Ransomware Abusa Función de Amazon AWS para Encriptar S3 Buckets
Alexander Chapellin 01/13/2025 Ciberseguridad, Riesgos informaticos, TecnetProtect
4 Minutos

Si tu empresa usa Amazon Web Services (AWS) para almacenar información clave, probablemente confías en que todo está bajo control. Pero hay una nueva amenaza que te hará replantearte esa seguridad: los ciberdelincuentes han encontrado la manera de aprovechar funciones legítimas de AWS, como los buckets S3, para llevar a cabo ataques de ransomware. Y lo más preocupante es que están utilizando las mismas herramientas de la plataforma diseñadas para proteger tus datos… pero en tu contra.

Una reciente campaña de ransomware, descubierta por Halcyon, muestra cómo los atacantes están cifrando los depósitos de Amazon S3 utilizando el cifrado del lado del servidor con claves proporcionadas por el cliente (SSE-C). Esto significa que los propios atacantes controlan las claves de descifrado, dejando a las víctimas sin acceso a sus propios datos a menos que paguen un rescate. Hasta ahora, este método ya ha sido usado contra al menos dos víctimas, pero todo apunta a que la táctica podría escalar rápidamente y ser adoptada por más actores maliciosos.

 

¿Qué es eso de "cifrado en la nube" y cómo lo están usando los hackers?

 

Cuando hablamos de Amazon S3 (Simple Storage Service), básicamente estamos hablando de un servicio de almacenamiento en la nube. Empresas de todo el mundo lo usan para guardar archivos, copias de seguridad, registros, medios… en fin, todo lo que necesitan almacenar de forma segura y accesible. Los llamados buckets de S3 son, por así decirlo, los contenedores donde se guarda toda esa información.

Ahora bien, para proteger esos datos mientras están "en reposo" (es decir, mientras no están siendo movidos ni utilizados), AWS ofrece varias opciones de cifrado. Una de ellas es SSE-C (Server-Side Encryption with Customer-Provided Keys), que permite a las empresas usar sus propias claves para cifrar y descifrar los archivos almacenados. Básicamente, tú generas la clave de cifrado, tú la administras y tú eres responsable de protegerla. AWS no almacena esa clave, lo cual está muy bien desde el punto de vista de la seguridad, pero también tiene su riesgo: si pierdes la clave, pierdes el acceso a tus datos.

Y aquí es donde entra el problema. Los atacantes detrás de esta nueva campaña de ransomware, conocidos como Codefinger, están aprovechando precisamente esta función de SSE-C para bloquear el acceso a los datos de las víctimas. ¿Cómo lo hacen? De una forma bastante inteligente (y preocupante):

 

  1. Primero consiguen credenciales de AWS comprometidas: Esto puede ocurrir de muchas maneras: a través de phishing, credenciales filtradas o ataques a sistemas mal configurados.

  2. Después buscan permisos específicos en los buckets de S3: En concreto, están buscando cuentas con los permisos s3:GetObject y s3:PutObject, que básicamente les permiten leer y escribir datos dentro de esos buckets. Esos permisos son la llave para llevar a cabo el ataque.

  3. Luego, generan su propia clave de cifrado localmente: Aquí viene el truco: una vez que tienen acceso, los atacantes usan el cifrado SSE-C para sobreescribir los archivos de la víctima con versiones cifradas usando su propia clave, que solo ellos conocen. En otras palabras, toman el control del cifrado de los datos y bloquean a la víctima.

 

Y ahora viene la peor parte: Amazon no tiene esa clave de cifrado. Como SSE-C requiere que el cliente administre sus propias claves, AWS no puede ayudar a las víctimas a recuperar sus datos. Si los hackers tienen la única clave para descifrar los archivos, no hay nada que puedas hacer sin pagarles… excepto aprender la lección de seguridad.

Lo que hace este ataque tan peligroso es que los ciberdelincuentes usan las propias herramientas de Amazon AWS para bloquear tus datos de una manera completamente segura… e irrecuperable sin su ayuda. Básicamente, te dejan a merced de ellos.

Pero ahí no termina la cosa. Una vez que los atacantes cifran los archivos usando una clave que solo ellos conocen, crean una política de eliminación automática: después de siete días, los datos cifrados desaparecerán para siempre. Esto lo hacen a través de la API de gestión del ciclo de vida de S3, que les permite establecer reglas para borrar los archivos después de cierto tiempo. Además, dejan notas de rescate en cada carpeta afectada, explicando cómo pagar el rescate en Bitcoin a cambio de la clave de descifrado personalizada (una clave AES-256).

Y aquí viene la advertencia: los atacantes son claros con sus condiciones. Si la víctima intenta cambiar los permisos de su cuenta AWS o modificar los archivos en el bucket, ellos terminan las negociaciones de inmediato. En otras palabras, si no sigues sus reglas, pierdes tus datos para siempre.

 

Podría interesarte leer:  ¿Cómo las alianzas de ransomware están creando ataques más letales?

 

¿Qué hacer para protegerte?

