Resumen
- Retool reveló que el 29 de agosto de 2023 notificó a 27 clientes cloud sobre acceso no autorizado a sus cuentas tras un ataque dirigido de ingeniería social el 27 de agosto contra un empleado de Retool.
- ¿Quién tenía control práctico sobre la verificación del canal de soporte de los empleados, la inscripción y recuperación de MFA, la dependencia de cuentas de Google, el aislamiento del entorno del cliente, la detección, la divulgación y la prueba de que los flujos de trabajo de soporte no podían anular las garantías de identidad?
- El problema de responsabilidad es que las plataformas de automatización empresarial pueden heredar el riesgo de ingeniería social de los canales de soporte cuando las rutas de soporte o recuperación permiten eludir los supuestos de autenticación sólida en la práctica.
- Clientes de Retool, usuarios internos, equipos de soporte, proveedores de identidad, flujos de trabajo de cripto y fintech, auditores y equipos de seguridad empresarial necesitaban evidencia de que la confianza en el canal de soporte se redujo a un proceso de excepción controlado.
- Este artículo trata el informe post-mortem de Retool como el registro público principal. La documentación de Retool, Google, FIDO, CISA, NIST, Okta y registros seleccionados del ecosistema se utilizan para evaluar los patrones de control y los límites de evidencia.
Por qué este caso pertenece a un archivo de riesgos y responsabilidad
Retool pertenece a un archivo de riesgos y responsabilidad porque muestra cómo una plataforma de software empresarial puede fallar a través de la brecha entre "MFA existe" y "MFA no puede ser sorteado mediante ingeniería social". Retool es una plataforma para construir herramientas internas, flujos de trabajo, paneles administrativos y aplicaciones operativas. Los clientes suelen utilizarla para conectar bases de datos, API, operaciones de pago, procesos de soporte, flujos de trabajo financieros, herramientas de cumplimiento, operaciones de cripto y otros sistemas internos privilegiados.
Si el canal de soporte interno de un proveedor puede tomar el control de las cuentas de los clientes, el flujo de trabajo de soporte de la propia plataforma se convierte en parte del perímetro de seguridad del cliente.
El registro principal es la publicación del blog de Retool del 13 de septiembre de 2023, "Cuando MFA no es realmente MFA", enhttps://retool.com/blog/mfa-isnt-mfa. Retool dijo que el 29 de agosto de 2023 notificó a 27 clientes cloud que hubo acceso no autorizado a sus cuentas. Dijo que no hubo acceso a cuentas on-premise o gestionadas. Describió un ataque de spear-phishing el 27 de agosto en el que los empleados recibieron mensajes SMS dirigidos sobre un problema de cuenta relacionado con la inscripción abierta y una migración reciente a Okta. Un empleado inició sesión en un portal falso que incluía un formulario de MFA. Retool dijo que el atacante luego llamó al empleado, afirmó ser miembro del equipo de TI, utilizó una voz familiar deepfake y contexto interno, y obtuvo un código MFA adicional.
El incidente luego pasó de la identidad del empleado al impacto en el cliente. Retool dijo que el acceso a la cuenta de Google del empleado le dio al atacante acceso a los códigos MFA almacenados en Google Authenticator a través de la sincronización en la nube. Con esos códigos y la sesión de Okta, el atacante obtuvo acceso a la VPN de Retool y a los sistemas administrativos internos. Retool dijo que eso permitió al atacante ejecutar un ataque de toma de cuentas en un conjunto específico de clientes en la industria cripto, cambiando los correos electrónicos de los usuarios y restableciendo las contraseñas.
Retool dijo que revocó las sesiones autenticadas internas, bloqueó las cuentas afectadas, notificó a los clientes afectados, restauró las cuentas a su estado original y revirtió las 27 tomas de cuentas.
Esos hechos hacen que el incidente sea más que una historia de phishing. El camino cruzó SMS, migración de identidad, confianza de tipo help-desk, ingeniería social por voz, custodia de códigos de autenticación, acceso VPN, una instancia de soporte interno de Retool, administración de clientes cloud y recuperación de cuentas de clientes. Cada enlace tenía un propietario diferente. El atacante controlaba el engaño. Retool controlaba los procesos de soporte a empleados, el diseño de acceso interno, las herramientas administrativas, la respuesta a incidentes y la notificación al cliente.
