Hackers aprovechan Google Workspace para Ataques de Ransomware

Google Workspace y Cloud Platform son dos de los servicios más populares y utilizados por las empresas para gestionar sus operaciones en la nube. Sin embargo, también son objetivos potenciales para los ciberdelincuentes que buscan aprovecharse de las vulnerabilidades y brechas de seguridad que puedan existir en estos sistemas. Recientemente, se ha descubierto una serie de vulnerabilidades en Google Workspace, una plataforma ampliamente utilizada para la colaboración y productividad empresarial.

En este artículo, te explicaremos cómo funcionan algunos de los métodos de ataque más novedosos que se han demostrado contra Google Workspace y Cloud Platform, y qué medidas puedes tomar para proteger tu empresa de estos riesgos.

¿Qué son Google Workspace y Cloud Platform?

Google Workspace es el conjunto de aplicaciones de productividad y colaboración de Google, que incluye Gmail, Drive, Docs, Sheets, Slides, Calendar, Meet, entre otras. Estas aplicaciones permiten a los usuarios crear, compartir y editar documentos, hojas de cálculo, presentaciones, correos electrónicos, eventos y videollamadas desde cualquier dispositivo y lugar.

Google Cloud Platform es la plataforma de servicios en la nube de Google, que ofrece soluciones de infraestructura, plataforma y software como servicio (IaaS, PaaS y SaaS, respectivamente). Estas soluciones abarcan desde el almacenamiento y el procesamiento de datos, hasta el desarrollo y el despliegue de aplicaciones, pasando por el análisis, la inteligencia artificial, el aprendizaje automático y la seguridad.

Ambos servicios son muy utilizados por las empresas de todos los tamaños y sectores, ya que ofrecen ventajas como la escalabilidad, la flexibilidad, la eficiencia, la innovación y el ahorro de costes. Sin embargo, también implican ciertos desafíos y riesgos en materia de seguridad, que deben ser tenidos en cuenta y gestionados adecuadamente.

Te podría interesar leer:  Comparativa: Google Workspace vs. Microsoft 365

¿Cómo pueden los hackers explotar Google Workspace y Cloud Platform?

Se han revelado métodos innovadores de ataque contra Google Workspace y Google Cloud Platform que podrían ser explotados para lanzar ataques de ransomware, exfiltrar datos y recuperar contraseñas.

"Una vez comprometida una máquina, los atacantes tienen múltiples vías de progresión: pueden acceder a otras máquinas con GCPW, obtener permisos en la nube o descifrar contraseñas locales para expandir su ataque más allá del ecosistema de Google," explicó Martin Zugec de Bitdefender en un informe reciente.

El punto de partida de estos ataques es el acceso previo del atacante a una máquina local, lo que llevó a Google a no priorizar su corrección, argumentando que está fuera de su modelo de amenaza y alineado con las prácticas de Chrome de almacenamiento de datos local. Sin embargo, Bitdefender ha advertido que estas brechas pueden ser aprovechadas para escalar un compromiso aislado a una brecha de red completa.

Los ataques se centran en el uso del Proveedor de Credenciales de Google para Windows (GCPW), que permite la gestión de dispositivos móviles y el inicio de sesión único, posibilitando a los administradores controlar dispositivos Windows en Google Workspace y a los usuarios acceder a sus dispositivos con credenciales de Google.

GCPW utiliza una cuenta de servicio local privilegiada, la Administración de ID y Cuentas de Google (GAIA), para autenticar usuarios y almacenar tokens de actualización. Con esta configuración, un atacante puede extraer tokens OAuth de una cuenta comprometida y usarlos para obtener acceso a datos confidenciales asociados a la cuenta de Google.

Un segundo método de ataque, el movimiento lateral "Golden Image", se aprovecha de la clonación de máquinas virtuales con GCPW, donde la contraseña de la cuenta GAIA se replica también. "Si todas las máquinas comparten una contraseña local y se conoce, se tienen las contraseñas de todas las máquinas", señaló Zugec, comparándolo con el desafío de tener la misma contraseña de administrador local en todas las máquinas, un problema abordado por la solución de contraseña de administrador local de Microsoft.

El tercer ataque implica el acceso a credenciales en texto plano utilizando el token de acceso para enviar una solicitud a un API no documentado y obtener la clave privada RSA necesaria para descifrar la contraseña.

"Tener acceso a credenciales en texto plano es una amenaza grave, ya que permite a los atacantes suplantar a usuarios legítimos y acceder sin restricciones a sus cuentas, potencialmente llevando a una apropiación total de la cuenta", advirtió Zugec.

¿Qué medidas se pueden tomar para protegerse de estos ataques?

Estos métodos de ataque son solo algunos ejemplos de cómo los hackers pueden explotar Google Workspace y Cloud Platform para llevar a cabo ataques de ransomware, exfiltración de datos y recuperación de contraseñas. Sin embargo, existen algunas medidas que se pueden tomar para protegerse de estos riesgos y mejorar la seguridad de los servicios en la nube.

Algunas de estas medidas son las siguientes:

1. Utilizar contraseñas seguras y únicas para cada cuenta y servicio, y cambiarlas periódicamente.
2. Habilitar la autenticación de dos factores (2FA) o la autenticación multifactor (MFA) para todas las cuentas y servicios que lo permitan, y utilizar aplicaciones o dispositivos de verificación en lugar de mensajes de texto o llamadas telefónicas.
3. Revisar y limitar los permisos y roles de los usuarios y las aplicaciones que acceden a los servicios en la nube, y aplicar el principio de mínimo privilegio.
4. Monitorizar y auditar la actividad y el comportamiento de los usuarios y las aplicaciones que acceden a los servicios en la nube, y establecer alertas y respuestas ante posibles anomalías o incidentes.
5. Actualizar y parchear regularmente los sistemas operativos, las aplicaciones y los dispositivos que se conectan a los servicios en la nube, y utilizar soluciones de seguridad como antivirus, firewall y VPN.
6. Realizar copias de seguridad periódicas de los datos almacenados en los servicios en la nube, y almacenarlas en un lugar seguro y separado de la fuente original.
7. Capacitar y concienciar a los empleados y colaboradores sobre los riesgos y las buenas prácticas de seguridad en la nube, y establecer políticas y protocolos claros y estrictos al respecto.

Te podrá interesar:  Concientización: Esencial en la Ciberseguridad de tu Empresa

Google Workspace y Cloud Platform son servicios en la nube muy útiles y beneficiosos para las empresas, pero también pueden ser vulnerables a los ataques de los hackers si no se toman las medidas adecuadas de seguridad.