AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

### Ciberdelincuentes Aprovechan Servicios Cloud Legítimos y Herramientas Open Source para Mejorar la Eficacia del Phishing

admin

#### Introducción

En el panorama actual de la ciberseguridad, los actores maliciosos han evolucionado sus tácticas, técnicas y procedimientos (TTP) para sortear los controles tradicionales. Una reciente campaña de phishing ha puesto de manifiesto cómo los ciberdelincuentes están utilizando servicios cloud legítimos y herramientas open source para aumentar el éxito de sus ataques, evadir los sistemas de detección y reforzar la confianza de sus víctimas. Este fenómeno representa un desafío creciente para los profesionales de la seguridad, ya que incrementa la dificultad de discernir entre tráfico legítimo y malicioso.

#### Contexto del Incidente o Vulnerabilidad

La campaña, detectada a principios de junio de 2024, se ha caracterizado por la explotación de plataformas cloud ampliamente usadas en entornos empresariales, como Microsoft OneDrive, Google Drive y Dropbox. Los atacantes han empleado estos servicios para alojar y distribuir payloads maliciosos, camuflando los archivos dañinos como documentos corporativos legítimos. Paralelamente, se ha observado el uso de herramientas de código abierto —entre ellas, Evilginx2 y Gophish— para la creación y gestión de infraestructuras de phishing avanzadas, capaces de sortear autenticaciones multifactoriales (MFA) y capturar credenciales de acceso.

El uso de infraestructuras legítimas y herramientas open source supone una importante desviación respecto a técnicas más tradicionales, que dependían de dominios maliciosos fácilmente bloqueables o malware detectado por firmas convencionales. De acuerdo con los informes de varias firmas de threat intelligence, este tipo de campañas ha experimentado un crecimiento del 27% en el primer semestre de 2024, afectando principalmente a sectores como servicios financieros, administración pública y grandes corporaciones sujetas a normativas estrictas como el GDPR y NIS2.

#### Detalles Técnicos

La campaña se apoya en diferentes CVEs y vectores de ataque. Destaca el uso de técnicas de spear phishing (T1566.001 según el framework MITRE ATT&CK), donde los correos electrónicos contienen enlaces a archivos almacenados en servicios cloud legítimos. Una vez que la víctima accede al enlace, se le presenta una página de login falsificada, construida con herramientas open source como Evilginx2, capaz de realizar ataques de proxy inverso y capturar tokens de sesión, sorteando así la autenticación multifactor (T1556.004).

Los indicadores de compromiso (IoC) asociados incluyen URLs con dominios oficiales de servicios cloud, archivos .lnk y .iso, y patrones de tráfico inusual desde aplicaciones de autenticación cloud. Se han detectado scripts de PowerShell ofuscados y payloads generados mediante frameworks como Metasploit, que permiten la post-explotación y el movimiento lateral (T1071, T1021). Además, se han observado intentos de exfiltración de datos a través de canales cifrados y la integración de Cobalt Strike como herramienta de comando y control (C2).

El uso de servicios cloud legítimos no solo dificulta la detección por sistemas de filtrado web y appliances de seguridad perimetrales, sino que también dificulta la aplicación de listas negras efectivas, al tratarse de servicios imprescindibles para la operativa empresarial.

#### Impacto y Riesgos

El impacto de este tipo de campañas es significativo. Al aprovechar la confianza depositada en servicios cloud reconocidos, la tasa de éxito del phishing aumenta hasta un 35% respecto a campañas tradicionales. Las credenciales robadas pueden dar acceso a información confidencial, facilitar la escalada de privilegios y permitir ataques posteriores como ransomware o exfiltración masiva de datos.

A nivel económico, se estima que los incidentes derivados de estas campañas han causado pérdidas superiores a los 120 millones de euros en el primer semestre de 2024, solo en la Unión Europea. Además, la exposición involuntaria de datos personales puede derivar en sanciones regulatorias bajo el Reglamento General de Protección de Datos (GDPR) y la directiva NIS2, incrementando aún más el coste reputacional y financiero para las organizaciones afectadas.

#### Medidas de Mitigación y Recomendaciones

Entre las principales acciones recomendadas para mitigar este tipo de amenazas destacan:

– Implementar políticas de acceso condicional y Zero Trust, limitando el acceso a servicios cloud únicamente a dispositivos y usuarios verificados.
– Configurar autenticación robusta basada en hardware (FIDO2), menos susceptible a ataques de proxy inverso.
– Monitorizar de forma activa los logs de acceso a servicios cloud en busca de patrones anómalos o intentos de login desde ubicaciones inusuales.
– Utilizar soluciones de detección avanzada de amenazas (EDR/XDR) con capacidad para identificar patrones de comportamiento malicioso, incluso en tráfico legítimo.
– Formar continuamente a los empleados sobre los riesgos del phishing, con simulaciones periódicas diseñadas mediante frameworks como Gophish.

#### Opinión de Expertos

Analistas de ciberseguridad y responsables de SOC coinciden en que la sofisticación de estas campañas requiere una revisión constante de los procedimientos de respuesta a incidentes y de las medidas de defensa. Como apunta Elena Sánchez, CISO de una entidad bancaria española, “la confianza ciega en los servicios cloud es un error; debemos asumir que cualquier plataforma puede ser vector de ataque y aplicar el principio de mínima confianza”.

Por su parte, expertos del CERT-EU recomiendan estrechar la colaboración entre equipos de seguridad, proveedores cloud y organismos reguladores para compartir información sobre IoCs y nuevas tácticas de los atacantes en tiempo real.

#### Implicaciones para Empresas y Usuarios

El uso malicioso de servicios cloud y herramientas open source pone de manifiesto la necesidad de evolucionar hacia modelos de seguridad basados en la identidad y el comportamiento, más allá de los controles tradicionales de perímetro. Las empresas deben actualizar sus políticas de seguridad para abordar estos vectores de ataque emergentes y preparar sus sistemas para una detección y respuesta más proactiva.

Los usuarios, por su parte, deben ser conscientes de que la legitimidad aparente de una plataforma no garantiza la autenticidad del contenido recibido, y que las amenazas pueden proceder de canales aparentemente fiables.

#### Conclusiones

La instrumentalización de servicios cloud legítimos y herramientas open source por parte de los ciberdelincuentes representa un importante reto para la ciberseguridad corporativa. La adaptación de las técnicas de phishing dificulta la detección y aumenta el riesgo para empresas y usuarios. Solo a través de una combinación de tecnología avanzada, formación continua y colaboración sectorial será posible mitigar eficazmente este tipo de amenazas.

(Fuente: www.darkreading.com)