¿Cuántos archivos están expuestos en estos buckets de almacenamiento en la nube abiertos?

Actualmente hay 19.600 millones de archivos accesibles abiertamente en internet, repartidos en más de 535.000 buckets de almacenamiento en la nube mal configurados.

¿Qué hace que los archivos de credenciales y claves sean el tipo de datos expuestos más peligroso?

Estos archivos suelen contener claves de API, contraseñas y tokens de acceso que permiten a los atacantes autenticarse directamente en sistemas protegidos sin necesidad de hackeo sofisticado, pudiendo otorgar acceso a bases de datos, infraestructura en la nube y redes internas.

¿Por qué son accesibles públicamente estos buckets de almacenamiento en primer lugar?

Quedan abiertos debido a configuraciones incorrectas del almacenamiento en la nube, a menudo por ajustes por defecto, despliegues apresurados o falta de conocimiento en seguridad cloud, y es posible que las organizaciones responsables ni siquiera sepan que sus datos están expuestos.

¿Qué otro tipo de datos sensibles, además de las credenciales, se destacó como un riesgo grave en el informe?

Se señalaron los volcados de bases de datos como un riesgo distinto pero igualmente grave, ya que a menudo contienen registros de usuarios, contraseñas, información personal y datos de transacciones.

¿Ha ocurrido recientemente una exposición a gran escala similar por una sola mala configuración?

Sí, recientemente un panel de análisis mal configurado en FTF Live expuso más de 22 millones de registros de sesiones de videochat, demostrando cómo un solo descuido puede filtrar volúmenes masivos de datos sensibles.

19.600 millones de archivos expuestos en 535.000 buckets de nube abiertos

Un nuevo informe de Mysterium VPN ha puesto una cifra asombrosa a un problema sobre el que los investigadores de seguridad llevan años advirtiendo: 19.600 millones de archivos se encuentran actualmente accesibles en internet, almacenados en más de 535.000 buckets de almacenamiento en la nube mal configurados que no requieren contraseña, autenticación ni habilidad de hackeo para acceder a ellos. Entre esos archivos hay casi 700.000 archivos de credenciales y claves que podrían dar a un atacante acceso directo a sistemas en producción, bases de datos e infraestructura interna.

No se trata de una filtración en el sentido tradicional. Nadie tuvo que explotar una vulnerabilidad ni interceptar tráfico de red. Los datos simplemente están abiertos, como consecuencia de configuraciones de almacenamiento en la nube incorrectas y que así se dejaron.

Escala de la exposición: 19.600 millones de archivos, cero contraseñas

El simple volumen de datos expuestos es difícil de contextualizar. Con 19.600 millones de archivos repartidos en más de medio millón de buckets de almacenamiento, este es uno de los mayores casos documentados de exposición por mala configuración de almacenamiento en la nube jamás catalogados. Estos buckets abarcan plataformas cloud donde organizaciones de todos los tamaños, desde desarrolladores independientes hasta grandes empresas, almacenan datos de aplicaciones, copias de seguridad, registros y documentos sensibles.

El almacenamiento en la nube mal configurado no es un problema nuevo, pero la escala reportada aquí sugiere que está lejos de estar resuelto. Las configuraciones por defecto, los despliegues apresurados y las lagunas en el conocimiento de seguridad en la nube contribuyen a que los buckets queden con acceso de lectura público. En muchos casos, las organizaciones responsables quizás ni siquiera sepan que sus datos están expuestos.

Esto refleja patrones observados en otros incidentes de alto perfil. Recientemente, un panel de análisis mal configurado en FTF Live dejó más de 22 millones de registros de sesiones de videochat abiertamente accesibles, ilustrando cómo un solo descuido en la infraestructura puede exponer datos sensibles a una escala masiva sin que se produzca ningún ataque activo.

Por qué los archivos de credenciales y claves son la fuga más peligrosa

De los 19.600 millones de archivos expuestos, los casi 700.000 archivos de credenciales y claves representan la categoría de mayor riesgo por un amplio margen. Estos archivos suelen contener claves de API, contraseñas de bases de datos, claves criptográficas privadas, credenciales SSH y tokens de acceso a proveedores de nube.

