por ejemplo, para emitir pagos fraudulentos), etc.

Por tanto, comprender las técnicas de ataque es fundamental para evitar que se propaguen. He aquí todas las técnicas conocidas que pueden comprometer a una empresa sin tocar el endpoint, según Push Security.

Técnicas de acceso inicial

La mayoría de las técnicas que han ganado protagonismo se encuentran predominantemente en la fase de acceso inicial, incluidos los inicios de sesión fantasma, el phishing AitM, el robo de cookies de sesión, los ataques de degradación MFA y el abuso del acceso de invitados, todos ellos métodos de control de cuentas, que complementan a los clásicos como el relleno de credenciales.

El ataque inicial a la identidad, diseñado para obtener el control de la cuenta, es la parte más importante de la cadena de ataque al SaaS. El hecho de que los atacantes se centren en encontrar nuevas formas de comprometer las identidades ilustra el valor, pero también la fragilidad, de los controles de identidad en los que confían la mayoría de las organizaciones (lo que también puede ser una de las razones por las que los atacantes se centran en esto).

Tanto si hablamos de protecciones antiphishing, políticas de acceso condicional o MFA, los atacantes encuentran continuamente nuevas formas de sortearlas. No hay más que ver lo que nos muestran las recientes brechas de alto perfil sobre lo lucrativo que puede ser para los atacantes encontrar formas de hacerse con el control de las identidades de los trabajadores para acceder a las aplicaciones empresariales basadas en la web, siendo los recientes ataques Snowflake el elefante en la habitación. Si todo lo que necesita hacer un atacante para causar daños es iniciar sesión en una aplicación y abusar de sus características y funciones legítimas, realmente no hay margen de error: siempre hay que desbaratar con éxito el ataque de identidad inicial.

No puedes confiar en que tus controles de endpoints y redes los detecten más tarde, como solían hacer. Del mismo modo, es poco probable que tu solución CASB o DLP pueda impedir que una aplicación legítima, que utiliza recursos legítimos como flujos de trabajo basados en API, envíe datos a una infraestructura controlada por los atacantes. Éste es un caso clásico en el que los atacantes sólo tienen que ganar una vez. Y de momento, es un juego de números que ganan lo suficiente como para que sigan viniendo a por más.

Cadena de técnicas

Otra posibilidad es crear cadenas de ataques combinando creativamente técnicas en distintas fases del ciclo de vida del ataque, una vez obtenido un nivel inicial de acceso.

Por ejemplo, combinando dos de nuestras nuevas técnicas de ataque SaaS favoritas, los inquilinos envenenados y el SAMLjacking, es posible crear una cadena de ataque sencilla pero eficaz.

Los inquilinos envenenados implican que un adversario registra un inquilino para una aplicación SaaS que controla y engaña a los usuarios objetivo para que se unan, normalmente utilizando la funcionalidad de invitación incorporada. El objetivo final es conseguir que algunos usuarios objetivo utilicen activamente un inquilino que tú (el adversario) controlas.

El SAMLjacking, por otro lado, se produce cuando un atacante utiliza los ajustes de configuración de SAML SSO de un inquilino SaaS que controla para redirigir a los usuarios a un enlace malicioso de su elección durante el proceso de autenticación. Esto puede ser muy eficaz para ataques de phishing, ya que la URL original será una URL SaaS legítima.

Es posible combinar estas técnicas para que un inquilino envenenado no tenga que ser un objetivo grande para ser útil y un ataque de SAMLjacking no tenga que ser necesariamente phishing. El ataque puede tener éxito simplemente con que el objetivo acceda a sus propios marcadores o a las pestañas abiertas de una aplicación que ya utilice.

La mejor forma de defenderse contra este tipo de ataques es tener visibilidad de toda la superficie de ataque a la identidad y, a continuación, centrarse en reforzar la seguridad.