← Volver al Blog
Informe de Seguridad 🔴 Crítico

La Nube Bajo Asedio: Fallos Críticos en AWS, Azure y GCP

6 min de lectura
URGENCIA CRÍTICA

Resumen Ejecutivo

Se han descubierto vulnerabilidades críticas en AWS IAM Identity Center y Azure Active Directory que representan un riesgo inmediato para los entornos en la nube. Google Cloud Platform confirma acceso no autorizado a metadatos de Cloud SQL. Las organizaciones multi-cloud enfrentan ataques coordinados que explotan las relaciones de confianza entre proveedores.

⚡ Conclusión: Parchee AWS IAM Identity Center y Azure AD de inmediato. Audite las relaciones de confianza entre nubes.

☁️
Crítico — CVSS 9.8

CVE-2026-22103: Bypass de Autenticación en AWS IAM Identity Center

Por Qué Es Importante

Una vulnerabilidad crítica de bypass de autenticación en AWS IAM Identity Center permite a atacantes con acceso de red a proveedores de identidad federados asumir cualquier rol en las cuentas AWS conectadas. Se ha detectado explotación activa en el entorno real.

Impacto Descripción
Toma de Cuenta Acceso administrativo completo a todas las cuentas AWS conectadas
Exfiltración de Datos Acceso a S3, RDS, Secrets Manager y todos los servicios
Persistencia Creación de usuarios y roles IAM de puerta trasera
Fraude de Facturación Criptominería y abuso de recursos

Cómo Protegerse — Acciones Recomendadas

  • Aplicar el parche de emergencia de AWS a través de la consola de Identity Center de inmediato
  • Revisar los logs de CloudTrail en busca de eventos AssumeRole sospechosos desde el 15 de enero
  • Habilitar AWS CloudTrail Lake para análisis forense avanzado
  • Rotar todos los certificados de proveedores de identidad federados
  • Habilitar IAM Access Analyzer para revisión de acceso entre cuentas
🔵
Crítico

Bypass de Políticas de Acceso Condicional en Azure AD (CVE-2026-22198)

Por Qué Es Importante

Un fallo en el motor de evaluación de Acceso Condicional de Azure Active Directory permite a los atacantes eludir las políticas de cumplimiento de dispositivos y basadas en ubicación utilizando tokens de autenticación manipulados. Microsoft confirma explotación activa dirigida a empresas con implementaciones híbridas de Azure AD.

Peor Escenario Posible

🔓

Bypass de MFA

Elusión de los requisitos de MFA para cuentas privilegiadas.

📍

Suplantación de Ubicación

Acceso desde ubicaciones/dispositivos no confiables que aparecen como legítimos.

🔗

Compromiso de SaaS

Compromiso de aplicaciones SaaS conectadas a Azure AD.

Cómo Protegerse — Acciones Recomendadas

  • Aplicar la actualización de seguridad de emergencia de Microsoft KB5034441
  • Habilitar la Evaluación de Acceso Continuo (CAE) para todas las aplicaciones críticas
  • Revisar los logs de inicio de sesión de Azure AD en busca de reclamaciones de tokens anómalas
  • Implementar políticas basadas en riesgo de Azure AD Identity Protection
  • Desplegar reglas de detección de Microsoft Sentinel para intentos de bypass de políticas
🟢
Urgente

Incidente de Exposición de Metadatos en Google Cloud SQL

Por Qué Es Importante

Google reveló un acceso no autorizado a metadatos de instancias de Cloud SQL que afecta a clientes en las regiones us-central1 y europe-west1. Los datos expuestos incluyen cadenas de conexión a bases de datos, direcciones IP y, en algunos casos, credenciales almacenadas.

Cómo Protegerse — Acciones Recomendadas

  • Rotar todas las credenciales de bases de datos Cloud SQL
  • Revisar las instancias de Cloud SQL en busca de IPs no autorizadas en la lista blanca
  • Habilitar Cloud SQL Insights para monitoreo de consultas
  • Migrar cargas de trabajo sensibles a Cloud SQL solo con IP privada
  • Revisar los permisos IAM para roles cloudsql.instances.*
🌐
Campaña Activa

Campaña de Explotación de Confianza Entre Nubes

Por Qué Es Importante

El actor de amenazas "CloudHopper 2.0" está explotando activamente las relaciones de confianza entre AWS, Azure y GCP en entornos multi-cloud. El acceso inicial generalmente proviene de la nube menos protegida, y luego pivota a través de credenciales compartidas e identidades federadas.

Cómo Protegerse — Acciones Recomendadas

  • Auditar los roles IAM y cuentas de servicio entre nubes
  • Implementar credenciales únicas por proveedor de nube
  • Desplegar herramientas CSPM nativas de la nube para visibilidad unificada
  • Segmentar las redes en la nube a nivel de identidad
  • Revisar las configuraciones de VPN y peering entre nubes
📦
Alto

Exposición de Archivos de Estado de Terraform por Mala Configuración de S3

Por Qué Es Importante

Investigadores descubrieron más de 2.400 archivos de estado de Terraform accesibles públicamente en buckets S3 que contienen credenciales de nube, claves API y detalles de infraestructura. Muchos pertenecen a empresas Fortune 500.

Cómo Protegerse — Acciones Recomendadas

  • Habilitar S3 Block Public Access a nivel de cuenta
  • Migrar el estado de Terraform a backends cifrados (S3+DynamoDB con KMS)
  • Usar terraform-compliance para auditar configuraciones de estado
  • Habilitar reglas de AWS Config para detección de S3 público

Ejecute un escaneo KENSAI ahora para ver si su infraestructura en la nube está afectada

🗡️ Escanear Sus Sistemas →

Su Lista de Acciones para Esta Semana

Crítico — Hacer Hoy
  • Parchear AWS IAM Identity Center de inmediato
  • Aplicar la actualización de seguridad de Azure AD KB5034441
  • Rotar credenciales de Google Cloud SQL si está en las regiones afectadas
Alto — Hacer Esta Semana
  • Auditar relaciones de confianza entre nubes y credenciales compartidas
  • Habilitar registro avanzado en todos los proveedores de nube
  • Revisar el almacenamiento y cifrado de archivos de estado de Terraform
Medio — Continuo
  • Implementar reglas de detección SIEM nativas de la nube
  • Programar una evaluación de postura de seguridad multi-cloud
  • Desplegar herramientas CSPM para visibilidad unificada

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home