La reutilización de credenciales robadas mediante infostealers ha permitido que decenas de compañías de todo el mundo hayan sufrido accesos no autorizados a sus entornos cloud. Así lo pone de manifiesto una investigación publicada recientemente que pone el foco en una amenaza silenciosa pero persistente: el uso de credenciales legítimas extraídas de infecciones antiguas para acceder directamente a servicios en la nube.
Según el informe, elaborado por la firma de seguridad Hudson Rock, los atacantes —que operan bajo los alias Zestix y Sentap— han estado comercializando accesos a plataformas corporativas de almacenamiento y colaboración en la nube pertenecientes a unas 50 organizaciones de distintos países y sectores. Entre los servicios comprometidos figuran soluciones ampliamente utilizadas en entornos empresariales como ShareFile, Nextcloud u OwnCloud, lo que amplifica el impacto potencial de este tipo de campañas.
Entre las organizaciones afectadas se encuentran empresas de sectores críticos como aviación, transporte, ingeniería, robótica o servicios tecnológicos. El informe cita, entre otras, a Iberia Airlines, así como a compañías vinculadas a ingeniería, salud o logística. Los datos a los que habrían accedido los atacantes incluyen desde planos técnicos y documentación de ingeniería hasta información médica, documentos legales y configuraciones internas de red.
Ausencia de MFA
Uno de los aspectos más relevantes del caso es que los accesos no se produjeron mediante la explotación de vulnerabilidades técnicas complejas, sino a través del uso de credenciales válidas obtenidas tiempo atrás por malware infostealer como RedLine, Lumma o Vidar. En muchos casos, las contraseñas no habían sido rotadas durante años, lo que permitió a los atacantes reutilizarlas con éxito para iniciar sesión en los servicios cloud de las organizaciones afectadas.
El denominador común en los incidentes analizados es la ausencia de autenticación multifactor (MFA) en los portales comprometidos. La falta de este segundo factor de autenticación convirtió las credenciales robadas en una llave directa de acceso. Una vez dentro, los atacantes pudieron moverse con libertad por los entornos cloud y extraer información sensible sin levantar alertas inmediatas.
Desde el punto de vista defensivo, los expertos insisten en que medidas como la implantación obligatoria de MFA, la rotación periódica de credenciales, la monitorización de accesos anómalos y la detección temprana de credenciales comprometidas son ya requisitos básicos para reducir el riesgo real. Los datos del informe vuelven a poner de relieve que la higiene básica de seguridad sigue siendo un eslabón crítico en muchas organizaciones.