Google controlaba el diseño de sincronización de Authenticator y la seguridad de la cuenta de Google. Okta proporcionaba la infraestructura de identidad. Los clientes controlaban su propio diseño de aplicaciones Retool, permisos de usuario, salvaguardas de transacciones posteriores y la elección entre implementación cloud, gestionada o autoalojada.
El problema de responsabilidad es el control práctico, no la culpa abstracta. Retool no dijo que todos los clientes de Retool se vieron afectados. Dijo que 27 clientes cloud fueron notificados y que las cuentas on-premise y gestionadas no fueron accedidas. Ese límite debe ser respetado. Al mismo tiempo, el camino afectado fue grave porque un flujo de trabajo de soporte interno podía cambiar los detalles de la cuenta del cliente y restablecer las contraseñas.
Para un producto de automatización empresarial, la toma de cuentas no es solo un evento de identidad; puede convertirse en un evento de control operativo si las aplicaciones afectadas pueden ejecutar consultas, desencadenar flujos de trabajo o aprobar acciones irreversibles.
El ataque explotó la confianza en el canal de soporte, no solo los avisos de autenticación
El informe post-mortem de Retool es útil porque describe una secuencia de ingeniería social en lugar de un solo clic. El mensaje SMS se programó en torno a los beneficios de los empleados y una migración de Okta. La URL falsa se disfrazó como un portal de identidad interno. El portal falso recopiló datos de inicio de sesión y MFA. Luego, el atacante llamó al empleado y utilizó contexto organizacional. Retool dijo que el empleado se volvió sospechoso durante la conversación pero aún proporcionó un código MFA adicional.
Esa es la verdadera lección del canal de soporte: los ataques pueden tener éxito combinando legitimidad parcial, tiempo, urgencia, vocabulario interno, familiaridad de voz y una solicitud que parece un paso de soporte o recuperación.
Muchas organizaciones diseñan procesos de soporte en torno a la conveniencia durante momentos estresantes. Los empleados están capacitados para resolver problemas de acceso rápidamente porque el acceso bloqueado a la identidad puede detener el trabajo. Los equipos de TI ayudan a los usuarios durante las migraciones. Los procesos de recursos humanos crean plazos. Las llamadas de soporte a menudo requieren verificación. Los atacantes explotaron ese patrón familiar.
Si el canal de soporte puede solicitar un código, agregar un dispositivo, aprobar un flujo de recuperación o guiar a un usuario a través de un restablecimiento de identidad, entonces el canal de soporte es parte del sistema de autenticación. Debe diseñarse como un control de alto riesgo, no como una puerta lateral amigable.
El propio informe post-mortem de Retool describió la instancia de soporte interno de Retool como la ruta por la cual se ejecutaron las tomas de cuentas de clientes. La autenticación para esa instancia interna incluía VPN, SSO y un sistema final de MFA. Retool dijo que una sesión válida de Google Workspace por sí sola no habría sido suficiente. Ese detalle importa porque muestra que Retool tenía múltiples capas. La falla no fue la ausencia de MFA; fue el colapso de la separación cuando el control de una cuenta y los secretos de autenticador sincronizados permitieron al atacante pasar capas adicionales.
Por eso importa el título del informe post-mortem de Retool. "Cuando MFA no es realmente MFA" no es una afirmación de que MFA sea inútil. Es una advertencia de que los factores deben permanecer independientes. Si la contraseña, la sesión de la cuenta, los secretos del autenticador, la ruta de recuperación y el proceso de soporte se vuelven alcanzables a través de una cuenta comprometida o una conversación de ingeniería social, la arquitectura puede parecer multifactor mientras se comporta como un factor compuesto único.
Lo mismo ocurre si un empleado de soporte puede anular la autenticación sólida sin un proceso separado, auditable y de alta seguridad.
Por lo tanto, el estándar de reparación pública debe centrarse en el diseño del canal de soporte. ¿Puede una llamada de soporte de empleado solicitar una OTP? ¿Puede TI agregar o restablecer dispositivos MFA sin aprobación separada? ¿Los flujos de recuperación están vinculados a métodos resistentes al phishing? ¿Las acciones administrativas dentro de las herramientas de soporte interno están protegidas por un paso adicional respaldado por hardware? ¿Los cambios de correo electrónico y los restablecimientos de contraseña para clientes tienen doble control?
¿Los clientes de alto riesgo, como los equipos de cripto o fintech, están sujetos a flujos de trabajo más sólidos? ¿Las acciones de soporte se registran de manera que los clientes puedan auditarlas? Esas preguntas se derivan directamente de la ruta de ataque que describió Retool.
