Cloudflare es una de esas maravillas que hacen posible la Internet actual, una plataforma que permite que los sitios web se repliquen por todo el mundo, y que les protege de amenazas diversas, incluyendo los temidos ataques DDos.
Tiene un poder enorme, ya que gestiona los datos de miles de importantes sitios web, y cuando tiene un problema, toda la web lo nota, ya que aplicaciones de todo el mundo dependen de su estructura para funcionar correctamente.
Ahora se han hecho públicos los detalles de un ataque de phishing dirigido contra su personal, un ataque que, si hubiera tenido éxito, podría haber sido fatal para la empresa.
Cloudflare es seguro
Uno de los motivos por los cuales se puede decir que Cloudflare es una de las empresas más seguras en el mundo web, es el hecho de que todos los empleados deben usar autenticación multifactor, de forma que, aunque alguien robe el login y la contraseña de acceso a alguna de las máquinas de su infraestructura, no podrán entrar sin tener en poder móviles, huellas dactilares, reconocimiento de rostros y otros métodos multifactor conocidos (en este caso usan una clave de hardware).
El ataque recibido
Por lo visto hay una campaña de phishing muy sofisticada que tiene como objetivo a varias empresas, y Cloudflare es una de ellas.
El 20 de julio más de 70 empleados recibieron un SMS en sus teléfonos (tanto personales como de trabajo) que apuntaban a una supuesta página de inicio de sesión de Okta de Cloudflare. Los empleados sospecharon, pero no tenían ni idea cómo los criminales obtuvieron sus números de teléfono. La mayoría ignoró el mensaje, que afirmaba que «su programación de Cloudflare se había actualizado» y pedía hacer clic en un enlace. El objetivo era robar el login y la contraseña de Cloudflare, y tres de los más de 70 cayeron en la trampa.
Gracias a la seguridad de acceso con clave de hardware, los criminales no consiguieron hacer nada con esa contraseña, pero el tema no acababa ahí.
Tuvieron un segundo ataque diseñado para que los empleados descarguen software de acceso remoto en sus ordenadores, lo que permitiría al atacante controlar la computadora de forma remota. En este caso ninguno cayó en la trampa, de forma que nadie instaló el software no autorizado.
Una vez identificado el ataque, Cloudflare bloqueó el dominio de origen del phishing, se restablecieron las contraseñas de los empleados y se cerraron las sesiones activas, por si acaso.
El dominio usado en el ataque se configuró menos de una hora antes de que comenzara la campaña, de forma que no estaba en ninguna lista negra, por lo que es importante estar atentos a enlaces de cualquier dominio desconocido, y usar herramientas que informan sobre la autoridad de un dominio en caso de alguna duda.
Por mucha seguridad que haya en una empresa, el punto débil siempre será el ser humano. Somos fáciles de engañar, y un ataque sofisticado puede conseguir resultados impresionantes, como aquel conocido caso de un supuesto soporte de Microsoft que consiguió la confianza de la empresa víctima durante meses antes de realizar el ataque.