Un reporte publicado por la entidad dependiente de la ANCI, advirtió sobre una operación activa que utiliza credenciales válidas para tomar control de entornos cloud, escalar privilegios y abusar de servicios legítimos como Amazon SES.
La Agencia Nacional de Ciberseguridad (ANCI), a través del Equipo Nacional de Respuesta ante Incidentes (CSIRT Nacional), emitió el pasado jueves 2 de abril, una alerta tras detectar una campaña activa orientada al compromiso de cuentas de Amazon Web Services (AWS), una amenaza que ya está siendo observada en distintos entornos y que podría afectar la continuidad operativa de organizaciones en el país.
De acuerdo con el informe AIA26-00097, la operación detectada se basa en el uso de accesos válidos previamente obtenidos por los atacantes, lo que les permite ingresar a las cuentas sin necesidad de explotar vulnerabilidades propias de la plataforma. El reporte de la entidad pone énfasis en que el problema no radica en fallas de AWS, sino en la exposición o mala gestión de credenciales por parte de los usuarios al señalar que “se trata de una modalidad orientada al abuso de cuentas AWS comprometidas, basada principalmente en debilidades de gestión de identidades y accesos, más que en vulnerabilidades propias de la plataforma”.
El reporte indica que se “identificaron incidentes”, sin mencionar si se tratan de organismos de la administración pública del Estado o privados, o si algunos pertenecen a las categorías de Operadores de Importancia Vital (OIV) o a Prestadores de Servicios Esenciales (PSE).
El informe tampoco da cuenta de eventuales impactos y alcances de estos incidentes, pero se desprende de la publicación oficial que en los “casos observados” hubo acceso ilícito y se realizar acciones no autorizadas al describir que “una vez dentro del entorno, los actores crearon usuarios no autorizados o nuevas llaves de acceso, revisaron configuraciones de la cuenta y utilizaron Amazon Simple Email Service (SES) para el envío masivo de correos no autorizados”.
El reporte indica que una vez dentro de los entornos cloud, los actores maliciosos ejecutaron una serie de acciones orientadas a consolidar su presencia. Entre ellas, la modificación de identidades en el sistema IAM (Identity and Access Management), la creación de nuevos usuarios no autorizados y la generación de llaves de acceso adicionales para mantener persistencia.
El objetivo final de la campaña es el abuso de servicios legítimos, particularmente Amazon Simple Email Service (SES), el cual es utilizado para el envío masivo de correos electrónicos no autorizados. Esta práctica no solo permite amplificar campañas de spam o phishing, sino que también puede derivar en consecuencias operativas para las organizaciones afectadas, como la suspensión temporal del servicio por parte del proveedor.
El análisis del CSIRT también identificó patrones que refuerzan la hipótesis de un actor oportunista, que busca maximizar el uso de recursos comprometidos en el menor tiempo posible. Entre estos indicadores destacan accesos desde direcciones IP extranjeras, uso de regiones AWS que no corresponden a la operación habitual de las organizaciones y actividades orientadas al reconocimiento de permisos y configuraciones internas.
En cuanto al origen del compromiso, el informe plantea múltiples posibles vectores de entrada, incluyendo phishing, reutilización de contraseñas, exposición de credenciales en repositorios públicos, filtraciones desde terceros o incluso el compromiso previo de equipos con acceso administrativo.
Desde la ANCI advirtieron que este tipo de incidentes representa un riesgo relevante no solo en términos de seguridad, sino también para la reputación institucional y la continuidad de los servicios digitales. En ese sentido, recalcaron que “no se trata de una vulnerabilidad específica de AWS”, sino de debilidades en prácticas internas de seguridad, especialmente en la administración de identidades y privilegios.
El informe también detalla diversas tácticas observadas en la campaña, alineadas con el framework MITRE ATT&CK, como el uso de credenciales válidas, escalamiento de privilegios, descubrimiento de recursos y utilización de proxies o VPN para ocultar el origen de la actividad maliciosa.
Frente a este escenario, el CSIRT entregó una serie de recomendaciones para mitigar el riesgo. Entre las principales medidas se encuentran la implementación obligatoria de autenticación multifactor (MFA) en cuentas con acceso a AWS, la revisión periódica de usuarios, roles y llaves de acceso, la restricción de privilegios elevados y la monitorización de eventos críticos mediante herramientas como AWS CloudTrail.
Asimismo, el reporte sugiere a las organizaciones auditar el uso de servicios como SES en todas las regiones habilitadas, investigar posibles exposiciones previas de credenciales y, ante cualquier indicio de compromiso, revocar accesos, rotar claves y realizar análisis forenses completos del entorno.