AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

Los ataques “Living Off Trusted Sites” desafían la seguridad empresarial desde plataformas legítimas

admin

Introducción

La ciberseguridad empresarial enfrenta una amenaza cada vez más sofisticada: los ataques basados en la técnica “Living Off Trusted Sites” (LOTS). Este enfoque, que ha ganado popularidad entre actores de amenazas avanzadas, aprovecha los servicios y plataformas de confianza ampliamente utilizados por organizaciones —como Google Workspace, Microsoft 365, Dropbox o Slack— para camuflar actividades maliciosas y evadir los controles de seguridad tradicionales. A diferencia de los métodos ruidosos y destructivos, LOTS se caracteriza por su sigilo y capacidad de infiltración, desdibujando la línea entre tráfico legítimo y malicioso.

Contexto del Incidente o Vulnerabilidad

A lo largo de 2023 y en lo que va de 2024, se ha observado un aumento significativo en campañas de phishing, malware y exfiltración de datos que emplean la técnica LOTS. Los atacantes no buscan vulnerar los firewalls o explotar vulnerabilidades internas directamente; en su lugar, se apoyan en la legitimidad y el acceso ubicuo de plataformas SaaS y servicios cloud. Según informes de varias firmas de ciberinteligencia, más del 60% de los ataques de spear phishing avanzados y cerca del 35% de las campañas de malware dirigidas a entornos corporativos hacen uso de links, archivos o APIs de proveedores de confianza para sortear las medidas perimetrales y de filtrado de contenido.

Detalles Técnicos

Las campañas LOTS suelen apoyarse en técnicas asociadas al framework MITRE ATT&CK, especialmente en los vectores TA0001 (Initial Access), TA0002 (Execution) y TA0011 (Command and Control). Los atacantes emplean plataformas legítimas para distribuir cargas útiles, obtener persistencia o canalizar comunicaciones C2. Por ejemplo:

– Phishing basado en Google Drive, OneDrive o Dropbox: En lugar de adjuntar archivos sospechosos, los atacantes envían enlaces a documentos alojados en estas plataformas, que contienen scripts maliciosos o macros (T1566.002).
– Uso de APIs de Slack o Microsoft Teams: Los adversarios aprovechan aplicaciones integradas o bots para transferir archivos, comandos o tokens de autenticación robados (T1105).
– Abuso de Google Forms o Microsoft Forms para recolectar credenciales o tokens MFA (T1056).

A nivel de IOCs, se han detectado enlaces ofuscados (por ejemplo, URLs acortadas que redirigen a documentos infectados), patrones de tráfico anómalo hacia dominios legítimos y uso intensivo de técnicas de evasión como User-Agent spoofing y timestamp manipulation.

Impacto y Riesgos

El principal riesgo de la técnica LOTS reside en su alta tasa de éxito en la evasión de controles de seguridad tradicionales, como proxies, firewalls y soluciones antiphishing basadas en listas negras o reputación. Esto se traduce en:

– Mayor probabilidad de compromiso inicial (Initial Access) sin alertar a los sistemas SIEM.
– Exfiltración discreta de datos confidenciales, incluyendo PII cubiertos por GDPR y secretos corporativos.
– Persistencia prolongada en la red, al camuflarse entre el flujo legítimo de SaaS.
– Dificultad para atribuir el incidente y limitar el alcance del ataque.

Según investigaciones recientes, el coste medio de un incidente LOTS supera los 400.000 euros, con tiempos de detección que duplican el de ataques tradicionales.

Medidas de Mitigación y Recomendaciones

La defensa contra LOTS requiere un enfoque holístico y adaptativo. Entre las principales medidas destacan:

– Monitorización contextual y análisis de comportamiento de usuarios y entidades (UEBA) para detectar patrones de uso anómalos en plataformas SaaS.
– Implementación de políticas de acceso granular (Zero Trust) y segmentación de permisos en aplicaciones cloud.
– Revisión periódica de integraciones de terceros y control exhaustivo de aplicaciones OAuth autorizadas.
– Inspección profunda de tráfico TLS (SSL Inspection) en servicios cloud y análisis de logs API.
– Formación continua a empleados sobre riesgos de enlaces y archivos en plataformas de confianza.
– Integración de indicadores de amenazas (IoC) específicos para LOTS en plataformas SIEM/SOAR.

Opinión de Expertos

Especialistas en ciberinteligencia como Kevin Beaumont advierten: “LOTS representa una evolución natural del ‘living off the land’, pero amplificada por la ubicuidad y confianza ciega en los servicios SaaS. Las organizaciones deben dejar de asumir que el tráfico a Google o Microsoft es siempre benigno”.

Por su parte, analistas de Mandiant y CrowdStrike subrayan la necesidad de aplicar detección basada en comportamiento y de colaborar con los proveedores SaaS para responder rápidamente ante abuso de sus infraestructuras.

Implicaciones para Empresas y Usuarios

Para las empresas, los ataques LOTS ponen en jaque los modelos de seguridad basados en perímetros y listas blancas. Además, complican el cumplimiento normativo (GDPR, NIS2), al dificultar la trazabilidad y reporte de fugas de datos. Los usuarios, por su parte, se enfrentan a un entorno donde el simple hecho de recibir un archivo por Slack o acceder a un enlace de Google Drive ya no puede considerarse seguro por defecto.

Conclusiones

El auge de la técnica “Living Off Trusted Sites” exige una revisión profunda de las estrategias de ciberdefensa. La confianza en plataformas SaaS debe estar respaldada por controles adaptativos, monitorización avanzada y una cultura de seguridad proactiva. Solo así será posible mitigar el riesgo que supone este nuevo paradigma de ataques silenciosos y altamente efectivos.

(Fuente: feeds.feedburner.com)