Listado de la etiqueta: s3

De una credencial olvidada al control total: cómo se materializan los ataques en cloud

/en , , , /por

Existe una percepción errónea en muchos entornos cloud: que las brechas graves requieren técnicas avanzadas o vulnerabilidades complejas. La realidad es mucho más incómoda.

En numerosos incidentes recientes, el punto de entrada no ha sido un exploit sofisticado, sino un fallo básico de higiene de seguridad. Un ejemplo claro: una simple credencial expuesta terminó permitiendo el control completo de una cuenta en Amazon Web Services en cuestión de minutos. Este tipo de escenarios pone de manifiesto una característica clave del cloud moderno: la velocidad a la que los errores escalan.

El problema no fue el acceso inicial, sino lo que permitió

Todo comenzó con unas claves accesibles públicamente en un recurso de almacenamiento de Amazon S3.

A primera vista, el impacto parecía limitado. Sin embargo, incluso permisos aparentemente inofensivos pueden proporcionar suficiente información para iniciar un reconocimiento efectivo del entorno.

Una vez dentro, el atacante no necesitó explotar vulnerabilidades adicionales. Simplemente aprovechó lo que ya estaba disponible:

  • Capacidades existentes en funciones de AWS Lambda
  • Configuración de identidades en AWS Identity and Access Management
  • Permisos mal ajustados entre roles

El resultado fue una escalada progresiva hasta privilegios administrativos.

El verdadero riesgo: credenciales persistentes fuera de control

El uso indebido de claves de acceso sigue siendo uno de los vectores más recurrentes en incidentes cloud.

No se trata de un problema técnico complejo, sino de procesos:

  • Credenciales que se mantienen más tiempo del necesario
  • Uso de claves en automatizaciones sin controles adecuados
  • Exposición accidental en repositorios o entornos compartidos
  • Almacenamiento temporal que nunca se limpia

En paralelo, los atacantes han automatizado completamente la detección de este tipo de errores. No buscan activamente a una organización concreta: escanean de forma continua hasta encontrar algo utilizable.

Y cuando lo encuentran, el tiempo de reacción es mínimo.

De visibilidad a explotación en minutos

Uno de los aspectos más críticos en este tipo de incidentes es la rapidez con la que se encadenan los eventos.

El acceso inicial rara vez es el objetivo final. Es solo el punto de partida.

A partir de ahí, el atacante suele:

  • Identificar relaciones entre identidades
  • Detectar permisos indirectos o heredados
  • Aprovechar servicios existentes para ampliar capacidades
  • Expandirse lateralmente dentro del entorno

En plataformas como Amazon Web Services, donde todo está diseñado para ser flexible y escalable, esta progresión puede producirse sin fricción.

Cuando los límites entre identidades no están bien definidos, la infraestructura juega a favor del atacante.

Cuando la cuenta deja de ser un objetivo y se convierte en un recurso

Una vez conseguido el control administrativo, el impacto va más allá del acceso a datos.

En muchos casos, el atacante reutiliza la propia infraestructura comprometida:

  • Despliegue de recursos de computación intensiva
  • Uso de servicios avanzados como Amazon Bedrock
  • Ejecución de cargas con fines económicos

Esto refleja un cambio importante en el panorama de amenazas: el cloud ya no es solo un repositorio de información, sino un activo explotable en sí mismo.

El valor está tanto en los datos como en la capacidad de cómputo.

Por qué los errores simples ya no pasan desapercibidos

En entornos tradicionales, muchas configuraciones inseguras permanecían ocultas durante largos periodos.

Hoy, eso prácticamente no existe.

Los atacantes operan con herramientas que analizan continuamente:

  • Recursos expuestos
  • Políticas permisivas
  • Credenciales activas
  • Configuraciones inconsistentes

Esto convierte cualquier fallo en una superficie de ataque activa desde el momento en que aparece.

El problema no es solo cometer el error, sino el tiempo que permanece sin detectarse.

La seguridad cloud necesita cambiar de enfoque

Los modelos basados en revisiones periódicas o auditorías puntuales ya no son suficientes.

La defensa efectiva en cloud requiere:

  • Evaluación continua del estado de seguridad
  • Control estricto sobre identidades y permisos
  • Monitorización en tiempo real
  • Capacidad de detectar comportamientos anómalos rápidamente

Especialmente relevante es entender qué ocurre después del acceso inicial. Muchas organizaciones siguen centradas en prevenir la entrada, pero no en detectar el abuso una vez dentro.

Recomendaciones clave para reducir el riesgo

Aunque cada entorno es distinto, hay principios que se repiten en todos los incidentes de este tipo:

  • Evitar completamente el uso de credenciales en recursos públicos
  • Sustituir claves persistentes por credenciales temporales
  • Revisar continuamente los permisos efectivos de cada identidad
  • Implementar monitorización activa del uso de credenciales
  • Detectar cambios inesperados en roles y políticas
  • Tratar las identidades como el principal perímetro de seguridad

Estas prácticas no eliminan el riesgo, pero sí dificultan enormemente la escalada.

