El año 2025 no ha tardado mucho en servirnos de recordatorio de la importancia de la seguridad de la identidad, con el Departamento del Tesoro de EE.UU. notificando al Congreso que un agente de amenazas "patrocinado por China" había accedido a sus sistemas aprovechando vulnerabilidades (CVE-2024-12356 y CVE-2024-12686) en los sistemas de BeyondTrust.
Y mientras CISA informa de que el Departamento del Tesoro fue la única agencia federal afectada por esta brecha, la historia sigue desarrollándose. Más de 13.000 instancias de los servicios afectados siguen conectadas a Internet y pueden ser vulnerables, informa Censys. Desde la revelación inicial del Departamento del Tesoro, CISA ha añadido CVE-2024-12686 a su base de datos. Catálogo de vulnerabilidades explotadas conocidas, que exige a las agencias federales "asegurar sus redes contra los ataques en curso dirigidos al fallo".
Nunca es útil jugar a ser el mariscal de campo del lunes por la mañana, sobre todo en situaciones como ésta, en la que todavía se están conociendo los detalles de la filtración. En su lugar, creemos que es valioso examinar los hechos sobre la violación del Departamento del Tesoro y explicar lo que creemos que esos hechos significan para los programas de ciberseguridad de las organizaciones en el futuro.
En su informe sobre la brecha, BeyondTrust señala que "un análisis de causa raíz en un problema de Remote Support SaaS identificó que una clave API para Remote Support SaaS había sido comprometida". El informe señala que la clave API de Remote Support SaaS comprometida "permitía restablecer la contraseña de las cuentas de aplicaciones locales."
BeyondTrust tomó las medidas adecuadas para revocar inmediatamente la clave API, probablemente para iniciar el restablecimiento de las contraseñas. Pero proteger las API debe formar parte de un enfoque mucho más amplio: las organizaciones deben proteger todo el ciclo de vida de las credenciales. Se trata de un problema mayor que el de la autenticación. Las organizaciones deben tener en cuenta el aprovisionamiento, la inscripción y el restablecimiento de las cuentas humanas y automáticas.
También deben garantizar que qué los usuarios se autentiquen sigue siendo relevante. Sólo debería poder acceder a los recursos que necesito para un fin determinado. Cualquier acceso adicional -cualquier acceso que tenga pero que no necesite- sólo perpetúa el riesgo.
Las organizaciones deben extenderlo también a las API. Los usuarios humanos y los dispositivos han tendido a centrar toda la atención en la seguridad, pasando por alto las cuentas de servicio y las API. Las organizaciones deben saber a qué pueden acceder esos servicios y qué pueden hacer con ese acceso. También deben generar y gestionar las API de forma independiente para cada inquilino: tener claves de API duplicadas es tan arriesgado y tan malo como compartir contraseñas.
En su carta al Congreso, el Departamento del Tesoro señaló que el "actor de la amenaza había obtenido acceso a una clave utilizada por el proveedor para asegurar un servicio basado en la nube utilizado para proporcionar de forma remota soporte técnico a los usuarios finales de las Oficinas Departamentales del Tesoro (DO)."
Es difícil analizar con precisión lo que eso significa en este caso, pero hay elementos que me recuerdan a los atentados de 2023 que costaron a MGM Resorts y Grupo Caesars Entertainment cientos de millones de dólares.
Tanto en los ataques del ransomware de Las Vegas como en la más reciente brecha del Departamento del Tesoro, los atacantes utilizaron alguna combinación de los servicios de asistencia de las organizaciones y las API. La principal diferencia es que en el caso de los ataques de Las Vegas, los atacantes utilizaron ingeniería social para engañar al servicio de asistencia de TI para que restableciera una contraseña.
Las organizaciones deben comprender los riesgos que pueden plantear sus propios servicios de asistencia. Históricamente, los actores de amenazas se han hecho pasar por servicios de asistencia de TI para aplicar ingeniería social a sus objetivos, y esa táctica parece estar en juego en el ataque al Departamento del Tesoro.
Estas oficinas están sometidas a una gran presión, tienen un amplio margen de maniobra y es posible que sus procesos o acciones no estén totalmente documentados.
El personal del servicio de asistencia puede restablecer contraseñas, eliminar la AMF o crear cuentas nuevas. Además, se puede presionar a los Help Desk para que actúen antes de considerar debidamente un caso o documentar sus acciones.
Para combatir esto, el liderazgo tiene que expresar que la seguridad es primordial, las organizaciones tienen que documentar y utilizar procesos de gestión de cambios, y los casos de alto riesgo deberían requerir comunicaciones fuera de banda para verificar que alguien que solicita ayuda es quien dice ser. Vea nuestro seminario web a la carta para ver cómo las organizaciones pueden ayudar a proteger sus servicios de asistencia contra los ataques de phishing.
Aún es demasiado pronto para conocer todos los factores implicados en la filtración de datos de BeyondTrust. Todo lo que los investigadores saben hasta ahora son las dos vulnerabilidades que la empresa ha revelado. Todo lo demás -incluido si las vulnerabilidades se aprovecharon "como días cero para obtener acceso a los sistemas de BeyondTrust o como parte de la cadena de ataque para llegar a los clientes", según el informe de los investigadores- no se sabe aún. Bleeping Computer, Si su servicio de atención al cliente fue suplantado y cómo protege sus API, todo sigue siendo especulación. Podría haber otros factores que los investigadores revelarán con el tiempo.
Y esa es la cuestión. Hay tantas etapas y componentes en la pila tecnológica de cualquier organización que pueden romperse, pasarse por alto, ser inseguros o utilizarse indebidamente. Aunque las organizaciones deberían esforzarse por protegerlos todos individualmente, también deberían implantar un marco más amplio de Confianza Cero.
No sobreproteja el acceso, dé prioridad a la seguridad por defecto y a la seguridad por diseño, forme a sus usuarios y elimine cualquier confianza implícita en usuarios, sistemas y datos. Examine sus procesos empresariales generales y sus pilas tecnológicas en busca de puntos débiles y no permita que lo perfecto sea enemigo de lo bueno: cualquier mejora que pueda introducir en su postura de seguridad -o cualquier confianza implícita que pueda eliminar de su entorno- contribuirá en gran medida a prevenir o minimizar una brecha.
