El robo de tokens es una de las principales causas de las infracciones de SaaS. Descubra por qué los tokens de OAuth y API a menudo se pasan por alto y cómo los equipos de seguridad pueden mejorar la higiene de los tokens para evitar ataques.
La mayoría de las empresas en 2025 dependerán de todo tipo de aplicaciones de software como servicio (SaaS) para realizar su trabajo. Sin embargo, la seguridad de estas aplicaciones depende de pequeños datos llamados tokens. Los tokens como los tokens de acceso de OAuth, las claves API y los tokens de sesión actúan como claves para estas aplicaciones. Una vez que los ciberdelincuentes tienen esto, pueden acceder a los sistemas relacionados sin muchos problemas.
Las violaciones de seguridad recientes han demostrado que solo se necesita un token robado para evitar la autenticación multifactor (MFA) y otras medidas de seguridad. En lugar de explotar directamente las vulnerabilidades, los atacantes recurren al robo de tokens. Esta es una preocupación de seguridad relacionada con el problema más amplio de la expansión de SaaS y la dificultad de monitorear la gran cantidad de integraciones de terceros.
Infracciones recientes relacionadas con el robo de tokens
Muchos eventos del mundo real demuestran cómo los tokens robados pueden provocar violaciones de seguridad en entornos SaaS.
1. Slack (enero de 2023). Los atacantes robaron numerosos tokens de empleados de Slack y los utilizaron para obtener acceso no autorizado a los repositorios de códigos privados de GitHub de Slack. (No se comprometieron los datos de ningún cliente, pero fue una advertencia clara de que los tokens robados podrían debilitar las barreras de seguridad internas).
2. CircleCI (enero de 2023). El malware que robó información en la computadora portátil de un ingeniero permitió a los atacantes secuestrar tokens de sesión en los sistemas de CircleCI. Estos tokens brindan a los atacantes el mismo acceso que a los usuarios, lo que les permite robar secretos de clientes de su plataforma de CI, incluso cuando MFA está configurado.
3. Cloudflare/Okta (noviembre de 2023). Cloudflare rotó aproximadamente 5000 credenciales como resultado de la violación del proveedor de identidad. Sin embargo, un único token API no rotado y algunas credenciales de cuenta de servicio fueron suficientes para que los ciberdelincuentes comprometieran el entorno Atlassian de Cloudflare. Este incidente demostró cómo un token olvidado puede descarrilar una respuesta exhaustiva al incidente.
4. Salesloft/Drift (agosto de 2025). El chatbot Drift (propiedad de Salesloft) sufrió una violación de la cadena de suministro que permitió a los atacantes recopilar tokens OAuth para integraciones como Salesforce y Google Workspace. Los tokens robados se utilizaron para acceder a datos SaaS de cientos de organizaciones de clientes. Esta explotación del token OAuth permitió a los atacantes mover correos electrónicos, archivos y registros de soporte lateralmente entre plataformas.
La expansión de SaaS amplía los puntos ciegos de los tokens
¿Por qué siguen ocurriendo infracciones como esta basadas en tokens?
Este problema es más grande que una sola aplicación, es un problema del ecosistema impulsado por el uso no regulado de SaaS y relaciones de confianza de tokens ocultos entre aplicaciones.
Todos los departamentos ahora aprovechan las herramientas SaaS y las integran en sus sistemas. Los empleados utilizan múltiples servicios en la nube de terceros y las empresas administran aproximadamente 490 aplicaciones en la nube, muchas de las cuales no tienen licencia o no están protegidas adecuadamente.
Este elevado uso de SaaS (a menudo denominado expansión de SaaS) significa una explosión de tokens OAuth, claves API y conexiones de aplicaciones. Cada integración introduce una identidad no humana (esencialmente una credencial) que normalmente no es visible para TI ni rastreada por las soluciones tradicionales de administración de identidades.
El resultado general de esto es una superficie de ataque no administrada. Generalmente, varios factores contribuyen a este punto ciego.
• Falta de visibilidad. Muchas organizaciones en realidad no conocen todas las aplicaciones e integraciones SaaS que sus empleados han habilitado o quién las aprobó. La TI en la sombra (empleados que agregan aplicaciones sin aprobación) es frecuente y los equipos de seguridad solo pueden descubrir conexiones OAuth después de que ocurre un problema.
• Sin aprobación ni supervisión. Los usuarios son libres de conectar aplicaciones como complementos de marketing y herramientas de productividad a la cuenta SaaS de su empresa sin ningún proceso de investigación. Estas aplicaciones de terceros a menudo solicitan y obtienen amplios permisos, incluso si son necesarios temporalmente. Las aplicaciones no examinadas o con privilegios excesivos pueden permanecer conectadas indefinidamente si nadie las revisa.
