SecOps en AWS Summit: ¿es más segura la nube en 2023?
Cobertura especial de la cumbre desde Washington, filtración de datos en la UBA, phishing con las entradas de Taylor Swift y Google Chrome parchea un zero-day.
SecOps es un resumen semanal de noticias de seguridad informática. Los temas están seleccionados por Juan Brodersen según estos criterios de edición.
02>09
jun
☁ AWS Summit 2023: SecOps, en Washington
SecOps asistió esta semana a AWS Summit. Se trata de una conferencia que hace la compañía de cloud computing todos los años en Washington, donde se discuten y presentan las novedades relacionadas a la infraestructura de la nube vinculada con el sector público: gobiernos, instituciones, universidades, hospitales y centros científicos usan las distintas herramientas de una de las nubes más grandes del mundo, propiedad de Amazon.
Para darse una idea, AWS opera una enorme cantidad de servicios y datos de organismos públicos: en Argentina, el Indec desarrolló la plataforma online del Censo 2022 en servidores de Arsat, que usó AWS. La Secretaría de Comercio alojó el “data lake” del programa Precios Justos también en la nube. De hecho, las provincias de Córdoba y de Chubut también usaron sus aplicaciones. Y en todo el mundo hay más ejemplos.
Todas estas implementaciones tienen, por supuesto, el potencial riesgo de una mala higiene de seguridad informática que, por el tipo de cobertura que hacemos en esta newsletter, sabemos que no es poco frecuente que sucedan: muchas veces terminan con filtraciones de datos. Y por esto la seguridad de la nube se torna crucial en el mundo actual.
Ahora bien, para dar un poco de contexto, lo primero que hay que decir es un tipo de evento “difícil” de cubrir para medios de comunicación masivos, por el fuerte enfoque B2B que tiene (business to business, ya que AWS es muy usado por empresas y gobiernos antes que usuarios finales -consumidores, en la jerga-).
Sin embargo, AWS lleva a periodistas de todo el mundo (cubriendo todos los gastos de pasaje y viáticos) para darle difusión a este mundo que, hace unos años, despertaba más dudas que certezas. ¿Cuán eficiente es migrar toda una infraestructura a un equipo ajeno? Y, sobre todo: ¿es seguro?
Por mi cobertura de estos temas relacionados a seguridad informática en Clarín, fui uno de los invitados entre los periodistas latinoamericanos. Y junto a colegas de Brasil, México, Colombia, Chile y Perú pudimos asistir a mesas redondas, pero también armar una agenda propia según los intereses de cada uno.
Hechas estas aclaraciones, hubo muchísimo material relacionado a la seguridad informática, ciberataques y hackeos.
Por empezar, aclaro que por una cuestión de tiempos sólo pude publicar una síntesis de lo que fue la keynote (charla principal del evento), a cargo de Max Petersen, VP del sector público de la compañía. En esa conferencia apareció, entre una gran cantidad de anuncios más corporativos, el foco de la ciberseguridad.
Tanto por el anuncio de nuevos datacenters como aplicaciones de IA generativa (CodeWhisperer, el Copilot de AWS), siempre estuvo presente la idea de “escanear y prevenir vulnerabilidades”. En la conferencia, de hecho, subió al escenario el CTO de la CIA, Nand Mulchandani, quien aseguró que “el panorama global de las amenazas está cambiando”.
Más tarde, Petersen presentó AWS Snowblade, unos equipos que tienen el tamaño de un portafolio y pueden funcionar sin conectividad que usa el Departamento de Defensa de los Estados Unidos para manejar información y proveer poder de cómputo en operaciones militares. Fue lo que se usó para respaldar todos los datos de Ucrania tras la invasión rusa.
Pro sin dudas el gran ejemplo del foco de su charla fue el caso de las elecciones en Brasil: AWS hosteó el sistema de carga de datos, procesando 1.5M millones de peticiones al sistema por segundo y con “cero incidentes de seguridad registrados”.
Más allá del keynote, lo más interesante de estos congresos es poder hablar mano a mano con los que están detrás de estas implementaciones. Pude entrevistar a Liam Maxwell, encargado de backupear y migrar los datos del Estado ucraniano. Además, fue CTO del gobierno de Gran Bretaña durante la gestión de David Cameron, con lo cual venía con un CV que ya venía encajando con la pata del sector público.
Otra charla interesante fue, sin dudas, con Mark Rylan, CISO de AWS. Tiene quizás uno de los puestos más relevantes de la compañía, si se considera la enorme superficie de ataque que presenta un servicio online tan usado como la nube de amazon.
En mayo de este año, AWS publicó un “blueprint” para planear una defensa contra el ransomware. En una mesa redonda con periodistas, SecOps le preguntó por el ecosistema actual de este tipo de amenazas. Respondió:
“El ransomware aceleró las inversiones en seguridad en diferentes industrias. Una de las claves es conocer el ecosistema propio (muchos organismos no lo conocen) y hay que practicar por anticipado qué hacer en caso de recibir un ataque”
Después de la mesa redonda tuve una charla de una media hora y preguntar por aspectos más puntuales: ¿qué pasa cuando un cibercriminal usa AWS para hostear un ataque (algo que pasó y que detectó CheckPoint este año)? ¿Cuán segura es la nube hoy? ¿Qué potenciales peligros aparecen que no existen en los modelos on-prem?
Además, hubo algún que otro dato llamativo, como la firma de un memorándo de entendimiento entre el Gobierno de República Dominicana y AWS para diagramar una estrategia de ciberseguridad (algo que no parece menor si se considera la cantidad de gobiernos afectados por el ransomware estos últimos años).