Cuando un atacante encuentra un archivo de credenciales en un bucket abierto, lo siguiente que tiene que hacer no requiere ninguna sofisticación técnica. Puede tomar esas credenciales y autenticarse directamente en los sistemas que protegen. Eso podría significar acceso de lectura y escritura a una base de datos en producción, la capacidad de aprovisionar infraestructura en la nube con la cuenta de otra persona, o la entrada a sistemas internos que de otro modo estarían completamente fuera de su alcance.

Los volcados de bases de datos presentan un riesgo distinto pero igualmente grave. Estos archivos suelen contener registros de usuarios, contraseñas en texto plano o cifradas, información personal y datos de transacciones. Un volcado de base de datos de un proveedor de salud, una plataforma financiera o un sitio de comercio electrónico puede contener todo lo que un atacante necesita para el robo de identidad, la apropiación de cuentas o la extorsión.

Cómo las malas configuraciones en la nube eluden incluso redes protegidas por VPN

Uno de los aspectos más contraintuitivos de este tipo de exposición es que esquiva muchos de los controles de seguridad en los que confían las organizaciones. Las VPN, los cortafuegos y los controles de acceso a la red están diseñados para proteger el tráfico que se mueve entre sistemas. Pero cuando los datos se almacenan en un bucket público en la nube, no están viajando en absoluto por esas redes protegidas. Están en una ubicación a la que cualquiera con conexión a internet puede llegar.

Esto significa que un atacante en otro país, sin acceso a la red corporativa y sin capacidad de eludir un cortafuegos, puede de todos modos recuperar el contenido de un bucket expuesto simplemente navegando directamente a su URL pública. Los datos existen efectivamente fuera del perímetro que la mayoría de las herramientas de seguridad organizacional están diseñadas para defender.

Por eso, la exposición por almacenamiento en la nube mal configurado se ha convertido en una de las vías más eficientes para que los actores de amenazas recopilen datos. No hay ataque que detectar, ni tráfico inusual que señalar, ni intrusión que investigar. Desde la perspectiva de la infraestructura, alguien que lee un bucket abierto tiene un aspecto idéntico al tráfico rutinario.

Lo que las organizaciones y los individuos pueden hacer ahora

Para las organizaciones que gestionan almacenamiento en la nube, el paso más urgente es una auditoría de permisos. Se debe revisar cada bucket para confirmar que no tenga acceso público, a menos que exista una razón deliberada y documentada para ello. Los principales proveedores de nube, como AWS, Google Cloud y Azure, ofrecen herramientas para identificar buckets con controles de acceso demasiado permisivos, y algunos ya proporcionan configuraciones a nivel de cuenta para bloquear todo acceso público por defecto.

Más allá de los permisos, la higiene de credenciales es enormemente importante. Los archivos de credenciales y claves nunca deben almacenarse en buckets de almacenamiento en la nube bajo ninguna circunstancia. Existen herramientas de gestión de secretos diseñadas específicamente para manejar claves de API, tokens y credenciales de forma segura, manteniéndolas completamente fuera del almacenamiento de archivos.

Para los individuos, el riesgo tiene menos que ver con lo que usted controla y más con lo que controlan las organizaciones que poseen sus datos. Las medidas prácticas son conocidas: utilice contraseñas únicas y robustas para cada cuenta, de modo que un volcado de credenciales de un servicio no pueda desbloquear otros; active la autenticación multifactor siempre que se ofrezca; y supervise sus cuentas en busca de actividad inusual.

Los hallazgos de Mysterium VPN son un recordatorio de que algunos de los riesgos más significativos para la seguridad de los datos no implican ataques sofisticados en absoluto. Implican descuidos administrativos ordinarios que permanecen sin revisar durante meses o años. Auditar la higiene del almacenamiento en la nube no es un trabajo glamuroso, pero a la escala que describe este informe, es uno de los trabajos de seguridad más trascendentales que una organización puede hacer en este momento.