← Volver al Blog
Informe de Seguridad 🔴 Crítico

La nube bajo asedio: Fallos críticos en AWS, Azure y GCP

6 min de lectura
URGENCIA CRÍTICA

Resumen Ejecutivo

Vulnerabilidades críticas descubiertas en AWS IAM Identity Center y Azure Active Directory suponen un riesgo inmediato para los entornos en la nube. Google Cloud Platform confirma acceso no autorizado a metadatos de Cloud SQL. Las organizaciones multi-nube enfrentan ataques coordinados que explotan relaciones de confianza entre proveedores.

⚡ Conclusión: Parchee AWS IAM Identity Center y Azure AD de inmediato. Audite las relaciones de confianza entre nubes.

☁️
Crítico — CVSS 9.8

CVE-2026-22103: Bypass de autenticación en AWS IAM Identity Center

Por qué es importante

Una vulnerabilidad crítica de bypass de autenticación en AWS IAM Identity Center permite a atacantes con acceso de red a proveedores de identidad federados asumir cualquier rol en las cuentas de AWS conectadas. Se ha detectado explotación activa en entornos reales.

Impacto Descripción
Toma de control de cuenta Acceso administrativo completo a todas las cuentas AWS conectadas
Exfiltración de datos Acceso a S3, RDS, Secrets Manager y todos los servicios
Persistencia Creación de usuarios y roles IAM con puertas traseras
Fraude de facturación Criptominería y abuso de recursos

Cómo protegerse — Acciones recomendadas

  • Aplique el parche de emergencia de AWS a través de la consola de Identity Center de inmediato
  • Revise los registros de CloudTrail en busca de eventos sospechosos de AssumeRole desde el 15 de enero
  • Active AWS CloudTrail Lake para análisis forense avanzado
  • Rote todos los certificados de proveedores de identidad federados
  • Active IAM Access Analyzer para la revisión de acceso entre cuentas
🔵
Crítico

Bypass de políticas de acceso condicional en Azure AD (CVE-2026-22198)

Por qué es importante

Un fallo en el motor de evaluación de Acceso Condicional de Azure Active Directory permite a los atacantes eludir las políticas de cumplimiento de dispositivos y basadas en ubicación mediante tokens de autenticación manipulados. Microsoft confirma explotación activa dirigida a empresas con despliegues híbridos de Azure AD.

Peor escenario posible

🔓

Bypass de MFA

Elusión de los requisitos de MFA para cuentas privilegiadas.

📍

Suplantación de ubicación

Acceso desde ubicaciones/dispositivos no confiables que aparecen como legítimos.

🔗

Compromiso de SaaS

Compromiso de aplicaciones SaaS conectadas a Azure AD.

Cómo protegerse — Acciones recomendadas

  • Aplique la actualización de seguridad de emergencia de Microsoft KB5034441
  • Active la Evaluación Continua de Acceso (CAE) para todas las aplicaciones críticas
  • Revise los registros de inicio de sesión de Azure AD en busca de claims de token anómalos
  • Implemente políticas basadas en riesgo de Azure AD Identity Protection
  • Despliegue reglas de detección de Microsoft Sentinel para intentos de bypass de políticas
🟢
Urgente

Incidente de exposición de metadatos en Google Cloud SQL

Por qué es importante

Google reveló un acceso no autorizado a metadatos de instancias de Cloud SQL que afecta a clientes en las regiones us-central1 y europe-west1. Los datos expuestos incluyen cadenas de conexión a bases de datos, direcciones IP y, en algunos casos, credenciales almacenadas.

Cómo protegerse — Acciones recomendadas

  • Rote todas las credenciales de bases de datos Cloud SQL
  • Revise las instancias de Cloud SQL en busca de IP añadidas a la lista blanca sin autorización
  • Active Cloud SQL Insights para la monitorización de consultas
  • Migre las cargas de trabajo sensibles a Cloud SQL con IP privada exclusivamente
  • Revise los permisos IAM para los roles cloudsql.instances.*
🌐
Campaña activa

Campaña de explotación de confianza entre nubes

Por qué es importante

El actor de amenazas "CloudHopper 2.0" está explotando activamente las relaciones de confianza entre AWS, Azure y GCP en entornos multi-nube. El acceso inicial típicamente proviene de la nube menos protegida, para después pivotar a través de credenciales compartidas e identidades federadas.

Cómo protegerse — Acciones recomendadas

  • Audite los roles IAM y cuentas de servicio entre nubes
  • Implemente credenciales únicas por proveedor de nube
  • Despliegue herramientas CSPM nativas de la nube para visibilidad unificada
  • Segmente las redes en la nube a nivel de identidad
  • Revise las configuraciones de VPN y peering entre nubes
📦
Alto

Exposición de archivos de estado de Terraform por mala configuración de S3

Por qué es importante

Investigadores descubrieron más de 2.400 archivos de estado de Terraform accesibles públicamente en buckets de S3 que contienen credenciales en la nube, claves API y detalles de infraestructura. Muchos pertenecen a empresas del Fortune 500.

Cómo protegerse — Acciones recomendadas

  • Active S3 Block Public Access a nivel de cuenta
  • Migre el estado de Terraform a backends cifrados (S3+DynamoDB con KMS)
  • Use terraform-compliance para auditar las configuraciones de estado
  • Active las reglas de AWS Config para la detección de S3 públicos

Ejecute un escaneo con KENSAI ahora para comprobar si su infraestructura en la nube está afectada

🗡️ Escanear sus sistemas →

Su lista de acciones para esta semana

Crítico — Haga hoy
  • Parchear AWS IAM Identity Center de inmediato
  • Aplicar la actualización de seguridad KB5034441 de Azure AD
  • Rotar credenciales de Google Cloud SQL si está en las regiones afectadas
Alto — Haga esta semana
  • Auditar las relaciones de confianza entre nubes y credenciales compartidas
  • Activar registros mejorados en todos los proveedores de nube
  • Revisar el almacenamiento y cifrado de archivos de estado de Terraform
Medio — Continuo
  • Implementar reglas de detección SIEM nativas de la nube
  • Programar una evaluación de postura de seguridad multi-nube
  • Desplegar herramientas CSPM para visibilidad unificada

🛡️ Protect Your Business

Get a free security scan of your website in 60 seconds

Free Security Scan →
📚 More Articles 🏠 Home