Brecha en Cloudflare

Cloudflare es un famoso proveedor de servicios de infraestructura web, ya sea por sus servicios de DNS, CDN o WAF entre otros, es muy reconocido a nivel mundial.

Hace unos días se hacían eco la mayoría de medios especializados y RRSS, sobre la brecha de seguridad que había sufrido, aunque esta no ha tenido lugar recientemente, sino que presuntamente sucedió durante el mes de noviembre del pasado año, adjunto información de lo supuestamente ha ocurrido y el alcance que ha tenido dicho incidente.

Este tipo de casos ya se está convirtiendo en algo bastante habitual, a que me refiero con esto, pues que los ataques y exfiltraciones de datos de ataques anteriores suelen dar origen a nuevos ataques y nuevas brechas de seguridad, si la intrusión en Okta una compañía que principalmente ofrece servicios de autenticación a más de 15 mil empresas y organizaciones en todo el mundo no fue suficientemente sonado, un mes después y utilizando datos (tokens) exfiltrados en la brecha de Okta se utilizan para atacar Cloudflare, con esto se ha accedido según se informa al menos 200 repositorios de código y según la investigación de Cloudflare a una exfiltración de datos de al menos 76 de ellos.

————————————————————————————————————————————–

Caso Okta en detalle: https://es.wired.com/articulos/hackeo-a-okta-expone-problema-sistematico-en-industria-de-verificacion-de-identidad-online

—————————————————————————————————————————————

En este caso Cloudflare ha tomado las medidas que ha creído oportunas a posteriori y que no cuestiono, lo que si cuestiono son las medidas preventivas y creo que tenemos que estar más atentos, porque muchas veces a no ser que recibamos una notificación explicita por parte del proveedor indicando que hemos sido afectados por la brecha, no tomamos nuestras propias precauciones y en algunos casos según donde llegue esa notificación tampoco tiene un efecto inmediato o la reacción adecuada porque no se llega a entender el alcance de lo que nos están informando, en organizaciones pequeñas puede pasar por falta de conocimiento y en organizaciones medianas y grandes, a veces por falta de conocimiento y a veces por tramites burocráticos.

Volvemos a tratar un tema que hay que tener mucho más en consideración y es algo que se lleva hablando ya desde hace mucho tiempo, se trata de la seguridad en nuestra cadena de suministro, nuestros proveedores de servicios sean de hardware o de software, cloud, etc. si tienen algún tipo de brecha, como se esta demostrando nos debería hacer plantearnos primero de todo que relación tenemos con ellos, habría que tener bien inventariada que información tienen de nosotros y/o estamos dejando como parte del servicio que nos prestan (lo cual no siempre es fácil y más en los casos de grandes organizaciones), pero es básico para poder seguir adelante y tomar las medidas oportunas, segundo ponerse en el caso peor, quizá en otros tiempos esto no fuera necesario pero la experiencia y la sucesión de acontecimientos similares demuestran que estos ataques no son fruto de la casualidad, son sofisticados y organizados, hasta que punto pues eso seguramente daría para una investigación más exhaustiva.

Retomando el punto anterior sobre ponerse en el caso peor, con lo que ello conlleva, asumir que nuestra información también ha podido ser comprometida, en cuyo caso tomar las medidas establecidas (esto debe estar documentado, fase de preparación ante incidentes y dependerá siempre de lo buena o mala que sea la información que tenemos inventariada) y si no tenemos este tipo de situaciones de riesgo previstas (ya estamos tardando en considerarlas y documentarlas), esos procedimientos dependerán como decía de la información que podamos tener compartida con ese proveedor, pero si se trata de tokens de acceso, creo que la acción a realizar es evidente.

En conclusión y un poco mi reflexión respecto a estas noticias, es que hay que intentar anticiparse a los acontecimientos, reaccionar tarde tiene efectos mucho más negativos y costosos para cualquier organización que reaccionar cuando existe una posibilidad por remota que pueda parecer. A estas alturas y no creo en casualidades, se puede observar que esto es sistemático, una penetración acompañada de una exfiltración, suele llevar a otra y así sucesivamente.