• No hay seguimiento regular. Pocas empresas aplican configuraciones de seguridad a sus integraciones OAuth o monitorean estas conexiones en tiempo real. Los tokens rara vez son de corta duración o de alcance limitado de forma predeterminada, y las organizaciones a menudo no restringen el uso de tokens por IP o dispositivo. Es posible que los registros de integraciones de SaaS tampoco se ingresen en el monitoreo de seguridad.
Por qué la seguridad tradicional pasa por alto la cuestión de los tokens
Como resultado, las herramientas de seguridad tradicionales son completamente incapaces de abordar este problema.
El inicio de sesión único (SSO) y la autenticación multifactor protegen los inicios de sesión de los usuarios, pero los tokens OAuth eluden estos controles. Otorgue confianza persistente entre aplicaciones sin validación adicional.
El token actúa en nombre del usuario o servicio sin requerir una contraseña, por lo que un atacante que obtenga un token válido puede acceder a los datos de la aplicación conectada como si ya estuviera autenticado. Si se utilizan tokens OAuth, no aparecerá ninguna ventana emergente para reconfirmar MFA. Como resultado, sin una supervisión especial, los tokens OAuth y API se han convertido en el talón de Aquiles de la seguridad SaaS. Otras soluciones tradicionales, como los agentes de seguridad de acceso a la nube, se centran en el tráfico de usuario a aplicación y no monitorean las conexiones entre estas aplicaciones.
Esta brecha ha llevado al surgimiento de plataformas de seguridad SaaS dinámicas destinadas a descubrir y asegurar integraciones SaaS en medio de la expansión de SaaS. Estas plataformas intentan recuperar visibilidad y control mapeando todas las aplicaciones, tokens y permisos de terceros en uso. Ya sea mediante el descubrimiento automático (escaneo de aplicaciones conectadas) o la aplicación de políticas relacionadas con el uso de OAuth, el objetivo es cerrar la brecha de seguridad de SaaS creada por tokens no controlados.
Al final del día, todas las organizaciones pueden aplicar una mejor higiene de tokens, con o sin nuevas herramientas. No puedes proteger lo que no puedes ver. El primer paso es saber dónde están sus tokens y sus integraciones SaaS. El siguiente paso es controlarlo y monitorearlo para que no se convierta en una puerta trasera.
Lista de verificación de higiene de fichas
Puede utilizar la siguiente lista de verificación para reducir el riesgo de que el token se vea comprometido.
Acciones prácticas S/N Mantenga un inventario de aplicaciones OAuth Descubra y rastree todas las aplicaciones de terceros conectadas a su cuenta SaaS. Mantenga un inventario actualizado de tokens OAuth, claves API e integraciones. Esto hace que la huella del token sea visible. Hacer cumplir la aprobación de aplicaciones Establecer un proceso de investigación para nuevas integraciones de SaaS. Exija una revisión de seguridad o la aprobación del administrador antes de permitir a los empleados acceso OAuth a sus cuentas. Esto suprime las aplicaciones no examinadas y garantiza que cada token emitido sea necesario y conlleve riesgos conocidos. Tokens de mínimo privilegio Limite el alcance y los privilegios de los tokens al mínimo necesario. Al aprobar aplicaciones, no permita un acceso demasiado amplio («permitir todas»). Por ejemplo, si su aplicación solo necesita acceso de lectura, no le otorgue permisos de administrador de lectura/escritura. El privilegio mínimo reduce el impacto si se roba un token. Rote los tokens con regularidad. Trate los tokens de larga duración como credenciales caducadas. Si es posible, configure los tokens para que caduquen después de un corto período de tiempo, o revoque y vuelva a emitir tokens periódicamente. La rotación regular (o una vida útil corta) significa que los tokens robados rápidamente se vuelven inútiles, lo que reduce las oportunidades para los atacantes. Eliminar o alertar sobre tokens no utilizados Identifique tokens y conexiones de aplicaciones que no se hayan utilizado durante semanas o meses. Los tokens no utilizados son una amenaza potencial, así que revocalos si no los necesitas. Implemente alertas o informes de tokens inactivos para limpiarlos de manera proactiva y evitar que las credenciales olvidadas permanezcan indefinidamente. Monitorear la actividad del token Habilite el registro y monitoreo del uso del token en su plataforma SaaS. Esté atento a actividades inusuales de tokens, como integraciones que no se usan comúnmente y que de repente realizan grandes solicitudes de datos o se accede a ellas desde ubicaciones extrañas. Configure alertas para anomalías en el uso de tokens, como picos en llamadas API o uso de tokens desde IP desconocidas. Integre tokens en la baja Cuando un empleado deja su empresa o se retira una aplicación de terceros, asegúrese de que los tokens y las claves de acceso se revoquen inmediatamente. Haga de la revocación de tokens un paso estándar para la baja de usuarios y la gestión del ciclo de vida de las aplicaciones. Esto evita que las credenciales antiguas persistan cuando ya no sean necesarias.
Source link