 

Primero, un dato importante: Amazon está al tanto de estos ataques y trabaja para notificar a los clientes que podrían estar en riesgo, especialmente cuando detectan que sus claves han sido expuestas. La empresa también recomienda tomar medidas inmediatas para proteger las cuentas afectadas.

Pero no se trata solo de reaccionar ante un ataque. Si usas AWS, es crucial ser proactivo y reforzar la seguridad de tus buckets S3. Aquí te dejamos algunos consejos para evitar que algo así te pase:

 

  1. Deshabilita el uso de SSE-C (cifrado con claves del cliente) si no es necesario: Este método de cifrado pone mucha responsabilidad en tus manos. Si no tienes un sistema sólido para manejar las claves, es mejor usar otras opciones de cifrado que ofrece AWS, como SSE-S3 o SSE-KMS.

  2. Desactiva o elimina las claves de acceso que no estén en uso: Muchas veces las empresas crean claves de acceso que quedan olvidadas o activas indefinidamente. Esto es un error común que los atacantes aprovechan. Desactiva todo lo que no uses.

  3. Rota las claves de acceso con frecuencia: Cambiar regularmente las claves de acceso reduce el riesgo de que los atacantes puedan usarlas si se filtran o son comprometidas.

  4. Limita los permisos al mínimo necesario: Asegúrate de que solo las personas y servicios que realmente necesitan acceso a los buckets S3 lo tengan, y aplica políticas de privilegio mínimo. No le des permisos de lectura o escritura a cuentas que no lo requieran.

 

Conoce más sobre:  Evita el Pago de RansomwareRiesgos del Rescate

 

Conclusión

 

Este tipo de ataque deja claro que confiar ciegamente en que "la nube es segura" no es suficiente. AWS ofrece herramientas poderosas para proteger tus datos, pero si no configuras bien las políticas de acceso, puedes estar dejando la puerta abierta a problemas graves. Los cibercriminales están constantemente buscando errores humanos y brechas en la seguridad para aprovecharse.

Por eso, además de ajustar tus configuraciones en AWS, es esencial contar con una solución de seguridad integral que incluya copias de seguridad y protección contra ransomware. Aquí es donde entra TecnetProtect, una herramienta diseñada para mantener tus datos seguros incluso ante los ataques más sofisticados.

Con TecnetProtect, puedes proteger tus buckets S3 y asegurarte de que tus archivos siempre tengan una copia de seguridad accesible, incluso si un atacante intenta cifrarlos. Además, incluye medidas de detección proactiva contra amenazas y estrategias de recuperación para que no tengas que depender de los atacantes para recuperar tus datos. La mejor defensa siempre es una buena preparación. Así que asegúrate de revisar tus configuraciones, limitar permisos innecesarios y respaldar tus datos con soluciones como TecnetProtect.

 

Prueba TecnetProtect 30 Días Gratis

Tag:

Ciberseguridad Riesgos informaticos TecnetProtect

Interrupción de Microsoft MFA bloquea acceso a Microsoft 365 Apps

Artículo Anterior

Phishing en iMessage: Hackers te Engañan para Desactivar Protección

Siguiente Artículo

    Categorías

    Artículos más leídos

    Gustavo Sánchez 05/23/2023 Ciberseguridad, Riesgos informaticos, Ciberpatrullaje
    Descubriendo los canales en Telegram de la Dark Web
    Gustavo Sánchez 04/01/2024 Microsoft Office 365, Microsoft, CoPilot
    Guía para Activar y Usar Copilot en Word Eficazmente
    Alexander Chapellin 02/17/2024 Ciberseguridad, Riesgos informaticos
    Alternativa Económica a Flipper Zero para Hacking: M1
    Alexander Chapellin 03/27/2024 Ciberseguridad, Riesgos informaticos
    Top 5 de Foros Rusos en la Dark Web

    Artículos Relacionados

    Ciberseguridad, Riesgos informaticos, TecnetProtect, Malware
    Adriana Aguilar 01/09/2025

    ¿Qué es Zphisher y cómo funciona?

    ¿Alguna vez te has preguntado por qué seguimos cayendo en ataques de phishing, a pesar de todas las

    Leer más
    Ciberseguridad, Riesgos informaticos, TecnetProtect, Malware
    Alexander Chapellin 01/07/2025

    ¿Cómo debes actuar al recibir un correo electrónico fraudulento?

    Seguramente más de una vez abriste tu bandeja de entrada y te encontraste con un correo que te hizo

    Leer más
    Riesgos informaticos, SOC, TecnetProtect, Malware
    Zoilijee Quero 01/06/2025

    ¿Cómo las alianzas de ransomware están creando ataques más letales?

    Hoy en día, los ciberataques ya no son cosa de un hacker solitario detrás de una pantalla oscura.

    Leer más
    Bottom Banner

    Reduce los costos de TI y eleva la productividad de tu empresa con TecnetOne

    Si te interesa implementar soluciones en la nube en tu empresa, te invitamos a que nos contactes.

    Quiero saber más