jordiserrano.meClickFixKAIROSIntelTracker
Panel de inteligencia » Serverless

Serverless

Threat-actor 2 min lectura attack-pattern
Fecha
26 May 2026
Actor
attack-pattern
Tipo
Threat-actor
Pais
United States
Sector
-
Confianza
medium

Key Points

  • Comunicación con máquinas infectadas: Los funciones serverless actúan como intermediarios para interactuar con dispositivos vulnerables.
  • Proximidad (T1090): El entorno serverless se configura para actuar como un proxy, ocultando la actividad de los adversarios.
  • Calls API no autorizadas: Funciones serverless con llamadas a servicios no registrados.
  • Uso de recursos inesperado: Consumo inusual de CPU, memoria o tiempo de ejecución en funciones serverless.
  • Configuraciones maliciosas: Entornos serverless con permisos privilegiados o acceso a datos sensibles.

Serverless

Descripción de la Tecnica

Serverless es un patrón de ataque del MITRE ATT&CK que describe cómo los adversarios pueden adquirir y configurar infraestructura en la nube sin servidor, como Cloudflare Workers, AWS Lambda functions o Google Apps Scripts, para usarla durante operaciones de ciberataque. Al utilizar esta infraestructura, los adversarios pueden dificultar la atribución de las herramientas utilizadas a ellos.

¿Cómo Funciona?

Los adversarios primero adquieren y configuran entornos serverless en plataformas como AWS, Google Cloud o Cloudflare. Posteriormente, estas infraestructuras se usan para:

  • Comunicación con máquinas infectadas: Los funciones serverless actúan como intermediarios para interactuar con dispositivos vulnerables.
  • Proximidad (T1090): El entorno serverless se configura para actuar como un proxy, ocultando la actividad de los adversarios.

Este enfoque permite a los atacantes evitar rastros directos y aprovechar la naturaleza anónima de las infraestructuras serverless.

Actores que la Utilizan

No hay información específica sobre actores conocidos. La técnica no está asociada a grupos o entidades específicas en el contexto proporcionado. Sin embargo, se aplica generalmente a amenazas con capacidad de escalar operaciones y acceso a infraestructuras cloud.

Detección

La detección debe centrarse en monitorear actividades anómalas en entornos serverless:

  • Calls API no autorizadas: Funciones serverless con llamadas a servicios no registrados.
  • Uso de recursos inesperado: Consumo inusual de CPU, memoria o tiempo de ejecución en funciones serverless.
  • Configuraciones maliciosas: Entornos serverless con permisos privilegiados o acceso a datos sensibles.

Indicadores de Compromiso (IOCs)

No hay indicadores de compromiso públicos disponibles para esta técnica en el contexto proporcionado.

Mitigación

Para mitigar riesgos relacionados con la técnica Serverless:

  • Gestión estricta de credenciales: Limitar permisos de acceso a entornos serverless.
  • Monitoreo en tiempo real: Supervisar llamadas API y uso de recursos en entornos cloud.
  • Principios de mínimo privilegio: Configurar roles con permisos minimales para evitar acceso no autorizado.
← Volver al panel de inteligencia

Incidentes recientes

Clínica Vida12 Jun 2026 · direwolf Jewelex12 Jun 2026 · direwolf Nueva Pescanova Group12 Jun 2026 · direwolf Did Asia12 Jun 2026 · direwolf University of Nottingham11 Jun 2026 · breach Notice11 Jun 2026 · shinyhunters Bitek System11 Jun 2026 · qilin d4ug.site11 Jun 2026 · observable