Se cuelan en cuentas de la nube de Amazon para minar criptomonedas, generando facturas de miles de euros sin que sus titulares se den cuenta

Chris Chin, un desarrollador de Seattle (Washington, Estados Unidos) que crea aplicaciones móviles para pequeñas editoriales, se despertó el día de Año Nuevo con una alarmante alerta de su cuenta de Amazon Web Services. Decía que debía más de 53.000 dólares (más de 45.000 euros) por un mes de alojamiento, una cifra muy alejada de su habitual factura de entre 100 y 150 dólares.

"Me sorprendió y empecé a asustarme", explica Chin en una entrevista con Business Insider.

El importe de la factura, que Business Insider ha confirmado, llevó a Chin a sospechar que había sido hackeado por un ciberdelincuente que se dedicó a minar criptomonedas, lo que puede suponer elevados cargos por la potencia de cálculo en bruto necesaria para producir incluso pequeñas cantidades de monedas digitales como el bitcoin.

Los ataques con minería de criptomonedas no son nuevos en el mundo de la computación en nube. Pero el aumento del valor de muchas de las criptomonedas más populares desde el inicio de la pandemia ha aumentado los incentivos para los ciberdelincuentes, que pueden apropiarse de las cuentas de computación en la nube de desarrolladores desprevenidos. 

Google informó a finales del año pasado que el 86% de las violaciones de cuentas en su plataforma Google Cloud se utilizaron para realizar minería de criptomonedas. 

Los objetivos de estos ataques explican a Business Insider que los proveedores de servicios en la nube, como AWS, Google Cloud y Microsoft Azure, han tendido a trasladar la culpa de los ataques de criptominería a los clientes, diciendo que las violaciones son el resultado de la configuración errónea de los usuarios o de la falta de seguridad en las cuentas. 

La fascinante historia de Jeff Bezos, que creó Amazon para convertirse en la persona más rica de la historia moderna

Un portavoz de Google ha remitido a Business Insider a una investigación de la compañía que indica que las malas prácticas de seguridad de los clientes o el "software vulnerable de terceros" son responsables de casi el 75% de las violaciones de las cuentas en la nube. Un portavoz de Microsoft ha declinado responder a las preguntas de este medio.

Por su parte, un portavoz de Amazon ha dicho en un comunicado que AWS es "segura por defecto". Los equipos de soporte de AWS "trabajan estrechamente" con los clientes cuyas cuentas han sido comprometidas para "abordar las circunstancias individuales que rodean cualquier cargo no autorizado", señala el portavoz. 

AWS apunta a su "modelo de responsabilidad compartida" según el cual Amazon se encarga de la infraestructura pero los clientes son responsables de la seguridad, para justificar por qué los usuarios pueden estar en el gancho para una parte de la factura acumulada por los cibercriminales.

Para los usuarios, sin embargo, eso significa que un error puntual o una brecha inesperada pueden ponerlos frente a una deuda potencialmente agobiante.

Al final se le dijo a Chin que AWS podría renunciar a la mayor parte de los cargos, pero que todavía podría deber el 25% de la factura de más de 50.000 dólares. Incluso eso podría ser ruinoso para Chin, que dice que los ingresos de su negocio han caído en picado durante la pandemia. 

"Somos una pequeña empresa que lucha por mantenerse a flote", señala Chin. "Me siento estresado porque, si nos llega la factura, tendremos que cerrar el negocio".

"Incentivos perversos"

Los piratas informáticos llevan casi una década comprometiendo cuentas de computación en la nube para minar criptomonedas, pero la recompensa nunca ha parecido tan lucrativa como en los últimos dos años. 

El valor de bitcoin y ethereum alcanzó máximos históricos el pasado mes de noviembre a medida que el mercado de activos basados en la cadena de bloques se disparaba.

Al mismo tiempo, la cantidad de potencia informática necesaria para minar criptomonedas ha aumentado, creando "incentivos perversos" para los ciberdelincuentes que pueden acceder a los recursos informáticos de la forma más barata posible, cuenta Bruce Schneier, experto en seguridad del Berkman Klein Center for Internet & Society de Harvard, un centro de investigación que se centra en el estudio del ciberespacio. 

Así se está convirtiendo España en el 'hub' europeo de los centros de datos

El mes pasado, Jonny Platt, fundador de SEO Scout, publicó un hilo de Twitter en el que describía los 45.000 dólares que le había costado un hackeo de criptomonedas y la escasa respuesta de Amazon. 

