¿Hackearon tu cuenta de AWS? Guía a fondo para detectarla y protegerla

Si sospechas que tu cuenta de AWS fue vulnerada, estos son algunos pasos que puedes seguir para investigar:

1. Revisa el uso inesperado de recursos: monitorea tus recursos de AWS y los patrones de uso. Un pico repentino en la transferencia de datos o un aumento inusual de operaciones pueden ser señal de un problema. AWS ofrece herramientas como AWS Trusted Advisor y AWS Cost Explorer para ayudarte a hacer ese seguimiento.
2. Revisa tu factura: un pico repentino en tu factura de AWS puede indicar un uso no autorizado de recursos. Revisa la factura en busca de cambios significativos y verifica los cargos por servicio en tu dashboard de billing. Desde el dashboard de Billing puedes examinar los cargos por servicio e identificar cualquier variación relevante que apunte a un uso no autorizado.
3. IAM Access Analyzer: apóyate en AWS IAM Access Analyzer para analizar la actividad de los usuarios IAM. Elimina los usuarios IAM que ya no se usan y revisa los roles IAM compartidos con entidades externas. Presta atención a las fechas de cambio de contraseña para mantener una buena higiene de seguridad.
4. IAM Credential Report: revisa con regularidad el IAM Credential Report en busca de nuevos usuarios, contraseñas modificadas y fechas/horas de último uso. Identifica cualquier actividad inesperada y actúa de inmediato para corregirla e investigar a fondo.
5. Revisa CloudTrail: para investigar una posible vulneración de tu cuenta de AWS, usa AWS CloudTrail. Registra la actividad del entorno de AWS y conserva los logs durante 30 días. La búsqueda por defecto muestra los eventos que no son de solo lectura, es decir, las acciones que modificaron tus recursos. Busca inicios de sesión inusuales, eventos inesperados de "assume role", actividad de reconocimiento (como llamadas a la API poco habituales) y otros comportamientos anómalos. Examina tus logs de AWS CloudTrail en busca de accesos no autorizados o actividad inusual en la API. AWS registra cada inicio de sesión en la AWS Management Console; revisa esos logs y descarta los inicios que no reconozcas. Presta atención a los eventos en horarios inusuales o desde direcciones IP desconocidas. Conocer tus patrones de uso habituales te ayudará a detectar anomalías que podrían indicar una vulneración.
6. Examina las políticas y roles de IAM:

Revisa tus políticas y roles de IAM para confirmar que no hayan sido modificados. Cualquier cambio inesperado puede ser señal de que un atacante obtuvo acceso a tu cuenta. 7. Revisa AWS Security Hub:

AWS Security Hub te ofrece una visión completa de tus alertas y de tu postura de seguridad en todas tus cuentas de AWS, y te ayuda a identificar posibles problemas de seguridad.

Una vez terminada la investigación, es momento de asegurar tu cuenta. Estos son algunos pasos a seguir:

1. Define un Plan de Respuesta a Incidentes: desarrolla y actualiza con regularidad un plan de respuesta a incidentes específico para AWS. Asegúrate de que tu equipo esté preparado para reaccionar rápido ante cualquier posible incidente de seguridad y apóyate en AWS Support cuando sea necesario.

2. Cambia la contraseña del usuario root de la cuenta de AWS: es un primer paso clave para proteger tu cuenta. Cámbiala de inmediato para reforzar la seguridad y evitar accesos no autorizados.

3. Rota y elimina las access keys: rota y elimina periódicamente tanto las access keys del root como las de IAM para reducir el riesgo de accesos no autorizados con credenciales comprometidas.

4. Elimina los recursos no deseados: revisa y elimina con regularidad los recursos que no creaste para reducir la superficie de ataque y los posibles puntos de vulneración.

5. Revoca las sesiones activas: Revocar credenciales temporales de seguridad de roles IAM. Asegúrate de revocar todas las sesiones activas para invalidar las credenciales temporales de sesiones anteriores. Este paso es clave para impedir accesos no autorizados.

