La Nube Bajo Asedio: Fallos Críticos en AWS, Azure y GCP
6 min de lecturaURGENCIA CRÍTICA
Resumen Ejecutivo
Vulnerabilidades críticas descubiertas en AWS IAM Identity Center y Azure Active Directory representan un riesgo inmediato para los entornos en la nube. Google Cloud Platform confirma acceso no autorizado a metadatos de Cloud SQL. Las organizaciones multi-nube enfrentan ataques coordinados que explotan relaciones de confianza entre proveedores.
⚡ Conclusión: Parchee AWS IAM Identity Center y Azure AD de inmediato. Audite las relaciones de confianza entre nubes.
☁️
Crítico — CVSS 9.8
CVE-2026-22103: Evasión de Autenticación en AWS IAM Identity Center
Por Qué Es Importante
Una vulnerabilidad crítica de evasión de autenticación en AWS IAM Identity Center permite a los atacantes con acceso de red a proveedores de identidad federados asumir cualquier rol en las cuentas de AWS conectadas. Se detectó explotación activa en entornos reales.
Impacto
Descripción
Toma de Control de Cuenta
Acceso administrativo total a todas las cuentas de AWS conectadas
Exfiltración de Datos
Acceso a S3, RDS, Secrets Manager y todos los servicios
Persistencia
Creación de usuarios y roles IAM con puertas traseras
Fraude de Facturación
Criptominería y abuso de recursos
Cómo Protegerse — Acciones Recomendadas
Aplique el parche de emergencia de AWS a través de la consola de Identity Center de inmediato
Revise los registros de CloudTrail en busca de eventos sospechosos de AssumeRole desde el 15 de enero
Habilite AWS CloudTrail Lake para análisis forense mejorado
Rote todos los certificados de proveedores de identidad federados
Habilite IAM Access Analyzer para la revisión de acceso entre cuentas
🔵
Crítico
Evasión de Política de Acceso Condicional de Azure AD (CVE-2026-22198)
Por Qué Es Importante
Un fallo en el motor de evaluación de Acceso Condicional de Azure Active Directory permite a los atacantes evadir las políticas de cumplimiento de dispositivos y basadas en ubicación utilizando tokens de autenticación manipulados. Microsoft confirma explotación activa dirigida a empresas con implementaciones híbridas de Azure AD.
Peor Escenario Posible
🔓
Evasión de MFA
Evasión de los requisitos de MFA para cuentas privilegiadas.
📍
Suplantación de Ubicación
Acceso desde ubicaciones/dispositivos no confiables que aparentan ser legítimos.
🔗
Compromiso de SaaS
Compromiso de las aplicaciones SaaS conectadas a Azure AD.
Cómo Protegerse — Acciones Recomendadas
Aplique la actualización de seguridad de emergencia de Microsoft KB5034441
Habilite la Evaluación de Acceso Continuo (CAE) para todas las aplicaciones críticas
Revise los registros de inicio de sesión de Azure AD en busca de reclamaciones de tokens anómalas
Implemente políticas basadas en riesgo de Azure AD Identity Protection
Implemente reglas de detección de Microsoft Sentinel para intentos de evasión de políticas
🟢
Urgente
Incidente de Exposición de Metadatos de Google Cloud SQL
Por Qué Es Importante
Google divulgó acceso no autorizado a metadatos de instancias de Cloud SQL que afecta a clientes en las regiones us-central1 y europe-west1. Los datos expuestos incluyen cadenas de conexión de bases de datos, direcciones IP y, en algunos casos, credenciales almacenadas.
Cómo Protegerse — Acciones Recomendadas
Rote todas las credenciales de bases de datos Cloud SQL
Revise las instancias de Cloud SQL en busca de listas blancas de IP no autorizadas
Habilite Cloud SQL Insights para el monitoreo de consultas
Migre las cargas de trabajo sensibles a Cloud SQL solo con IP privada
Revise los permisos de IAM para los roles cloudsql.instances.*
🌐
Campaña Activa
Campaña de Explotación de Confianza Entre Nubes
Por Qué Es Importante
El actor de amenazas "CloudHopper 2.0" está explotando activamente las relaciones de confianza entre AWS, Azure y GCP en entornos multi-nube. El acceso inicial generalmente proviene de la nube menos protegida, y luego pivota a través de credenciales compartidas e identidades federadas.
Cómo Protegerse — Acciones Recomendadas
Audite los roles de IAM entre nubes y las cuentas de servicio
Implemente credenciales únicas por proveedor de nube
Implemente herramientas CSPM nativas de la nube para visibilidad unificada
Segmente las redes en la nube a nivel de identidad
Revise las configuraciones de VPN y peering entre nubes
📦
Alto
Exposición de Archivos de Estado de Terraform por Mala Configuración de S3
Por Qué Es Importante
Los investigadores descubrieron más de 2.400 archivos de estado de Terraform accesibles públicamente en buckets de S3 que contienen credenciales de nube, claves API y detalles de infraestructura. Muchos pertenecen a empresas Fortune 500.
Cómo Protegerse — Acciones Recomendadas
Habilite S3 Block Public Access a nivel de cuenta
Migre el estado de Terraform a backends cifrados (S3+DynamoDB con KMS)
Utilice terraform-compliance para auditar las configuraciones de estado
Habilite las reglas de AWS Config para la detección de S3 público
Ejecute un análisis KENSAI ahora para verificar si su infraestructura en la nube está afectada