Según sus cálculos, el pirata informático utilizó su cuenta para minar solo 800 dólares de la criptomoneda Monero. (Platt dijo que Amazon finalmente accedió a renunciar a su cuenta de 45.000 dólares como una "excepción").

A principios de este mes, un estudiante universitario de California que dijo que solo había utilizado AWS para un pequeño proyecto escolar describió en Reddit cómo se le facturaron 55.000 dólares después de que su cuenta de AWS fuera hackeada.

"Soy estudiante y acabo de perder casi todos mis ahorros", sentenció.

La mayoría de los ejemplos revisados por Business Insider corresponden a cargos de Amazon Web Services, pero los clientes de Microsoft Azure y Google Cloud también se han enfrentado a facturas altísimas como resultado de este tipo de hackeos de criptojacking. 

Una empresa de tecnología con sede en Misuri tuvo que pagar 760.000 dólares (unos 660.000 euros) después de que unos ciberdelincuentes entraran en su cuenta de Microsoft Azure, según una demanda federal presentada el mes pasado.

Un cliente de Google Cloud publicó en el tablón de mensajes de Hacker News en 2019 que le habían cobrado 14.000 dólares (12.000 euros) por culpa de un hackeo.

Determinar quién debe pagar las tarifas de uso de la nube cuando una cuenta ha sido comprometida no es sencillo, explican los expertos. Mientras que los proveedores de computación en la nube tienden a culpar al error del usuario, la propia seguridad de los proveedores no es perfecta.

En general, los gigantes del software no deberían errar en la protección de sus usuarios menos expertos, explica Tony Anscombe, jefe de seguridad de la empresa de seguridad en Internet ESET. 

"AWS ofrece opciones para asegurar una cuenta, como la autenticación multifactor basada en una app", incide Anscombe. 

"Pero en un escenario en el que el cliente no tiene los conocimientos suficientes para entender el riesgo y proteger una cuenta utilizando las opciones disponibles, entonces la responsabilidad vuelve a recaer en el proveedor para educar al cliente sobre la necesidad de implementar la seguridad opcional, o hacerla obligatoria".

Mayores obstáculos para las pequeñas empresas 

Amazon suele acabar renunciando a casi todos los gastos ocasionados por los piratas informáticos, según el consultor de facturación en la nube Corey Quinn, pero puede que no todo el mundo lo sepa, y navegar por el servicio de atención al cliente de AWS puede ser arduo, especialmente para los clientes más pequeños. 

Quinn ha señalado el suicidio en 2020 de un operador de Robinhood de 20 años, que creía erróneamente que debía 730.000 dólares, como señal de que las facturas enormes pueden generar mucho daño, y añade que AWS debería promulgar más salvaguardias.

Los usuarios deben tener la opción de evitar que AWS les facture por encima de una determinada cantidad cada mes, dice Quinn. "No me dejen hacer nada que cueste más dinero hasta que diga afirmativamente que sí". 

"Una vez que dejan que la gente exprese su intención en torno a la finalidad de la cuenta, muchos de los problemas desaparecen".

El modelo de suscripción de software está "muriendo": los precios basados en el uso serán la "próxima ola" de los servicios en la nube

AWS permite a los clientes configurar una alerta cuando el uso alcanza un determinado nivel, y Chin explica que había configurado una alerta para notificarle si se superaban los 200 dólares. Pero no tuvo noticias de Amazon hasta que vio que su factura era mucho mayor. 

Chin explica que le desconcertó que AWS no detectara la actividad sospechosa y le notificara antes del problema. 

"Son la compañía de datos más avanzada del mundo", apunta Chin. "Obviamente, algo va mal y deberían haberlo detectado. El hacker gastó más dinero en un día que yo en todo el último año".

Chin que tuvo que pasar por el aro que los clientes más grandes de AWS pueden eludir al obtener acceso al soporte telefónico, lo que le costaría miles de dólares al mes que no tiene. Casi dos semanas después de denunciar los cargos, Chin sigue en vilo mientras espera una resolución.

"Tengo la esperanza de que Amazon haga lo correcto", concluye Chin. "También tienen que seguir trabajando para proteger y educar a los clientes para que no le pase a nadie más. Esto puede arruinar a la gente".