Los piratas informáticos aprenden rápidamente a violar los sistemas en la nube

Los piratas informáticos aprenden rápidamente a violar los sistemas en la nube – Codelivly

Los piratas informáticos encuentran rápidamente lagunas en la infraestructura de la nube de las organizaciones a pesar de la percepción de que la tecnología es a prueba de balas contra los ataques cibernéticos.

El panorama: Las organizaciones han invertido miles de millones de dólares en los últimos años para mover sus datos digitales de las soluciones tradicionales de almacenamiento empresarial en las instalaciones a la nube. Se espera que esta inversión continúe creciendo y alcance casi $ 600 mil millones este año.

  • El alto precio de la reubicación de datos se ha pagado en gran medida por una razón: es mucho más difícil para los piratas informáticos acceder a los sistemas en la nube de una organización.
  • Pero investigaciones e incidentes recientes subrayan la rapidez con la que los piratas informáticos malintencionados se están adaptando a la nueva realidad.

Conduciendo las noticias: Los ataques que explotan los sistemas en la nube casi se duplicaron en 2022, y la cantidad de grupos de piratería que podrían apuntar a la nube se triplicó el año pasado, según un informe de CrowdStrike publicado la semana pasada.

  • Un ataque de ransomware de alto perfil el mes pasado apuntó a una vulnerabilidad en una popular máquina VMware utilizada en sistemas en la nube, dejando vulnerables a miles de sistemas.
  • Bloomberg informó el mes pasado que la exposición reciente de aproximadamente un terabyte de correos electrónicos del Pentágono probablemente se debió a una mala configuración de la nube.

Lo que ellos dicen“A medida que más y más organizaciones migran a la nube, se convierte en un objetivo mucho más atractivo para estos actores de amenazas, y gastan más tiempo y recursos tratando de ingresar a este entorno”, le dice a Axios Adam Meyers, vicepresidente senior de inteligencia de CrowdStrike. .

  • " Todos lo hacen. Vimos jóvenes de 17 años y vimos el SVR ruso.

Por los números: Alrededor de ocho de cada 10 organizaciones dijeron que habían tenido un incidente de seguridad en la nube el año pasado, según un informe de septiembre de Venafi.

  • Según el estudio, el 45 % de las organizaciones que experimentan un incidente de seguridad en la nube experimentaron al menos cuatro ataques durante ese tiempo.

Entre líneas: La nube sigue siendo mucho más segura que los sistemas tradicionales, dijo Meyers, pero un gran impulsor de los ataques son los agujeros de seguridad inyectados accidentalmente cuando las organizaciones personalizan las herramientas de la nube para sus sistemas específicos.

  • Posteriormente, la mayoría de las organizaciones tampoco actualizan sus herramientas de ciberseguridad heredadas para detectar estas configuraciones incorrectas de la nube, agregó Meyers.

La trama: Muchos piratas informáticos aprenden rápidamente las habilidades para apuntar al almacenamiento en la nube debido a la recompensa que puede traer.

  • En los ataques tradicionales dirigidos a servidores locales, los piratas informáticos malintencionados suelen necesitar sus propias herramientas de escaneo de puertos para detectar qué sistemas hay en una empresa y dónde están los puntos débiles y explotables.
  • Pero durante los ataques en la nube, estos escáneres de puertos no son necesarios, dijo Meyers. Los piratas informáticos maliciosos que pueden navegar en un entorno de nube pueden usar herramientas nativas dentro del entorno para buscar de forma más sigilosa y determinar qué datos están disponibles.
  • "Has creado un Mentos seguridad: crujiente por fuera, suave y masticable por dentro”, dijo Meyers.

Si pero: Los ataques dirigidos a la nube siempre comienzan de la misma manera que los ataques locales: utilizando credenciales de inicio de sesión de empleados robadas.

  • Por ejemplo, la firma de seguridad en la nube Mitiga advirtió la semana pasada que cuando los piratas informáticos usan credenciales de inicio de sesión legítimas para ingresar, Google Cloud Platform no registra un registro de actividad apropiado de las acciones del actor malicioso, informa la publicación de comercio electrónico Dark Reading.

La línea de fondo: A medida que el gasto en TI en la nube continúa aumentando, las empresas deben asegurarse de revisar también sus conjuntos de seguridad para asegurarse de que pueden manejar los nuevos obstáculos relacionados con la nube.

Ilustración de un candado con forma de deslizador como ojo de cerradura.
Ilustración: Aida Amer/Axios

Los sistemas de salud sacudidos por los costos laborales y de la cadena de suministro y las dificultades económicas más amplias tienen otro problema financiero difícil de manejar: los crecientes costos de los seguros cibernéticos.

