(https://i.postimg.cc/tgb97NBm/Security-Cloud.png) (https://postimg.cc/9DL6nZ5G)
Los hackers están explotando cada vez más las vulnerabilidades recién reveladas en software de terceros para obtener acceso inicial a entornos en la nube, reduciéndose la ventana de oportunidad para los ataques de semanas a tan solo unos días.
Al mismo tiempo, el uso de credenciales débiles o configuraciones erróneas ha disminuido significativamente en la segunda mitad de 2025, según señala Google en un informe que destaca las tendencias de amenazas para los usuarios de la nube.
Según el informe, los equipos de respuesta a incidentes determinaron que la explotación de fallos de software fue el principal vector de acceso en el 44,5 % de las intrusiones investigadas, mientras que las credenciales fueron responsables del 27 % de las brechas de seguridad.
Método de acceso inicial
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/IAshare.jpg)
El tipo de vulnerabilidad explotada con mayor frecuencia en los ataques es la ejecución remota de código (RCE); entre los casos más destacados se encuentran React2Shell ( CVE-2025-55182 ) y la vulnerabilidad en XWiki, registrada como CVE-2025-24893, la cual fue aprovechada en ataques de la botnet RondoDox.
Google considera que este cambio de enfoque se debió, probablemente, al incremento de las medidas de seguridad aplicadas a las cuentas y credenciales.
«Evaluamos que este cambio en el comportamiento de los actores de amenazas se debe, potencialmente, a la estrategia de "seguridad por defecto" de Google y a las protecciones de credenciales reforzadas, las cuales han logrado cerrar eficazmente las vías tradicionales —más fáciles de explotar—, elevando así la barrera de entrada para dichos actores», afirma Google.
La ventana de explotación se ha reducido drásticamente, pasando de semanas a apenas unos días; Google ha observado la implementación de mineros de criptomonedas en un plazo de 48 horas tras la divulgación de una vulnerabilidad, lo que indica que los hackers están sumamente preparados para convertir las nuevas fallas en armas e integrarlas en sus flujos de ataque.
Tanto los actores patrocinados por el Estado como los hackers con motivaciones financieras aprovecharon, en su mayoría, identidades comprometidas —mediante phishing y vishing, suplantando al personal de soporte técnico de TI— para obtener acceso a la plataforma en la nube de la organización objetivo.
En la mayoría de los ataques investigados, el objetivo del actor consistía en la exfiltración silenciosa de grandes volúmenes de datos, sin recurrir a la extorsión inmediata, y en lograr una persistencia a largo plazo.
Objetivos aparentes del ataque a la nube
(https://www.bleepstatic.com/images/news/u/1220909/2026/March/objectives.jpg)
Google destaca algunas campañas de espionaje llevadas a cabo por actores vinculados a Irán y China, quienes mantuvieron acceso al entorno de las víctimas durante un periodo muy superior al año y medio.
Durante más de dos años, el actor de amenazas UNC1549 —vinculado a Irán— tuvo acceso a un entorno objetivo utilizando credenciales de VPN robadas y el malware MiniBike. Esto permitió a los hackers sustraer de la víctima cerca de un terabyte de datos propietarios.
En otro ejemplo, el actor UNC5221 —patrocinado por China— utilizó el malware BrickStorm para mantener el acceso a los servidores VMware vCenter de una víctima durante al menos 18 meses y robar código fuente.
Hackers norcoreanos roban millones
Google atribuye el 3% de las intrusiones analizadas en el segundo semestre de 2025 a trabajadores informáticos norcoreanos ( UNC5267 ) que utilizan identidades fraudulentas para conseguir empleo y generar ingresos para el gobierno.
Otro actor de amenazas norcoreano, rastreado como UNC4899, comprometió entornos en la nube específicamente para robar activos digitales. En un caso, UNC4899 robó millones de dólares estadounidenses en criptomonedas tras engañar a un desarrollador para que descargara un archivo malicioso bajo el pretexto de una colaboración en un proyecto de código abierto.
Posteriormente, el desarrollador utilizó el servicio Airdrop para transferir el archivo desde su computadora personal a su estación de trabajo corporativa y abrirlo en un entorno de desarrollo integrado (IDE) asistido por inteligencia artificial.
Dentro del archivo se encontraba código malicioso en Python que desplegó un binario que se hacía pasar por una herramienta de línea de comandos de Kubernetes.
"El binario envió señales de comunicación a dominios controlados por UNC4899 y sirvió como puerta trasera, otorgando a los actores de amenazas acceso a la estación de trabajo de la víctima y, de hecho, estableciendo un punto de apoyo dentro de la red corporativa", señaló Google.
