AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Empresas

**Filtración de datos en Braintrust: ciberatacantes acceden a secretos de proveedores de IA alojados en AWS**

admin

### Introducción

Un reciente incidente de seguridad ha puesto en jaque a la empresa de inteligencia artificial Braintrust, después de que actores maliciosos consiguieran acceder a una de sus cuentas de Amazon Web Services (AWS) y comprometer secretos críticos de proveedores de IA. El suceso ha obligado a la compañía a realizar una rotación urgente de claves API y a revisar sus protocolos de protección de credenciales, generando preocupación en el sector sobre la seguridad de entornos cloud y la gestión segura de secretos en organizaciones tecnológicas.

### Contexto del Incidente

El incidente fue detectado tras actividades sospechosas en uno de los entornos cloud de Braintrust, una firma que ofrece soluciones avanzadas de IA a clientes internacionales. Según fuentes internas y reportes de la compañía, los atacantes accedieron a una cuenta de AWS que contenía secretos y credenciales de acceso a proveedores externos de servicios de IA. Estos secretos incluían claves API y tokens que permitían la integración con diversos servicios y plataformas asociadas a Braintrust.

La compañía ha notificado a todos sus partners y clientes afectados, instando a una rotación inmediata de las credenciales expuestas, y ha iniciado una investigación forense para delimitar el alcance real de la brecha.

### Detalles Técnicos

El vector de ataque principal fue el acceso no autorizado a una cuenta de AWS, probablemente mediante la explotación de credenciales comprometidas o una mala configuración de las políticas IAM (Identity and Access Management). Aunque la compañía no ha revelado detalles específicos sobre el CVE asociado, la situación es compatible con técnicas de initial access recogidas en MITRE ATT&CK bajo la técnica T1078 (Valid Accounts) y T1552 (Unsecured Credentials).

Entre los indicadores de compromiso (IoC) identificados destacan:

– Accesos inusuales desde IPs geolocalizadas fuera de los países habituales de operación.
– Modificaciones recientes en las políticas IAM, incluyendo la elevación de privilegios.
– Descarga y consulta de archivos que contenían credenciales de API y secretos de integración.

No se ha confirmado aún la explotación de frameworks conocidos como Metasploit o Cobalt Strike para el movimiento lateral, pero la compañía está monitorizando la infraestructura en busca de artefactos característicos.

Se estima que la filtración ha afectado a varias versiones de las API internas de Braintrust, especialmente aquellas gestionadas bajo entornos AWS Lambda y S3. No se ha precisado el número exacto de secretos comprometidos, pero fuentes cercanas apuntan a que podría superar el centenar de credenciales.

### Impacto y Riesgos

El compromiso de claves API y secretos de proveedores representa un riesgo crítico para la confidencialidad, integridad y disponibilidad de los sistemas afectados. Los atacantes podrían utilizar dichas credenciales para:

– Acceder a servicios de IA de terceros, manipulando o exfiltrando datos sensibles.
– Desplegar cargas maliciosas aprovechando funciones serverless en AWS Lambda.
– Realizar movimientos laterales hacia otras cuentas o servicios conectados.
– Escalar privilegios dentro del entorno cloud afectado.

Desde una perspectiva de cumplimiento, el incidente podría suponer incumplimiento de normativas como GDPR y NIS2, especialmente si los datos expuestos incluyen información personal o afectan a servicios esenciales. En caso de que se demuestre una gestión negligente de las credenciales, las sanciones podrían superar el 2-4% de la facturación global anual de la empresa, según establece el GDPR.

### Medidas de Mitigación y Recomendaciones

Braintrust ha iniciado una rotación masiva de todas las claves API y secretos almacenados en la cuenta comprometida, además de auditar exhaustivamente los logs de AWS CloudTrail y CloudWatch para detectar accesos anómalos.

Entre las recomendaciones para empresas que utilicen entornos similares:

– Implementar la gestión de secretos mediante AWS Secrets Manager o HashiCorp Vault, evitando el almacenamiento en texto claro.
– Forzar la autenticación multifactor (MFA) para todos los accesos privilegiados.
– Auditar y minimizar los permisos IAM bajo el principio de mínimo privilegio.
– Monitorizar continuamente logs y establecer alertas ante patrones de acceso sospechosos.
– Utilizar herramientas de escaneo de seguridad como ScoutSuite, Prowler o AWS Inspector para identificar configuraciones inseguras.

### Opinión de Expertos

Varios analistas de ciberseguridad han señalado la creciente sofisticación de los ataques dirigidos al robo de secretos en plataformas cloud. Según Enrique Martín, CISO en una multinacional tecnológica, “la gestión inadecuada de credenciales es hoy uno de los principales vectores para la exfiltración de datos y movimientos laterales, especialmente en entornos cloud donde la automatización y la integración con terceros son constantes”.

Por su parte, el investigador Carlos Valverde, especializado en seguridad cloud, destaca que “la rotación de claves tras un incidente es solo una medida paliativa; lo fundamental es prevenir con una política robusta de gestión de secretos y detección temprana”.

### Implicaciones para Empresas y Usuarios

Este incidente subraya la necesidad urgente de que las empresas revisen sus estrategias de gestión de secretos en la nube, especialmente aquellas que operan con partners y proveedores de alto valor tecnológico. Para los clientes de Braintrust, existe el riesgo de que integraciones de IA hayan quedado expuestas o manipuladas, lo que podría afectar a la calidad del servicio y a la privacidad de sus propios datos.

Las empresas deben redoblar sus esfuerzos en formación, concienciación y automatización de la seguridad, adaptándose a las nuevas amenazas que plantea la economía digital y el uso intensivo de inteligencia artificial.

### Conclusiones

La brecha sufrida por Braintrust pone de manifiesto la criticidad de la gestión segura de secretos en entornos cloud y la importancia de la monitorización continua. Ante la sofisticación de los ataques actuales, la prevención, la auditoría y la respuesta rápida son imprescindibles para limitar el impacto y evitar sanciones regulatorias. Es previsible que incidentes de este tipo se multipliquen en el sector tecnológico, impulsando una revisión profunda de las políticas de seguridad cloud y de los mecanismos de protección de secretos.

(Fuente: www.securityweek.com)