Informe de Seguridad 🔴 Crítico

La Nube Bajo Asedio: Fallos Críticos en AWS, Azure y GCP

6 min de lectura
URGENCIA CRÍTICA

Resumen Ejecutivo

Vulnerabilidades críticas descubiertas en AWS IAM Identity Center y Azure Active Directory representan un riesgo inmediato para los entornos en la nube. Google Cloud Platform confirma acceso no autorizado a metadatos de Cloud SQL. Las organizaciones multi-nube enfrentan ataques coordinados que explotan relaciones de confianza entre proveedores.

⚡ Conclusión: Parchee AWS IAM Identity Center y Azure AD de inmediato. Audite las relaciones de confianza entre nubes.

☁️
Crítico — CVSS 9.8

CVE-2026-22103: Evasión de Autenticación en AWS IAM Identity Center

Por Qué Es Importante

Una vulnerabilidad crítica de evasión de autenticación en AWS IAM Identity Center permite a los atacantes con acceso de red a proveedores de identidad federados asumir cualquier rol en las cuentas de AWS conectadas. Se detectó explotación activa en entornos reales.

Impacto Descripción
Toma de Control de Cuenta Acceso administrativo total a todas las cuentas de AWS conectadas
Exfiltración de Datos Acceso a S3, RDS, Secrets Manager y todos los servicios
Persistencia Creación de usuarios y roles IAM con puertas traseras
Fraude de Facturación Criptominería y abuso de recursos

Cómo Protegerse — Acciones Recomendadas

  • Aplique el parche de emergencia de AWS a través de la consola de Identity Center de inmediato
  • Revise los registros de CloudTrail en busca de eventos sospechosos de AssumeRole desde el 15 de enero
  • Habilite AWS CloudTrail Lake para análisis forense mejorado
  • Rote todos los certificados de proveedores de identidad federados
  • Habilite IAM Access Analyzer para la revisión de acceso entre cuentas
🔵
Crítico

Evasión de Política de Acceso Condicional de Azure AD (CVE-2026-22198)

Por Qué Es Importante

Un fallo en el motor de evaluación de Acceso Condicional de Azure Active Directory permite a los atacantes evadir las políticas de cumplimiento de dispositivos y basadas en ubicación utilizando tokens de autenticación manipulados. Microsoft confirma explotación activa dirigida a empresas con implementaciones híbridas de Azure AD.

Peor Escenario Posible

🔓

Evasión de MFA

Evasión de los requisitos de MFA para cuentas privilegiadas.

📍

Suplantación de Ubicación

Acceso desde ubicaciones/dispositivos no confiables que aparentan ser legítimos.

🔗

Compromiso de SaaS

Compromiso de las aplicaciones SaaS conectadas a Azure AD.

Cómo Protegerse — Acciones Recomendadas

  • Aplique la actualización de seguridad de emergencia de Microsoft KB5034441
  • Habilite la Evaluación de Acceso Continuo (CAE) para todas las aplicaciones críticas
  • Revise los registros de inicio de sesión de Azure AD en busca de reclamaciones de tokens anómalas
  • Implemente políticas basadas en riesgo de Azure AD Identity Protection
  • Implemente reglas de detección de Microsoft Sentinel para intentos de evasión de políticas
🟢
Urgente

Incidente de Exposición de Metadatos de Google Cloud SQL

Por Qué Es Importante

Google divulgó acceso no autorizado a metadatos de instancias de Cloud SQL que afecta a clientes en las regiones us-central1 y europe-west1. Los datos expuestos incluyen cadenas de conexión de bases de datos, direcciones IP y, en algunos casos, credenciales almacenadas.

Cómo Protegerse — Acciones Recomendadas

  • Rote todas las credenciales de bases de datos Cloud SQL
  • Revise las instancias de Cloud SQL en busca de listas blancas de IP no autorizadas
  • Habilite Cloud SQL Insights para el monitoreo de consultas
  • Migre las cargas de trabajo sensibles a Cloud SQL solo con IP privada
  • Revise los permisos de IAM para los roles cloudsql.instances.*
🌐
Campaña Activa

Campaña de Explotación de Confianza Entre Nubes

Por Qué Es Importante

El actor de amenazas "CloudHopper 2.0" está explotando activamente las relaciones de confianza entre AWS, Azure y GCP en entornos multi-nube. El acceso inicial generalmente proviene de la nube menos protegida, y luego pivota a través de credenciales compartidas e identidades federadas.

Cómo Protegerse — Acciones Recomendadas

  • Audite los roles de IAM entre nubes y las cuentas de servicio
  • Implemente credenciales únicas por proveedor de nube
  • Implemente herramientas CSPM nativas de la nube para visibilidad unificada
  • Segmente las redes en la nube a nivel de identidad
  • Revise las configuraciones de VPN y peering entre nubes
📦
Alto

Exposición de Archivos de Estado de Terraform por Mala Configuración de S3

Por Qué Es Importante

Los investigadores descubrieron más de 2.400 archivos de estado de Terraform accesibles públicamente en buckets de S3 que contienen credenciales de nube, claves API y detalles de infraestructura. Muchos pertenecen a empresas Fortune 500.

Cómo Protegerse — Acciones Recomendadas

  • Habilite S3 Block Public Access a nivel de cuenta
  • Migre el estado de Terraform a backends cifrados (S3+DynamoDB con KMS)
  • Utilice terraform-compliance para auditar las configuraciones de estado
  • Habilite las reglas de AWS Config para la detección de S3 público

Ejecute un análisis KENSAI ahora para verificar si su infraestructura en la nube está afectada

🗡️ Analizar Sus Sistemas →

Su Lista de Acciones para Esta Semana

Crítico — Hacer Hoy
  • Parchee AWS IAM Identity Center de inmediato
  • Aplique la actualización de seguridad de Azure AD KB5034441
  • Rote las credenciales de Google Cloud SQL si está en las regiones afectadas
Alto — Hacer Esta Semana
  • Audite las relaciones de confianza entre nubes y las credenciales compartidas
  • Habilite el registro mejorado en todos los proveedores de nube
  • Revise el almacenamiento y cifrado de archivos de estado de Terraform
Medio — Continuo
  • Implemente reglas de detección SIEM nativas de la nube
  • Programe una evaluación de postura de seguridad multi-nube
  • Implemente herramientas CSPM para visibilidad unificada

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home