¿Qué puedo hacer si observo actividad no autorizada en mi cuenta de AWS?
He visto recursos de AWS que no reconozco en la consola de administración de AWS o he recibido una notificación en la que se indica que mi cuenta de AWS podría estar en peligro.
Resolución
Si sospechas que hay actividad no autorizada en tu cuenta de AWS, primero completa los siguientes pasos para verificar la actividad no autorizada. A continuación, corrige la actividad no autorizada en tu cuenta de AWS. Por último, protege al usuario raíz de tu cuenta de AWS con la autenticación multifactor (MFA) de MFA.
Nota: Si no puedes iniciar sesión en tu cuenta, consulta ¿Qué hago si no puedo iniciar sesión en mi cuenta de AWS?
Comprobar si hubo actividad no autorizada en una cuenta
Para identificar acciones no autorizadas, genera informes de credenciales para tu cuenta de AWS a fin de auditar las contraseñas o claves de acceso de cada identidad de AWS Identity and Access Management (IAM) de tu cuenta. A continuación, consulta la última información a la que se accedió en IAM para los usuarios, los grupos de usuarios, los roles y las políticas que se utilizaron recientemente.
Para identificar el acceso no autorizado o los cambios en tu cuenta, puedes supervisar la actividad de la cuenta de usuarios, roles y claves de acceso de IAM de AWS específicos. Para obtener más información, consulta ¿Cómo soluciono la actividad inusual de los recursos en mi cuenta de AWS?
Para identificar la creación de recursos o usuarios de IAM no autorizados, incluidos los cargos inesperados por servicios y cuentas, toma las siguientes medidas:
- Crea un informe de costes y uso para tu cuenta.
- Comenzar con las recomendaciones de Trusted Advisor
- Revise tus prácticas recomendadas de facturación mensual.
Nota: También puedes usar AWS Cost Explorer para revisar los cargos y el uso asociados a tu cuenta.
Si has verificado que no hay actividad no autorizada en tu cuenta, no es necesario realizar ninguna otra acción.
Si has verificado que hay actividad no autorizada, continúa con la siguiente sección para corregir la actividad no autorizada en tu cuenta de AWS.
Corrección de la actividad no autorizada en la cuenta
Si has recibido una notificación de AWS sobre una actividad irregular en tu cuenta, sigue primero las instrucciones siguientes. A continuación, responde a la notificación en el Centro de AWS Support con una confirmación de las acciones que has realizado.
Actualización de las claves de acceso a las cuentas expuestas
Consulta la notificación de actividad irregular enviada por AWS Support para ver si las claves de acceso a la cuenta están expuestas. Si ves alguna de las claves en la lista, sigue estos pasos:
- Actualiza la clave de acceso de AWS.
- Desactiva la clave de acceso original.
Importante: No elimines la clave de acceso original durante este paso. - Verifica que no haya problemas con tu solicitud. Si hay problemas, reactiva temporalmente la clave de acceso original para solucionar el problema.
- Si la aplicación es completamente funcional después de desactivar la clave de acceso original, borra la clave de acceso original.
- Elimina las claves de acceso de usuario raíz de la cuenta de AWS que ya no necesites o que no hayas creado.
Para obtener más información, consulta Protección las claves de acceso y Administración de claves de acceso para usuarios de IAM.
Actualización de las credenciales de usuario de IAM posiblemente no autorizadas
Sigue estos pasos:
- Abre la consola de IAM.
- En el panel de navegación, selecciona Usuarios.
- Selecciona el nombre del primer usuario de IAM de la lista.
- En la página Resumen del usuario de IAM, en la pestaña Permisos, en la sección Políticas de permisos, comprueba que la política AWSCompromisedKeyQuarantineV2 esté adjunta al usuario.
- Actualiza las claves de acceso del usuario.
- Repite los pasos del 2 al 5 para cada usuario de IAM de tu cuenta.
- Desactiva los usuarios de IAM que no hayas creado.
- Cambia las contraseñas de los usuarios de IAM que has creado.