6. Crea un alias de cuenta: personaliza tu ID de cuenta con un alias para mejorar la seguridad y facilitar el uso. Evita mostrar tu ID de cuenta públicamente y comparte el enlace con el alias de cuenta para acceder.

7. Activa la autenticación multifactor (MFA): implementa MFA en todas las cuentas para sumar una capa adicional de seguridad. Al iniciar sesión, los usuarios deben recibir el desafío de MFA, lo que refuerza la autenticación.

8. Política de contraseñas: define una política de contraseñas robusta, que exija al menos 10 caracteres, expiración cada 90 días e impida reutilizar contraseñas anteriores.

9. Configura alarmas en AWS CloudWatch: AWS CloudWatch te permite configurar alarmas para eventos o umbrales específicos. Define alarmas para actividades que puedan indicar una vulneración, como múltiples intentos fallidos de inicio de sesión o cambios en la configuración de los security groups.

10. Alertas de billing y AWS Cost Anomaly Detection: configura presupuestos y alertas de billing para monitorear y controlar el gasto. Activa también AWS Cost Anomaly Detection para identificar gastos inesperados o anómalos mediante machine learning.

11. Crea una cuenta de administrador IAM: evita usar la cuenta root para tareas cotidianas. En su lugar, crea una cuenta IAM con privilegios administrativos y deja la cuenta root resguardada de forma segura.

12. Habilita AWS GuardDuty:

    AWS GuardDuty es un servicio de detección de amenazas que monitorea de forma continua comportamientos maliciosos o no autorizados. Te ayuda a detectar llamadas a la API inusuales o despliegues potencialmente no autorizados que apunten a una cuenta comprometida.

13. IAM Policy Validator para AWS CloudFormation. Esta herramienta open-source de línea de comandos, también conocida como cfn-policy-validator, analiza las políticas IAM dentro de un template de CloudFormation usando IAM Access Analyzer.

    Está diseñada para integrarse sin fricciones en tu pipeline de CI/CD y detener el despliegue si detecta un problema en las políticas IAM.

    Al sumarla a tu estrategia de seguridad, te aseguras de que cualquier cambio en las políticas IAM se valide a fondo antes del despliegue, lo que mejora notablemente la seguridad de tu cuenta de AWS.

14. Usa AWS Config Rules: AWS Config te permite definir reglas para hacer cumplir estándares de seguridad y de cumplimiento. Crea reglas personalizadas que monitoreen actividades específicas asociadas a una posible vulneración, como cambios en la configuración de red o la creación de nuevos usuarios IAM.

15. Activa los VPC Flow Logs: los Flow Logs de Virtual Private Cloud (VPC) capturan información sobre el tráfico que entra y sale de tu VPC. Analízalos para detectar patrones inusuales, como tráfico hacia direcciones IP desconocidas o picos inesperados en la transferencia de datos.

16. Escanea vulnerabilidades con regularidad: realiza evaluaciones periódicas de vulnerabilidades sobre tus recursos de AWS con herramientas como AWS Inspector o soluciones de terceros. Atiende rápido cualquier vulnerabilidad detectada para reducir el riesgo de que sea aprovechada por actores maliciosos.

Este artículo es un repaso rápido de cómo asegurar tu cuenta de AWS. Pero recuerda: la seguridad no es algo que se hace una sola vez.

En DoiT International, nuestros expertos en seguridad de AWS ofrecen una evaluación integral de la postura de seguridad en AWS, que profundiza en toda tu organización. Se basa en las mejores prácticas de la industria e implica ejecutar cerca de 300 verificaciones sobre tus recursos de AWS para garantizar configuraciones óptimas. Nos apoyamos en 27 de los principales benchmarks de seguridad del mercado para ofrecer una evaluación rigurosa y a fondo.

Nuestro objetivo es ayudarte a identificar posibles vulnerabilidades y entregarte recomendaciones accionables para mejorar tu postura de seguridad en AWS. Confía en la experiencia de nuestros profesionales de seguridad de AWS para mantener al máximo nivel la protección de tu entorno.

Si quieres saber más o te interesan nuestros servicios, no dudes en escribirnos. Puedes contactarnos aquí.