Reflexión final

Este tipo de incidentes no destacan por su sofisticación, sino por su previsibilidad.

Un pequeño descuido (una credencial olvidada, un permiso mal configurado) puede convertirse en la puerta de entrada a un compromiso total.

La diferencia entre un incidente menor y una brecha crítica no suele estar en el acceso inicial, sino en la capacidad de detectar y frenar lo que ocurre después.

En el contexto actual, donde la automatización juega tanto a favor de los equipos de seguridad como de los atacantes, el tiempo se ha convertido en el factor decisivo.

Y en cloud, ese tiempo se mide en minutos.

SecurityInside Live: AWS Summit 2019

/en , , , , , , , , , , , , /por

Tanto si eres nuevo en la nube o un usuario experimentado, no pierdas la ocasión de descubrir las últimas novedades Cloud en el Summit AWS de Madrid. Este evento gratuito está diseñado para presentar a nuevos clientes todas las funcionalidades sobre la plataforma AWS, y ofrecer a los clientes existentes información sobre las mejores prácticas de arquitectura y nuevos servicios.

Viene a ser algo así como la versión para mayores del taller que tuve el placer de presentar en el evento CyberCamp relativo a las mejores prácticas de seguridad en entornos AWS.

El Keynote del AWS Summit de Madrid lo presentará Mai-Lan Tomsen Bukovec, Vice President and General Manager de AWS. Durante su discurso de apertura, presentará las últimas novedades sobre las soluciones de AWS y podrás escuchar grandes historias de éxito de clientes AWS. Después del Keynote, podrás escoger entre diferentes sesiones dependiendo de tus intereses.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

Mi experiencia como ponente en CyberCamp18

/en , , , , , /por

Aunque el año 2.007 fue un «no parar» en cuanto a esto de dar charlas y talleres tras ganar la Imagine Cup de Microsoft, desde entonces no había tenido la oportunidad de volver a subirme en un escenario para contar cosas.

En estos últimos años, entre formación, autoempleo, autoría de libros, desarrollo de ideas, docencia, consultoría, … y ser padre, se me complicó un poco sacar tiempo.

Sin embargo, tras cumplir el sueño de ser profesor, me apetecía mucho volver a tener los nervios de dar una charla, de dedicar tiempo a montar un taller en el que contar cosas que hago y he ido aprendiendo con la experiencia.

Sin embargo, meter la cabeza en un congreso no es nada sencillo. Hay que apuntarse al CFP (Call For Papers) y enviar lo que tienes en mente. Detallar en qué va a consistir, de qué vas a hablar y tratar de convencer a la organización del evento de que tu propuesta puede aportar valor a la audiencia.

Para que te hagas una idea, me he presentado a 8 congresos antes de conseguir que me aceptaran la primera ponencia. Mi «rebautismo» dando charlas ha sido el evento CyberCamp18.

En esta ocasión lancé un órdago al CFP y me presenté a las tres categorías posibles:

  • Ponencia tecnológica: propuse hablar de mi proyecto personal DefenderEye. Quería contar los motivos que me hicieron desarrollar la herramienta, para qué sirve y mostrar desde dentro cómo funciona (detallando código, infra, …).
  • Charla motivacional: propuse una charla en la que contar cómo iniciarse en el mundo de la seguridad, la formación disponible, certificaciones, tipos de perfiles laborales y, sobre todo, consejos basados en mi experiencia como gestor de equipos de seguridad y mi relación con RRHH en cuanto a búsqueda de perfiles. Todo, desde un punto de vista de mucho humor.
  • Taller técnico: propuse un taller en el que describir los principales servicios de AWS junto con las «best practices»a tener en cuenta para tener lo más seguro posible nuestro entorno.

Tras semanas de espera, me llegaron tres correos a la vez en la que se me comunicaba que no había sido elegido para las dos primeras opciones. Cuando abrí el tercero ya estaba resignado a que, un año más, no había conseguido el objetivo.

Sin embargo, en esta ocasión, el texto era diferente:

Una vez superada la emoción inicial, vienen los nervios… ¿soy capaz de estar dos horas hablando? ¿Me quedaré corto? ¿Me pasaré de tiempo?

Inicialmente hice una lista de todo lo que consideraba que debía contar, el cálculo de tiempo me daba… casi cinco horas. Mal empezamos…

Tras refinar, quitar y pulir temario, lo dejé en tres horas. Seguía sin valer.

Finalmente, tras muchas revisiones y el doloroso proceso de quitar cosas que sientes que tendrían que estar, conseguí clavar las 2 horas oficiales.

El resultado lo tenéis aquí, espero que os guste!

¿Y la experiencia, qué tal? Pues la verdad es que estupenda. La sensación de volver a subirme a un escenario y de tener de nuevo a un grupo de personas con ganas de escuchar lo que vienes a contar es realmente maravillosa.