Si usas credenciales de seguridad temporales, consulta Revocación de las credenciales de seguridad temporales de un rol de IAM.
Comprobar si hay actividad no autorizada en el historial de eventos de AWS CloudTrail
Sigue estos pasos:
- Abre la consola de AWS CloudTrail.
- En el panel de navegación, selecciona Historial de eventos.
- Revisa si hay actividades no autorizadas, como la creación de claves de acceso, políticas, roles o credenciales de seguridad temporales.
Importante: Asegúrate de revisar la hora del evento para confirmar si los recursos se crearon recientemente y coinciden con la actividad irregular. - Elimina todas las claves de acceso, políticas, roles o credenciales de seguridad temporales no autorizadas.
Para obtener más información, consulta Trabajar con el historial de eventos de CloudTrail.
Eliminación de recursos no reconocidos o no autorizados
Abre la consola de administración de AWS y comprueba que todos los recursos de tu cuenta son recursos que iniciaste. Asegúrate de comprobar y comparar el uso del mes anterior con el actual. Asegúrate de comprobar si hay todos los recursos en todas las regiones de AWS, incluso en las regiones en las que no iniciaste recursos.
A continuación, para eliminar los recursos no reconocidos o no autorizados, consulta ¿Cómo elimino los recursos activos que ya no necesito en mi cuenta de AWS?
Importante: Si debes mantener los recursos disponibles para la investigación, se recomienda hacer una copia de seguridad de esos recursos. Por ejemplo, si debes retener una instancia de Amazon Elastic Cloud Compute (Amazon EC2) por motivos normativos, legales o de cumplimiento, crea una instantánea de Amazon EBS antes de terminar la instancia.
Recuperación de los recursos con copia de seguridad
Si has configurado los servicios para mantener las copias de seguridad, recupera esas copias de seguridad de tu último estado no comprometido conocido.
Para restaurar tipos específicos de recursos de AWS, lleva a cabo las siguientes acciones:
- Restauración de un volumen de Amazon EBS o una instancia de EC2
- Restauración a una instantánea de base de datos para instancias de Amazon Relational Database Service (Amazon RDS)
- Restauración de versiones anteriores de las versiones de objetos de Amazon Simple Storage Service (Amazon S3)
Verificación de la información de la cuenta
Comprueba que toda la información siguiente es correcta en tu cuenta.
Si necesitas actualizar la información de tu cuenta, toma las siguientes medidas:
- Actualización del nombre de la cuenta de AWS
- Actualización de la dirección de correo electrónico del usuario raíz
- Actualización del contacto principal de tu cuenta de AWS
- Actualización de los contactos alternativos de tu cuenta de AWS
Nota: Para obtener más información sobre las prácticas recomendadas de seguridad de las cuentas, consulta ¿Cuáles son algunas de las prácticas recomendadas para proteger mi cuenta de AWS y sus recursos?
Protección del usuario raíz de tu cuenta con MFA
Se recomienda activar la autenticación multifactor (MFA) porque el usuario raíz de la cuenta de AWS tiene acceso privilegiado a los servicios y recursos de AWS. La autenticación automática proporciona un segundo factor de autenticación para las credenciales de inicio de sesión y reduce el riesgo de que una contraseña se vea comprometida. Puedes activar hasta ocho dispositivos de MFA para cada usuario de IAM con acceso a la consola de administración de AWS.
Nota: La activación de la MFA para el usuario raíz afecta únicamente a las credenciales del usuario raíz. Los usuarios de IAM de la cuenta son identidades distintas con sus propias credenciales y cada identidad tiene su propia configuración de MFA.
Para activar la MFA, consulta Protección del inicio de sesión de usuario raíz con MFA y Autenticación multifactor de AWS en IAM.
Información relacionada
- Etiquetas
- AWS Account Management
- Idioma
- Español
Contenido relevante
- preguntada hace 8 meses
- preguntada hace un año
- preguntada hace un año
- preguntada hace un año
- OFICIAL DE AWSActualizada hace 6 meses