# ¿Por qué los atacantes van tras la nube?

Los atacantes se enfocan en la nube debido a su creciente uso por empresas y organizaciones, lo que la convierte en un blanco atractivo. La nube alberga una gran cantidad de datos sensibles y recursos críticos para el negocio, lo que la hace un objetivo valioso para los ciberdelincuentes. Además, a medida que más empresas adoptan entornos de nube, aumenta la superficie de ataque y, en algunos casos, se presentan vulnerabilidades debido a configuraciones incorrectas o falta de medidas de seguridad adecuadas.

## <mark style="color:orange;">¿Qué pasaría si un ciberdelincuente logra llegar a ser "administrador" en una cuenta de aws?</mark>

Si un ciberdelincuente logra obtener privilegios de administrador en una cuenta de AWS, las consecuencias podrían ser extremadamente graves y variadas, dependiendo de los recursos y la información almacenados y gestionados en esa cuenta. Aquí detallo algunos de los posibles impactos y riesgos:

1. <mark style="color:orange;">**Acceso Completo a los Recursos de AWS**</mark><mark style="color:orange;">:</mark> El delincuente tendría acceso a todos los recursos en la nube de la cuenta comprometida, incluyendo servidores (instancias EC2), bases de datos, almacenamiento (S3), funciones Lambda y otros servicios gestionados por AWS.
2. <mark style="color:orange;">**Exfiltración de Datos Sensibles**</mark><mark style="color:orange;">:</mark> Podría acceder y extraer datos sensibles o confidenciales almacenados en la nube, incluyendo información personal de clientes, datos financieros, propiedad intelectual, etc.
3. <mark style="color:orange;">**Manipulación o Destrucción de Datos y Recursos**</mark><mark style="color:orange;">:</mark> Tendría la capacidad de modificar o eliminar datos críticos, lo que podría resultar en la pérdida de información importante o incluso en la interrupción del negocio.
4. <mark style="color:orange;">**Lanzamiento de Ataques Internos**</mark><mark style="color:orange;">:</mark> Podría utilizar los recursos de la cuenta para lanzar ataques contra otros sistemas internos o externos, lo que incluye la creación de instancias EC2 para ataques de red, el uso de servicios de AWS para alojar malware, etc.
5. <mark style="color:orange;">**Ransomware y Sabotaje**</mark><mark style="color:orange;">:</mark> Podría cifrar datos y sistemas críticos, exigiendo un rescate para su liberación, o simplemente sabotear la infraestructura de TI de la organización.
6. <mark style="color:orange;">**Creación de Backdoors y Persistencia**</mark><mark style="color:orange;">:</mark> Podría establecer backdoors para mantener el acceso a la cuenta incluso después de que la intrusión inicial haya sido detectada y aparentemente resuelta.
7. <mark style="color:orange;">**Costos Financieros**</mark><mark style="color:orange;">:</mark> Podría incurrir en costos significativos mediante el uso excesivo de recursos de AWS, como el lanzamiento de grandes cantidades de instancias EC2 o el uso intensivo de servicios de ancho de banda.
8. <mark style="color:orange;">**Reputación y Cumplimiento Normativo**</mark><mark style="color:orange;">:</mark> La brecha de seguridad podría tener serias implicaciones para la reputación de la organización y podría resultar en violaciones de normativas de privacidad y protección de datos como GDPR o HIPAA, llevando a multas y litigios.
9. <mark style="color:orange;">**Acceso a Otros Sistemas**</mark><mark style="color:orange;">:</mark> Si AWS se utiliza para la gestión de identidades o como parte de un sistema de inicio de sesión único (SSO), el atacante podría potencialmente acceder a otros sistemas y servicios vinculados.

## <mark style="color:orange;">¿Por qué es importante realizar Red Team sobre AWS?</mark>

Realizar Red Team sobre AWS y otros entornos de nube es importante por varias razones. Primero, ayuda a identificar y mitigar vulnerabilidades antes de que los atacantes las exploten. El Red Team simula ataques reales, lo que permite a las organizaciones entender mejor sus debilidades y cómo los atacantes podrían acceder a sus sistemas. Además, este tipo de pruebas fortalece la postura de seguridad de una organización y mejora su capacidad para responder a incidentes reales.

## <mark style="color:orange;">**Noticias reales sobre ataques a cloud:**</mark>

En cuanto a noticias recientes sobre ataques a empresas relacionadas con la nube, se ha informado que los ataques dirigidos a la nube han aumentado significativamente. Según un informe de CrowdStrike, los ataques a la nube crecieron un 95% durante 2022, con la aparición de 33 nuevos grupos delictivos y una reducción en el tiempo promedio que un actor malicioso necesita para acceder a un sistema. Además, se ha observado un cambio en los métodos de ataque, con un aumento de las intrusiones interactivas y el aprovechamiento de vulnerabilidades ya conocidas, como 'Log4Shell', 'ProxyNotShell' y 'Follina'.

Otro informe realizado por Sophos revela que el 57% de las empresas en España han sufrido incidentes de seguridad en la nube pública en los últimos 12 meses, incluyendo ataques de ransomware, malwares y ataques que comprometen cuentas. A nivel global, la cifra de empresas afectadas por incidentes de seguridad en la nube pública es del 70%​.

Un análisis de ITware Latam destaca que el número de ataques a redes basadas en la nube aumentó un 48% en 2022 en comparación con 2021. Se señala que Asia experimentó el mayor aumento en ataques, seguida de Europa y Norteamérica. Además, se resalta la importancia de adoptar medidas de seguridad robustas en la nube, incluyendo la gestión de vulnerabilidades y la protección de datos.

{% content-ref url="../introduccion-a-aws/incidentes-de-seguridad-relacionados-a-aws" %}
[incidentes-de-seguridad-relacionados-a-aws](https://books.spartan-cybersec.com/cpna/introduccion-a-aws/incidentes-de-seguridad-relacionados-a-aws)
{% endcontent-ref %}