Los códigos únicos sincronizados en la nube cambiaron el modelo de amenaza de MFA
La conclusión más debatida de Retool involucró la sincronización de Google Authenticator. Google anunció el 24 de abril de 2023 que Google Authenticator admitiría la sincronización de cuentas de Google para códigos únicos enhttps://security.googleblog.com/2023/04/google-authenticator-now-supports.html. La página de soporte de Google enhttps://support.google.com/accounts/answer/1066447explica que los usuarios pueden sincronizar códigos de verificación entre dispositivos iniciando sesión en una cuenta de Google. La función aborda un problema de usabilidad real: los usuarios pierden teléfonos, cambian de dispositivo y se quedan bloqueados cuando las semillas de códigos únicos son solo locales. La conveniencia es obvia.
El informe post-mortem de Retool argumentó que esta conveniencia creó una nueva ruta de ataque en su entorno. Retool dijo que el acceso a la cuenta de Google del empleado dio acceso a todos los códigos MFA almacenados en esa cuenta, y que esa fue la razón principal por la que el atacante pudo ingresar a los sistemas internos. Retool describió el cambio como hacer que lo que había sido autenticación multifactor se convirtiera silenciosamente en autenticación de un solo factor para los administradores, porque el control de la cuenta de Okta llevó al control de la cuenta de Google, que llevó al control de las OTP sincronizadas.
Esa es la afirmación de Retool sobre su entorno, y es apropiado tratarla como la interpretación del incidente de la empresa, no como un hallazgo regulatorio contra Google.
La lección de control más amplia es sólida. Una contraseña de un solo uso basada en tiempo sigue siendo un secreto compartido. Si la semilla se copia en una cuenta en la nube a la que se puede acceder a través de la misma ruta de identidad que se está protegiendo, entonces la independencia del factor puede debilitarse. El usuario aún puede experimentar dos avisos, pero el atacante puede estar trabajando a través de un ecosistema de cuentas comprometido.
Esto es diferente de un modelo de clave de hardware resistente al phishing o passkey en el que el autenticador demuestra la posesión de una clave privada vinculada a la parte confiable legítima y no produce un código que pueda leerse a un atacante.
La hoja informativa de CISA sobre MFA resistente al phishing enhttps://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf, NIST SP 800-63B enhttps://pages.nist.gov/800-63-4/sp800-63b.htmly el material de FIDO Alliance enhttps://fidoalliance.org/fido2/yhttps://fidoalliance.org/passkeys/respaldan la distinción entre factores basados en códigos y métodos de clave pública resistentes al phishing. El propio Retool recomendó claves de seguridad de hardware con FIDO2 en su informe post-mortem. La lección no es que toda organización deba rechazar todos los productos de autenticadores sincronizados. Es que los administradores deben entender dónde se almacenan las semillas de autenticadores, quién puede sincronizarlas, si la política empresarial puede deshabilitar la sincronización y si los sistemas administrativos de alto riesgo dependen de códigos susceptibles de phishing o retransmisión.
La orientación al cliente de la propia Okta es relevante porque el ataque ocurrió durante una migración de inicio de sesión a Okta. La documentación de Okta sobre autenticadores y políticas de autenticación enhttps://help.okta.com/oie/en-us/content/topics/identity-engine/authenticators/about-authenticators.htmyhttps://help.okta.com/oie/en-us/content/topics/identity-engine/policies/about-authentication-policies.htmbrinda a las organizaciones herramientas para exigir factores más sólidos para aplicaciones sensibles. Esos documentos no son hallazgos de incidentes. Son evidencia de que las empresas tienen opciones de configuración. Un panel de administración de soporte, VPN y sistema de gestión de cuentas de clientes deberían estar entre las primeras aplicaciones en requerir autenticación resistente al phishing, vinculada al dispositivo o de alta seguridad.
Las herramientas de administración interna pueden convertirse en planos de control orientados al cliente
La propia categoría de producto de Retool hace que el incidente sea especialmente instructivo. Retool se utiliza para construir herramientas internas. En el incidente, Retool dijo que una instancia interna de Retool utilizada para soporte al cliente fue parte de la ruta hacia las tomas de cuentas de clientes. Esto crea un problema de responsabilidad recursivo: una plataforma para construir herramientas operativas de administración debe asegurar sus propias herramientas operativas de administración con un cuidado inusual. El poder del producto es el riesgo.
