AWS Security Testing: Guía práctica de Penetration Testing en Amazon Web Services

IAM: Las Joyas de la Corona

AWS IAM es el servicio más potente, y el más comúnmente mal configurado, en todo el ecosistema. Las pruebas deben evaluar las políticas de IAM en busca de violaciones del principio de privilegio mínimo, identificar roles y claves de acceso no utilizadas, sondear rutas de escalada de privilegios (encadenamiento de roles, adjunción de políticas, abuso de AssumeRole), probar las políticas de control de servicios para verificar la eficacia de su aplicación y verificar que el acceso entre cuentas esté debidamente restringido. Un único rol de ejecución de Lambda excesivamente permisivo puede dar a un atacante acceso a cada bucket de S3, cada tabla de DynamoDB y cada secreto en Secrets Manager. Las pruebas de IAM son donde residen los hallazgos de mayor impacto.

S3 y Seguridad del Almacenamiento

Las configuraciones erróneas de S3 han estado detrás de algunas de las mayores filtraciones de datos de la historia. Las pruebas cubren las políticas de bucket y las ACL para el acceso público no deseado, el cifrado del lado del servidor en reposo, el registro y la supervisión del acceso, las políticas de versiones y de ciclo de vida, y la generación de URL prefirmadas para el acceso por tiempo limitado. Los valores predeterminados de Bloqueo del Acceso Público de 2023 han mejorado la seguridad de referencia, pero los buckets heredados y las anulaciones explícitas de políticas aún crean exposición.

Lambda y Serverless

Las funciones Lambda introducen vectores de ataque únicos: roles de ejecución excesivamente permisivos que otorgan más acceso del que necesita la función, variables de entorno que almacenan secretos en texto plano, inyección de eventos a través de entradas no saneadas desde API Gateway o disparadores de S3, y ataques de sincronización de arranque en frío. Probar serverless requiere comprender cómo se pueden utilizar de forma abusiva las arquitecturas basadas en eventos.

EC2, VPC y Capa de Red

Las pruebas de EC2 evalúan los grupos de seguridad en busca de reglas de entrada excesivamente permisivas, la configuración del servicio de metadatos de instancia (IMDSv1 vs v2), el cifrado de volúmenes EBS y la gestión de claves SSH. Las pruebas de VPC verifican que las ACL de red y los grupos de seguridad implementen una segmentación adecuada, que los puntos de conexión de VPC estén configurados para el acceso a servicios privados y que el peering de VPC no cree rutas entre redes no deseadas.

Rutas de Ataque entre Servicios

Los hallazgos de AWS de mayor impacto encadenan vulnerabilidades entre servicios. Un SSRF en una aplicación web recupera credenciales temporales del servicio de metadatos de EC2 (IMDSv1). Esas credenciales pertenecen a un rol excesivamente permisivo que puede leer secretos de Secrets Manager. Los secretos incluyen credenciales de base de datos para la instancia RDS que contiene datos de clientes. Esta cadena —aplicación web → metadatos → IAM → secretos → base de datos— es exactamente lo que buscan los pentesters de la nube expertos y lo que los escáneres automatizados pasan por alto.

Pruebas de AWS con Penetrify

Las pruebas de seguridad de AWS de Penetrify cubren el análisis de políticas de IAM, la seguridad de S3/almacenamiento, las configuraciones de Lambda y serverless, la arquitectura de red EC2/VPC y la validación de rutas de ataque entre servicios. Los profesionales cuentan con certificaciones de seguridad de AWS y comprenden los matices específicos del proveedor que los pentesters genéricos pasan por alto. Los informes mapeados con el cumplimiento normativo sirven a los auditores de SOC 2, PCI DSS, HIPAA e ISO 27001.