«“Es solo para pruebas, nadie lo encontrará”: administradores de las principales empresas tecnológicas regalaron a hackers las claves de acceso a la nube»
Expertos descubren miles de entornos de prueba expuestos en la infraestructura de Cloudflare y F5.
A veces la forma más sencilla de penetrar en una empresa no comienza por una vulnerabilidad compleja en un servicio productivo, sino por un entorno de pruebas que se ha dejado abierto a internet. Los especialistas de Pentera descubrieron que los atacantes aprovechan activamente aplicaciones deliberadamente vulnerables para practicar pentesting y formar en desarrollo seguro cuando esos entornos de prueba quedan accidentalmente accesibles para todo el mundo.
Se trata de herramientas populares como Damn Vulnerable Web Application (DVWA), OWASP Juice Shop, Hackazon y bWAPP. Estas aplicaciones están diseñadas deliberadamente para ser vulnerables, para practicar ataques, realizar auditorías internas y mostrar demostraciones. El problema surge cuando se despliegan en infraestructuras en la nube reales, se asignan permisos amplios y el entorno de pruebas no está aislado del entorno de producción.
Pentera advierte que en ese escenario el entorno de pruebas se convierte en un punto de entrada conveniente. Según los investigadores, errores de configuración y la violación del principio de mínimos privilegios permiten a los atacantes acceder a redes comprometidas y moverse dentro de la infraestructura hasta alcanzar sistemas internos sensibles.
Durante su trabajo, Pentera encontró 1 926 instancias públicamente accesibles de este tipo de aplicaciones 'vulnerables'. La mayoría se ubicaba en AWS, Google Cloud Platform y Microsoft Azure, y las cuentas en la nube con frecuencia tenían permisos IAM excesivos. Del total, se pudieron confirmar 1 626 servidores únicos, y casi el 60 % de ellos operaban en infraestructuras pertenecientes a organizaciones, no a particulares.
La investigación comenzó con una revisión estándar de seguridad en la nube, cuando el investigador senior de Pentera Noam Yaffe detectó una instancia abierta de Hackazon que funcionaba prácticamente en producción. Tras eso, comprobó diez aplicaciones de entrenamiento muy usadas, muchas de las cuales ya tenían vectores conocidos para ejecución remota de código. Yaffe explicó que escribió una herramienta en Python que automatizaba la explotación de vectores conocidos y ayudó a evaluar el riesgo no solo por el hecho de estar accesibles, sino por sus consecuencias reales.
Los resultados, según Pentera, fueron preocupantes. Los investigadores encontraron 109 conjuntos de credenciales, a menudo vinculados a identidades con privilegios excesivos. En algunos casos el acceso permitía leer y modificar datos sensibles, interactuar con registros de contenedores, desplegar o destruir recursos de cómputo e incluso obtener privilegios administrativos en la nube. Yaffe señaló que en varios casos se hallaron secretos activos, incluidos tokens de GitHub, claves de Slack y credenciales de Docker Hub, así como código fuente propietario y datos reales de usuarios. En su opinión, lo que parece un «laboratorio inofensivo» puede conducir directamente a los activos más valiosos de una organización.
Para escalar la búsqueda, Yaffe creó la herramienta de código abierto SigInt. La describe como un marco de recopilación de inteligencia autónomo en Python que usa LLM para huellas de aplicaciones más precisas y para localizar instancias expuestas en internet. Gracias a esto, la investigación abarcó miles de despliegues, y entre los afectados hubo grandes empresas tecnológicas como Cloudflare, F5 y Palo Alto Networks. Según Pentera, fueron notificadas y solucionaron el problema.
Además, los investigadores detectaron señales de explotación activa. De 616 instancias de DVWA encontradas, aproximadamente un 20 % contenían artefactos de actividad maliciosa. Yaffe afirma que no se trató de casos aislados, sino de indicios de una campaña organizada. Entre los hallazgos había el minero XMRig, un script para persistencia en el sistema y un webshell en PHP que se emplea para ejecutar comandos y robar credenciales.
Pentera insta a tratar los entornos de prueba como una superficie de ataque completa. Para reducir el riesgo, las empresas deben mantener un inventario de recursos en la nube, limitar los permisos según el principio de mínimos privilegios, aislar los entornos de prueba de las redes de producción y buscar regularmente los servicios expuestos accidentalmente con los mismos métodos que utilizan los atacantes.
Las conclusiones coinciden con las de los especialistas de Black Duck. Según ellos, DVWA y OWASP Juice Shop son populares porque son gratuitos y aptos para la formación, pero el control sobre esos despliegues suele ser débil. Por eso existe el riesgo de que en las auditorías se interpreten los problemas encontrados como «intencionados por sus autores», cuando en realidad pueden tratarse de actividad maliciosa. Los expertos recomiendan monitorear versiones, mantener compilaciones verificadas dentro de la empresa, cotejar las vulnerabilidades con la documentación de los creadores y ejecutar esas aplicaciones solo en entornos aislados para que una compromisión no afecte al resto de la infraestructura.