Una interfaz de administración interna puede cambiar correos electrónicos de clientes, restablecer contraseñas, ver el estado operativo, desencadenar acciones de soporte o inspeccionar aplicaciones. Incluso si no es una base de datos de producción, puede ser un plano de control orientado al cliente.
La página de prácticas de seguridad de Retool enhttps://docs.retool.com/legal/securitydescribe las responsabilidades de seguridad alojadas y autoalojadas a alto nivel. La guía de registros de auditoría de Retool enhttps://docs.retool.com/org-users/guides/monitoring/audit-logsy la referencia de eventos registrados enhttps://docs.retool.com/org-users/reference/logged-eventsmuestran que la auditabilidad es parte de la expectativa del producto. La guía de seguridad bien arquitecturada de Retool enhttps://docs.retool.com/education/coe/well-architected/securityenfatiza permisos, recursos, secretos, cifrado y monitoreo. Estos documentos son relevantes porque muestran que los mismos principios que los clientes necesitan para sus propias aplicaciones también se aplican a las aplicaciones de soporte interno de Retool.
Los flujos de trabajo de toma de cuentas son particularmente sensibles. Cambiar el correo electrónico de un usuario y restablecer una contraseña puede transferir el control incluso cuando los datos subyacentes de la aplicación del cliente no se roban directamente de la herramienta de soporte. Si la aplicación Retool de un cliente está conectada a un sistema de cripto, finanzas, salud u operaciones, la toma de la cuenta de usuario puede permitir al atacante usar los permisos de la propia aplicación del cliente.
El informe post-mortem de Retool dijo que los clientes que habían construido aplicaciones seguras y entendían su modelo de amenazas fueron efectivos para repeler el ataque a pesar de las tomas de cuentas. Ese es un detalle clave: el diseño de la aplicación descendente puede limitar el daño, pero la acción de soporte interna del proveedor creó el evento inicial de control de la cuenta.
Por lo tanto, la pregunta de responsabilidad no es solo si Retool restauró las 27 cuentas. Es si el flujo de trabajo de soporte interno cambió para que un compromiso de cuenta de empleado no pueda realizar las mismas acciones administrativas del cliente sin controles adicionales. Las acciones de alto riesgo deben requerir revisión de supervisión humana, aprobación independiente, notificación al cliente, ventanas de demora, aprobación retenida por el cliente, paso adicional respaldado por hardware o reglas de política basadas en la sensibilidad del cliente.
Retool dijo que ya había implementado medidas de supervisión humana internamente y esperaba implementar dichos flujos de trabajo en el producto. El registro público no muestra todos los detalles de esos cambios, por lo que la prueba duradera es la evidencia, no la intención.
Los clientes también necesitan sus propios controles. Los documentos de Retool sobre aprovisionamiento SCIM enhttps://docs.retool.com/sso/guides/scim-user-provisioning, registros de auditoría y endurecimiento de seguridad para implementaciones autoalojadas enhttps://docs.retool.com/self-hosted/self-managed/concepts/best-practices/security-hardeningapuntan hacia la gobernanza del lado del cliente: gestionar usuarios centralmente, revocar usuarios que se fueron, monitorear eventos sensibles, endurecer la configuración de implementación y evitar que cualquier cuenta única de Retool tenga poder operativo irreversible sin controles compensatorios. Un incidente de plataforma debería hacer que los clientes revisen qué usuarios de Retool pueden ejecutar consultas de alto riesgo, cambiar registros, aprobar retiros o desencadenar acciones externas.
Los límites entre cloud, gestionado y on-premise importaron
El límite público de Retool entre cuentas cloud, gestionadas y on-premise es importante. Retool dijo que el incidente afectó a un pequeño subconjunto de clientes cloud y que no se accedió a ninguna cuenta on-premise o gestionada. También dijo que Retool on-premise opera en un entorno de confianza cero, no confía en la nube de Retool, es completamente autónomo y no carga nada del entorno cloud. La documentación autoalojada de Retool enhttps://docs.retool.com/self-hosteddescribe opciones autoalojadas y gestionadas por Retool, incluidas implementaciones donde los clientes conservan la propiedad y el control sobre los datos, las claves de cifrado y el acceso en su propia infraestructura.
