El equipo de inteligencia de amenazas de Amazon detectó una campaña de ciberataques sostenida durante al menos cinco años que tuvo como objetivo a usuarios de la infraestructura de Amazon Web Services en países de Occidente. La investigación, que sigue abierta, vincula los ataques con Sandworm, un grupo ligado a piratas informáticos que actúan bajo la órbita de la agencia de inteligencia militar GRU de Rusia.

Según CJ Moses, actual director de seguridad de la información de Amazon Integrated Security, se trata de "una evolución significativa en la focalización de infraestructuras críticas". Moses trabajó anteriormente como analista técnico de intrusiones informáticas y de red en la División Cibernética del FBI.

El 15 de diciembre se difundió un informe con los primeros hallazgos. Allí se aclaró que los ataques no aprovecharon fallas de software. “Lo que parecen ser dispositivos periféricos de la red del cliente mal configurados se convirtieron en el principal vector de acceso inicial”, explicó el vocero.

Los ataques, prolongados en el tiempo, afectaron a dispositivos alojados en la infraestructura de Amazon sin necesidad de aprovechar vulnerabilidades conocidas ni de aplicar parches para ingresar.

Moses comparó la situación con instalar cerraduras costosas y seguras en la puerta principal, pero dejar una ventana del piso superior abierta con una escalera a mano. Señaló que, aunque se apliquen todos los parches disponibles, si los dispositivos quedan mal configurados, los sistemas siguen expuestos.

Los atacantes, incluso los más sofisticados como los grupos de amenazas persistentes avanzadas respaldados por el Estado ruso, eligen el camino más sencillo antes que explotar vulnerabilidades. Con eso disminuyen su exposición. “Esta adaptación táctica permite los mismos resultados operativos: la recolección de credenciales y el acceso lateral a los servicios e infraestructura online de las organizaciones víctimas”, explicó el vocero.

Según CJ Moses, la operación de piratería impulsada por Rusia comenzó al menos en 2021 y tuvo como blanco infraestructura en varias regiones, con especial interés en el sector energético de América del Norte y Europa. Confirmó que los atacantes lograron comprometer infraestructura dentro de AWS, y agregó que la telemetría de Amazon identificó "operaciones coordinadas contra dispositivos de borde de la red del cliente alojados en AWS".

Aclaró que el inconveniente no está vinculado a fallas en los servicios de Amazon, sino a dispositivos que fueron mal configurados por los propios clientes.

"Esta tendencia se debe a la practicidad, ya que los dispositivos de borde de red mal configurados, las interfaces de administración expuestas y las identidades excesivamente permisivas proporcionan puntos de entrada fiables y de bajo coste que pueden permanecer desapercibidos durante largos periodos", advirtió Chrissa Constantine, arquitecta sénior de soluciones de ciberseguridad en Black Duck.

Este tipo de maniobras, remarcó, es intencional y no implica que los atacantes hayan perdido capacidad para llevar adelante ataques de día cero. "El abuso de configuraciones incorrectas se integra a la perfección con la actividad administrativa legítima", concluyó Constantine, "lo que dificulta considerablemente la detección y la atribución".

Mitigación de los ataques de hackers rusos a Amazon

Moses afirmó que "Amazon mantiene su compromiso de ayudar a proteger a los clientes y al ecosistema de internet en general mediante la investigación activa y la interrupción de los agentes de amenazas sofisticados", y recomendó a las organizaciones aplicar las siguientes medidas en 2026:

• Auditoría de dispositivos en los bordes de la red
• Detección de intentos de uso indebido de credenciales
• Monitoreo de accesos
• Revisión de indicadores de compromiso

Respecto a la protección en AWS, Amazon sugirió gestionar el acceso a través de la federación de identidades con un proveedor externo, definir reglas mínimas para los grupos de seguridad y utilizar Amazon Inspector, una herramienta que detecta y analiza de forma automática las instancias de Amazon EC2 para identificar vulnerabilidades de software y exposiciones no deseadas en la red.

Que 2026 no se convierta en una puerta abierta para los atacantes. Estás advertido.

Con información de Forbes US.