Amazon Web Services (AWS) ha confirmado una campaña sostenida de cinco años de ciberataque por parte de un grupo patrocinado por el estado ruso dirigido a dispositivos de clientes. Los ataques, realizados por el actor de amenazas Sandworm vinculado a la inteligencia militar GRU de Rusia, explotaron vulnerabilidades en dispositivos de borde de red administrados por clientes alojados en AWS, no la propia infraestructura de AWS.
El ataque: apuntar a infraestructuras críticas
La campaña, activa desde 2021, se ha centrado principalmente en organizaciones del sector energético de los países occidentales, incluidas América del Norte y Europa. En lugar de explotar las debilidades de AWS, los atacantes se dirigieron a dispositivos de clientes mal configurados, lo que los convirtió en puntos de entrada fáciles para el acceso persistente.
Según CJ Moses de Amazon Threat Intelligence, el enfoque de los atacantes representa un “pivote táctico” que se aleja de la explotación tradicional de vulnerabilidades hacia el aprovechamiento de sistemas mal configurados. Este método les permitió mantener el acceso durante años sin ser detectado por la propia AWS.
Por qué esto es importante: un cambio en las tácticas de guerra cibernética
Este ataque resalta una tendencia creciente en la guerra cibernética: los actores patrocinados por el estado explotan cada vez más los errores humanos y las malas prácticas de seguridad en lugar de depender únicamente de exploits de día cero. La “fruta madura” de los dispositivos mal configurados proporciona un camino más fácil y confiable hacia la infiltración.
Esto es preocupante porque transfiere la responsabilidad de la defensa a los usuarios finales, quienes pueden carecer de la experiencia o los recursos para proteger adecuadamente sus sistemas. También significa que incluso las plataformas de nube sólidas como AWS no son inmunes si los clientes no siguen los protocolos de seguridad básicos.
Qué está haciendo AWS y qué deberían hacer los clientes
Amazon Threat Intelligence ha notificado a los clientes afectados e insta a aumentar la supervisión y auditoría de los dispositivos de red. La compañía enfatiza que no existe ningún exploit específico de AWS que parchear; el problema radica en las malas configuraciones del cliente.
En el futuro, los clientes de AWS deben priorizar la configuración segura de los dispositivos, las auditorías de seguridad periódicas y la detección proactiva de amenazas. Esto incluye aplicar controles de acceso estrictos, aplicar parches a los sistemas con prontitud e implementar la autenticación multifactor siempre que sea posible.
El éxito de esta campaña subraya la necesidad crítica de vigilancia y prácticas de seguridad sólidas en todos los niveles del ecosistema de la nube.
Los ataques continúan y los clientes deben permanecer atentos para proteger su infraestructura crítica de amenazas cibernéticas persistentes.