No puedo más que dar las gracias al público que asistió al taller, todos mostraron interés en lo que le estaba contando y me lanzaron preguntas que denotaban que les estaba aportando valor, así que considero el objetivo cumplido.

Por otra parte, la organización de Incibe se portaron de 10. Trato amable, preocupación en todo momento por lo que pudiera necesitar y siempre con una gran sonrisa. Se nota que hablamos de un evento organizado desde la ilusión y las ganas de hacer algo interesante.

Sin mucho más que contar, me despido. Por mi parte, trataré de estar en CyberCamp19 y volver a formar parte de un evento tan importante como este.

Saludos!

aws-summit-madrid-16

SecurityInside Live: AWS Summit 2017

/en , , , , , , /por

Tanto si eres nuevo en la nube o un usuario experimentado, no pierdas la ocasión de descubrir las últimas novedades Cloud en el Summit AWS de Madrid. Este evento gratuito está diseñado para presentar a nuevos clientes todas las funcionalidades sobre la plataforma AWS, y ofrecer a los clientes existentes información sobre las mejores prácticas de arquitectura y nuevos servicios.

El Keynote del AWS Summit de Madrid presentará Adrian Cockcroft, Vice President Cloud Architecture Strategy de Amazon Web Services. Durante su discurso de apertura, presentará las últimas novedades sobre las soluciones de AWS y podrás escuchar grandes historias de éxito de clientes AWS. Después del Keynote, podrás escoger entre diferentes sesiones dependiendo de tus intereses.

Leer más

security-monkey-netflix

Security Monkey: Controla la seguridad de AWS con Netflix (parte 1)

/en , , /por

Supongo que todos conocéis Netflix a estas alturas, el servicio VOD con suscripción mensual que aterrizó en España hace unos meses y ya es todo un éxito.

Pero, además de ser una forma estupenda de ver películas y series, puede ofrecernos mucho que aprender gracias a lo que algunos (yo no :D) llaman pornografía tecnológica.

Netflix es una de esas empresas que se rodea de los mejores ingenieros para poder ofrecer un servicio con calidad por encima de lo normal. En ese sentido, leer de forma regular «The Netflix Tech Blog» es altamente recomendable.

 

Aprendiendo de los mejores

Que profesionales tan altamente cualificados como los que trabajan en Neflix dediquen una parte de su tiempo a contarnos cómo hacen las cosas, es algo de agradecer. Vivimos en un mundo en el que estamos obligados a aprender de forma contínua y este tipo de lecturas nos abren la mente a nuevas formas de hacer las cosas.

Puedes encontrar temas tan interesantes como:

Y sobre todo, en general de elementos de Amazon WS (unos servicios con los que suelo trabajar tal y como os conté en Controla lo que hacen tus usuarios con Amazon WS IAM (parte 1) y Controla lo que hacen tus usuarios con Amazon WS IAM (parte 2)).

aws-summit-1

 

Security Monkey

Revisando esto, me he encontrado con una solución desarrollada por el equipo Netflix que tiene por objetivo monitorizar y analizar la seguridad de los servicios de AWS.

Se trata de un desarrollo propio que ofrecen como open source y que nos permite monitorizar la configuración de los servicios EC2, RDS, S3 e IAM. Cualquier cambio que se realice sobre ellos quedará registrado para que tengamos el control de todo lo que sucede.

Está pensada para correr sobre una máquina Linux y almacenar la información en una PostgreSQL. A nivel tecnológico está escrita en Python utilizando el framework Flask, utilizando datos JSON servidos mediante una API REST.

Casos de uso típicos serían:

  • Visualización de cambios históricos de un elemento (como los cambios en grupos de seguridad).
  • Auditorías de configuraciones incorrectas (como permisos en buckets S3).

Para conseguir esto, Security Monkey cuenta con tres componentes principales:

  • Watcher, es el encargado de observar nuestra cuenta para detectar cambios. Cuando eso ocurre, se almacena esa información en la base de datos interna.
  • Notifier, es el encargado de avisarnos cuando se produce un evento que podemos personalizar.
  • Auditor, es el encargado de realizar pruebas y revisiones sobre los elementos, reglas y políticas. Podemos definir aquello que no queremos que ocurra para que salte una alarma si se encuentra (como grupos de seguridad con puertos abiertos al mundo).

Una vez lo tengamos funcionando podremos acceder mediante su interfaz web, configurar los elementos que queremos monitorizar y ver todo en detalle.

Pantalla de login

 

¿Te ha gustado tanto como a mi? Entonces descarga el proyecto desde su repositorio y coméntanos qué tal tu experiencia. Yo lo haré en un post en el que os mostraré el proceso de instalación, configuración y uso. De momento, esto es todo, espero que os esté resultando interesante.

Como siempre digo, si ves algún error, no estás de acuerdo con lo que cuento o quieres hacer alguna aportación, no dudes en pasarte por los comentarios.