Los ataques a aplicaciones en la nube de empresas globales han aumentado un 65% entre septiembre de 2018 y febrero de 2019, según el estudio “Cloud Application Attack Snapshot: Q1 2019”, publicado por Proofpoint, Inc.
En cuanto al país de procedencia de estos ataques, Nigeria ocupa la primera posición con un 40% de las amenazas, seguido de China, que acumula un 26%, de acuerdo a las direcciones IP utilizadas.
Para ello, los ciberdelincuentes emplean técnicas de fuerza bruta junto a inteligencia para descifrar contraseñas, además de sofisticados métodos de phishing con los que atraer a las víctimas para que hagan clic y revelen sus credenciales de autenticación, permitiendo así entrar en las aplicaciones en la Nube, como Microsoft Office 365 y Google G Suite.
Una vez que consiguen acceder, los atacantes suelen avanzar posiciones dentro de la organización, desplazándose de forma lateral a través de mensajes internos de phishing para infectar a otros usuarios, obtener información confidencial y desviar fondos de forma fraudulenta.
El ámbito educativo es uno de los sectores más atacados, con el empleo de técnicas de fuerza bruta e intentos de phishing más sofisticados. Este área, y muy especialmente los estudiantes, resultan muy vulnerables debido a su naturaleza de usuario remoto.
«A medida que las organizaciones van migrando a la Nube sus funciones críticas de negocio, los ciberdelincuentes se aprovechan de aquellos protocolos heredados que dejan a los usuarios vulnerables a la hora de utilizar las aplicaciones Cloud», explica Ryan Kalember, vicepresidente ejecutivo de Estrategia de Ciberseguridad para Proofpoint.
«Estos ataques se centran en individuos muy específicos de la organización y no en la infraestructura, siendo su sofisticación y alcance cada vez mayor. Al respecto, recomendamos a las empresas establecer una estrategia de seguridad enfocada primero en la Nube, que priorice la protección de los empleados y eduque a estos usuarios para que sepan identificar y reportar estas amenazas avanzadas».
Éstos son algunos datos relevantes del estudio, en función del método empleado por el ciberdelicuente:
Ataques de fuerza bruta
- Los ataques de tipo spray a contraseñas IMAP figuran como la técnica más popular y extendida a la hora de comprometer cuentas de Microsoft Office 365. Se producen cuando los atacantes intentan detectar contraseñas comunes o recientemente filtradas entre muchas cuentas diferentes al mismo tiempo.
- La mayoría de estos ataques de fuerza bruta proceden de China (53%), Brasil (39%) y Estados Unidos (31%).
- Más del 25% de los usuarios de Office 365 examinados han experimentado inicios de sesión no autorizados y un 60% ha sido objetivo de los ciberdelincuentes de forma activa. La tasa de éxito de estos ataques ha sido del 44% durante el primer trimestre de 2019.
Mediante phising
- Los casos de phishing en aplicaciones de cloud tienen su origen principalmente en Nigeria (63%), Sudáfrica (21%) y Estados Unidos a través de VPNs (11%).
- Los atacantes suelen modificar las reglas de reenvío de emails o configuran las delegaciones del correo electrónico para mantener el acceso. Asimismo, utilizan servicios de VPN llamativos para eludir el acceso condicional y la autenticación basada en la geolocalización.