En un reciente comunicado de prensa, Cloudflare, el gigante tecnológico conocido por su red de entrega de contenidos (CDN) y sus servicios de protección DDoS, reveló que había sido objeto de un ciberataque. El ataque se vio facilitado por el uso indebido de una clave de acceso perteneciente a Okta, una empresa especializada en la seguridad de la identidad en línea, tras un incidente de seguridad en Okta en octubre de 2023.

El incidente, que se hizo público a través de un post en un blog, tuvo su origen en una brecha de seguridad en Okta, que afectó al sistema de gestión de relaciones con los clientes de la compañía. Un agente malicioso consiguió acceder y descargar un informe que contenía nombres, direcciones de email y otros datos críticos, poniendo en riesgo las cuentas de administrador de Okta.

Entre el 14 y el 17 de noviembre de 2023, el atacante llevó a cabo un reconocimiento de los sistemas de Cloudflare, accediendo a su wiki interna y a su base de datos de errores, así como a su sistema de gestión de código fuente. También intentó acceder a un servidor de consola que tenía acceso a un centro de datos en São Paulo.

Los registros de acceso revelaron que el atacante utilizó un único token de acceso y tres credenciales de cuentas de servicio robadas durante la brecha de Okta, que Cloudflare no había renovado con la suficiente rapidez. A pesar del aparente alcance de las actividades del atacante durante el período de tres días, sus movimientos dentro de la red de la empresa fueron restringidos por los sistemas de seguridad instalados, y el acceso fue finalmente cortado el 24 de noviembre.

Cloudflare atribuyó el incidente a un sofisticado agente estatal, destacando el enfoque metódico y meticuloso del atacante. En respuesta a esta importante brecha, Cloudflare lanzó una operación de Código Rojo, movilizando importantes recursos para reforzar la seguridad, examinar los sistemas a los que se había accedido e implementar una rotación completa de credenciales y el endurecimiento del sistema.

A pesar del alcance relativamente limitado de la intrusión, Cloudflare tomó medidas rigurosas para eliminar cualquier vulnerabilidad potencial o restos del ataque que el actor malicioso pudiera utilizar para recuperar el acceso, incluida la sustitución de hardware en un centro de datos de São Paulo como medida de precaución. Una investigación independiente de CrowdStrike corroboró los hallazgos de Cloudflare, confirmando que las actividades del actor de la amenaza se limitaban al entorno de Atlassian reconocido como comprometido.

Cloudflare compartió indicadores de compromiso (IoC) para ayudar a otros clientes de Okta a detectar actividades similares. Sin embargo, basándose en las pruebas recopiladas, la empresa no pudo atribuir el ataque a un grupo de amenazas conocido o documentado.

Tomás Gutiérrez
Tomás Gutiérrez

Experto en tecnología y defensor de la protección de datos, combinando pasión por la innovación y compromiso con la seguridad digital