Por una cuestión de tiempos, iré publicando más notas estos días, pero la sensación dentro del Summit es que cada parte está concentrada en lo suyo: AWS en vender sus servicios (y reforzar el vínculo de clientes ya cautivos), los partners en hacer trainings con las herramientas que la empresa vende y los sponsors haciendo más networking que nadie.
En el medio, los periodistas tratan de dilucidar qué contar de todo ese ecosistema que reviste más interés en el mundo corporativo que en el de los consumidores finales.
La seguridad de todo ese sistema parece ser el hilo conductor que hilvana a todos los asistentes, lo sepan o no.
🔓 Más datos publicados: la UBA y un hospital provincial
Nuevas filtraciones de datos aparecieron en un foro especializado de compra y venta de información. En el primer caso, se trata de una base de datos con 102.500 registros de pacientes del Hospital Provincial Castro Rendón, de la provincia de Neuquén.
Amplió la información a SecOps Emmanuel Di Battista, analista de seguridad de Birmingham Cyber Arms:
“Contiene información básica de los pacientes como su DNI, domicilio, nombre completo y también sus historias clínicas, que incluyen datos médicos como grupo y factor sanguíneo y detalles de cada intervención que haya tenido lugar en ese hospital”
La segunda filtración que apareció el lunes afecta a la Universidad de Buenos Aires (UBA).
“Es una base de datos que contiene 234.877 registros de estudiantes de la UBA, y consigna sus direcciones de email, domicilio y nombre completo. De algunos usuarios es posible incluso inducir su nacionalidad”
A diferencia del otro leak del hospital, este no está disponible a la venta: está para descargar gratis.
🎣 El phishing llegó a los tickets de Taylor Swift
La popular cantante Taylor Swift anunció la semana pasada su llegada a la Argentina. Además de haber agotado tres shows, generó una nueva ola de phishing dedicado directamente a atacar a los swifties.
La campaña fue detectada por Agustín Merlo, analista de amenazas y experto en phishing. Explicó a esta publicación:
“Se detectó una página falsa, idéntica a la oficial de venta de entradas, que simula el proceso de compra para el show de Taylor Swift con el fin de que la víctima ingrese los datos de su tarjeta de crédito o débito. Los ciberdelincuentes en este caso se están aprovechando del apuro por conseguir tickets para el concierto, lo que hace que a veces una persona no preste atención al sitio que ingresó y se olvide de validar que la misma sea la legítima”
La página se ve así:
En este sentido, el experto recordó algunos puntos para tener en cuenta que valen siempre para cualquier compra online:
Verificar siempre antes de ingresar datos personales y/o financieros que lo estamos haciendo en el sitio correcto.
Tener cuidado con los enlaces patrocinados en los motores de búsqueda y redes sociales.
Siempre ingresar a los sitios tipeando por nuestra cuenta el dominio.
Ante sospechas de haber caído en una de estas estafas, es recomendable contactarse con el Banco para bloquear y reponer las tarjetas.
Google arregla un zero-day
Google lanzó una actualización de seguridad de Chrome para arreglar la tercera vulnerabilidad zero-day que diversos actores de amenazas venían explotando desde este año.
Según publicó la compañía en su blog oficial, la vulnerabilidad registrada como CVE-2023-3079 afecta el motor JavaScript de Chrome encargado de ejecutar código dentro del navegador. Fue evaluada como un problema de alta gravedad y descubierta por el investigador de Google Clément Lecigne el 1 de junio. Agregaron:
"El acceso a los detalles de errores y enlaces puede mantenerse restringido hasta que la mayoría de los usuarios actualicen el navegador. Mantendremos las restricciones si el error existe en una biblioteca de terceros de la que dependen otros proyectos de manera similar, pero aún no se han solucionado"
Por todo esto, es importante actualizar el navegador a la última versión. Para chequearlo -o forzarlo manualmente, en caso de que no se haya actualizado solo-, hay que seleccionar, en el menú de configuración de Chrome (esquina superior derecha), “Ayuda → Acerca de Google Chrome”.
📊 Reporte 2023: Verizon Data Breach Investigations
La edición 2023 del Informe de Verizon sobre investigaciones de filtraciones de datos se suma a la larga lista de reportes que hacen empresas vinculadas a ciberseguridad. Estas fueron algunas de las conclusiones:
Los ataques mediante DDoS siguieron siendo el principal incidente de ciberseguridad el año pasado (es el número 1 desde 2020).
El 83% de las brechas fueron por un actor de amenazas externo.
El robo de credenciales, el phishing y la explotación de vulnerabilidades fueron las tres principales fuentes de las brechas el año pasado.
El 24% de las filtraciones del año pasado tuvieron su origen en un ataque de ransomware.
El pretexting (secuestro de un thread de email) es ahora la táctica de ingeniería social más prevalente, superando al phishing por primera vez.
El reporte analizó 16.312 incidentes, de los cuales 5.199 fueron filtraciones de datos confirmadas.
🔗 Más info
Clop, detrás del hackeo a MOVEit: 100 organizaciones afectadas
OneDrive se cayó en todo el mundo por un ataque DDoS
GitHub ahora soporta Swift
Microsoft deberá pagar una multa de 20 millones USD por violar una ley de protección de datos personales
Más rastros de Pegasus en México
Secuestraron la cuenta de YouTube del Ejército Argentino, pusieron videos de Fortnite y otros videojuegos y luego la suspendieron
14 mil credeciales de podcasters de Spotify filtradas online