En las etapas siguientes, UNC4899 pivotó hacia el entorno en la nube y llevó a cabo actividades de reconocimiento, las cuales incluyeron la exploración de *pods* específicos dentro del clúster de Kubernetes; asimismo, estableció persistencia y "obtuvo un *token* para una cuenta de servicio de CI/CD con altos privilegios".
Esto les permitió moverse lateralmente hacia sistemas más sensibles, como un *pod* encargado de aplicar las políticas de red, lo que a su vez les permitió escapar del contenedor e implantar una puerta trasera.
Tras realizar un reconocimiento adicional, UNC4899 accedió a un sistema que gestionaba información de clientes (identidades, seguridad de cuentas, datos de billeteras de criptomonedas) y que alojaba credenciales de bases de datos almacenadas de forma insegura.
Estos datos resultaron suficientes para que el actor de amenazas comprometiera cuentas de usuario y robara varios millones de dólares en criptomonedas.
Abuso de OpenID Connect
En un ataque que aprovechó el nombre de un paquete npm comprometido llamado QuietVault, el atacante robó el token de GitHub de un desarrollador y lo utilizó para crear una nueva cuenta de administrador en el entorno de la nube, abusando de la relación de confianza OpenID Connect (OIDC) establecida entre GitHub y AWS.
En tan solo tres días desde el compromiso inicial, QuietVault obtuvo las claves de API de GitHub y npm del desarrollador aprovechando *prompts* de IA mediante herramientas locales de interfaz de línea de comandos (CLI) con IA; asimismo, abusó de la canalización de CI/CD para obtener las claves de API de AWS de la organización, robó datos del almacenamiento S3 y, posteriormente, los destruyó tanto en los entornos de producción como en los de la nube.
El incidente formó parte del ataque a la cadena de suministro denominado "s1ngularity", ocurrido en agosto de 2025, cuando un atacante publicó paquetes npm comprometidos del sistema de compilación de código abierto y herramienta de gestión de monorepositorios Nx.
Durante el ataque, se expuso información confidencial (tokens de GitHub, claves SSH, archivos de configuración y tokens de npm) perteneciente a 2.180 cuentas y 7.200 repositorios, después de que el actor de la amenaza la filtrara en repositorios públicos de GitHub que incluían el nombre "s1ngularity".
Amenazas internas maliciosas: el uso de servicios en la nube
Aunque el correo electrónico y los dispositivos de almacenamiento portátil han sido tradicionalmente los medios principales para la exfiltración de datos, los investigadores han observado que las amenazas internas recurren cada vez más a servicios como Amazon Web Services (AWS), Google Cloud, Microsoft Azure, Google Drive, Apple iCloud, Dropbox y Microsoft OneDrive.
Esta conclusión surge tras el análisis de 1.002 incidentes de robo de datos por parte de personal interno, el cual reveló que 771 de estos casos ocurrieron mientras el empleado seguía vinculado a la empresa, y 255 sucedieron una vez finalizada su relación laboral.
Google señala que esta amenaza es lo suficientemente significativa como para que las empresas implementen mecanismos de protección de datos que contrarresten tanto las amenazas internas como las externas. Un empleado, contratista o consultor puede, en ocasiones, traicionar la confianza depositada y terminar sustrayendo datos corporativos.
El gigante tecnológico afirma que el análisis de tendencias indica que los servicios en la nube pronto sustituirán al correo electrónico como método preferido para la exfiltración de información.
Asimismo, los investigadores informan que, en un número creciente de casos, los atacantes eliminan las copias de seguridad, borran los archivos de registro (*logs*) y destruyen los artefactos forenses con el fin de dificultar la recuperación de pruebas y datos. Google subraya que la velocidad de los ataques en la nube es ahora demasiado elevada para los esquemas de respuesta manual; en ocasiones, esto resulta en el despliegue de la carga maliciosa en el plazo de una hora tras la creación de una nueva instancia, lo que hace urgente la implementación de una respuesta automatizada ante incidentes.
En cuanto a las tendencias que podrían moldear la seguridad en la nube este año, Google prevé un aumento en la actividad de amenazas, dado que los conflictos geopolíticos, la Copa Mundial de la FIFA y las elecciones de mitad de mandato en Estados Unidos actuarán como imanes para las operaciones maliciosas.
Fuente:
BleepingComputer
https://www.bleepingcomputer.com/news/security/google-cloud-attacks-exploit-flaws-more-than-weak-credentials/