Porque es esto importante: Puede que eso no sea sexy, o lo primero en lo que piensas cuando los ciberdelincuentes causan estragos en la infraestructura del hospital. Pero la escala del problema y la renuencia de las aseguradoras a cubrir las pérdidas por ataques de ransomware están afectando a los hospitales de manera muy real, señala Moody's Investors Services.

Ilustración de un billete de cien dólares americano cortado en forma de unicornio
Ilustración: Annelise Capossela/Axios

El banco elegido por las nuevas empresas emergentes de Silicon Valley sufre un cambio de fortuna notablemente repentino.

Lo que pasó: La empresa matriz de Silicon Valley Bank (SVB) dijo el miércoles por la noche que buscaba recaudar más de $ 2 mil millones en capital, luego de sufrir grandes pérdidas en un lote gigante de bonos que vendió.

Ilustración: Rebecca Zisser / Axios

Los titulares de tecnología de esta semana ofrecen un compendio de pesadillas de pérdida de datos:

  • Los datos personales de los miembros del Congreso han estado potencialmente expuestos después de que los piratas informáticos irrumpieran en un sistema de seguro médico de DC.
  • La policía le pidió a un hombre de negocios de Ohio un video de su cámara de timbre Ring y luego emitió una orden de captura de más de otras 20 cámaras en su casa y negocio.
  • La empresa china TikTok se enfrenta a la amenaza de una prohibición por temor a que los datos de los usuarios que recopila puedan pasarse a Beijing.
  • Y los usuarios comparten sus problemas de salud mental con ChatGPT de OpenAI sin preocuparse por la privacidad.

Lo que pasa: El fracaso prolongado del Congreso para aprobar una legislación integral sobre privacidad ha dejado la información personal en línea vulnerable a la explotación, el acaparamiento y la caza furtiva.

Porque es esto importante: Prácticamente todas las principales tecnologías actuales abren vulnerabilidades de datos que pueden causar estragos.

  • La “privacidad de datos” puede parecer abstracta para gran parte del público estadounidense, pero nuestro fracaso nacional para establecer reglas de privacidad puede tener consecuencias muy reales.

Disminuir el zoom: Los expertos legales y los defensores de la privacidad han advertido durante mucho tiempo sobre los peligros de que Estados Unidos no incorpore la ley de privacidad al siglo XXI.

  • Esto significa que las autoridades gubernamentales tienen más libertad para incautar información digital como evidencia.
  • Las empresas privadas tienen más libertad para recopilar y revender la información personal de sus clientes y usuarios.
  • Tanto en el sector público como en el privado, la falta de reglas estrictas que rijan el procesamiento de datos hace que cada violación y pirateo sean potencialmente más dañinos.

Y después: El frenesí en torno a la IA generativa añade una nueva dimensión de preocupación.

  • Los expertos en IA temen que los chatbots como ChatGPT entrenados en grandes cantidades de texto de Internet ya estarán sembrados con un volumen incognoscible de datos personales.
  • En sí mismo, es un poco diferente de lo que está disponible en Google o cualquier otro motor de búsqueda en la actualidad.
  • La diferencia es que ChatGPT y programas similares pueden "recordar" y reutilizar la información que los usuarios comparten con ellos de manera impredecible.
  • Esto significa que los detalles de cualquier documento legal, informe médico, cálculo financiero u otra entrada que alguien comparta con estos sistemas podrían reaparecer, con precisión o por error, en las respuestas a la consulta de otra persona, sin indicación de la fuente original.

Nuestra burbuja de pensamiento: Cada vez que escribes en ChatGPT, considera que podrías estar compartiendo secretos con algo que tiene una memoria increíblemente vasta, y ni siquiera tiene idea de qué es un secreto.

Entre líneas: Es muy posible que haya formas de equipar los sistemas de IA generativa con salvaguardas para protegerse contra este tipo de intercambio no intencionado.

  • Pero en este momento, los desarrolladores tienen pocos incentivos para crearlos, y el resto de nosotros no tenemos visibilidad de qué datos guardan los sistemas.

La línea de fondo: Cuanto más rápido avance la tecnología y más central se vuelva en nuestras vidas, más extrañaremos tener una buena ley de privacidad.

Si quieres conocer otros artículos parecidos a Los piratas informáticos aprenden rápidamente a violar los sistemas en la nube puedes visitar la categoría Tutoriales.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir

Esta página web utiliza cookies para analizar de forma anónima y estadística el uso que haces de la web, mejorar los contenidos y tu experiencia de navegación. Para más información accede a la Política de Cookies . Ver mas