Ese límite no debe exagerarse. La arquitectura autoalojada puede reducir la dependencia de la nube de Retool, pero los clientes aún necesitan gestionar su propia identidad, red, base de datos, secretos, actualizaciones y monitoreo. La declaración de Retool de que on-premise no se vio afectado es un límite de incidente confirmado para este evento, no una afirmación universal de que el autoalojamiento elimina todo riesgo relacionado con Retool. Aun así, la distinción importa porque muestra cómo la arquitectura de implementación puede dar forma al radio de explosión.
Una ruta de administración de soporte cloud puede tener alcance hacia las cuentas de clientes cloud. Una implementación autónoma puede eliminar o reducir ese alcance.
La dependencia del servicio cloud es, por lo tanto, una decisión empresarial, no solo una elección de alojamiento. La nube de Retool puede reducir la carga operativa y acelerar la adopción. Retool autoalojado puede dar a los clientes más control sobre la localidad de los datos, el aislamiento de la red y los límites de soporte. Los modelos autoalojados gestionados pueden situarse entre esos extremos. La elección correcta depende del modelo de amenazas, la industria, el personal, el cumplimiento y las consecuencias de una toma de cuenta de soporte.
El propio informe post-mortem de Retool alentó a los clientes en industrias sensibles a considerar on-premise si la seguridad es importante, al tiempo que señaló que muchos clientes cripto y grandes ya usaban on-premise.
El incidente también muestra que el aislamiento debe probarse en la capa administrativa. Un cliente puede creer que los datos están aislados porque las bases de datos y los recursos están en su propia nube, pero una toma de cuenta en la plataforma aún puede ser importante si el atacante puede usar los permisos de la propia aplicación del cliente. Por el contrario, una herramienta de soporte puede no contener directamente datos del cliente, pero puede desencadenar cambios de cuenta que desbloquean rutas de acceso.
Un límite de implementación sólido debe considerar el control de identidad, el control de soporte, el control de acciones administrativas y los permisos de aplicaciones descendentes juntos.
La evidencia es el factor decisivo. Los clientes deben preguntar a Retool o a cualquier proveedor de software empresarial similar cómo se separa el acceso de soporte cloud de los entornos autoalojados, qué acciones de soporte requieren aprobación, qué eventos del cliente se registran, cómo se verifica la recuperación de cuentas, cómo se manejan las industrias de alto riesgo y cómo se notifica a los clientes sobre los cambios administrativos. La documentación de registros de auditoría y seguridad de Retool proporciona un vocabulario inicial, pero la adquisición debe solicitar respuestas específicas de la implementación.
El daño al cliente depende del flujo de trabajo construido sobre la plataforma
El informe post-mortem de Retool dijo que el atacante ejecutó tomas de cuentas contra clientes en la industria cripto, cambió correos electrónicos, restableció contraseñas y exploró algunas aplicaciones Retool. No nombró a los clientes afectados en el informe. Informes de terceros, incluido CoinDesk enhttps://www.coindesk.com/business/2023/09/13/phishing-attack-on-cloud-provider-with-fortune-203750644.htmly la respuesta de Fireblocks enhttps://www.fireblocks.com/blog/in-response-to-the-fortress-trust-hack-dated-september-12-2023, vincularon el episodio más amplio con Fortress Trust y alegaciones de pérdida de criptomonedas. Esos registros son contexto útil, pero el artículo no debe tratar cada afirmación de terceros como un hecho confirmado por Retool. Los hechos confirmados por el propio Retool son las 27 tomas de cuentas de clientes cloud y el límite solo en la nube.
El punto del flujo de trabajo sigue siendo esencial. Retool se puede utilizar para construir casi cualquier cosa. Un cliente puede construir un panel de análisis de solo lectura. Otro puede construir una consola de soporte que cambie los registros del cliente. Otro puede construir una interfaz de operaciones cripto. Otro puede construir un flujo de trabajo administrativo de atención médica. La misma toma de cuenta tiene consecuencias diferentes dependiendo de lo que la cuenta pueda hacer.
Retool dijo explícitamente a los clientes que entendieran su propio modelo de amenazas si sus aplicaciones pueden acceder a acciones peligrosas o irreversibles. Esa es una asignación sobria de responsabilidad, pero no absuelve al proveedor de asegurar la ruta de soporte que permitió la toma de cuentas.
Por lo tanto, los clientes deben evaluar las aplicaciones Retool como sistemas de producción internos. ¿Qué consultas pueden mutar datos? ¿Qué aplicaciones pueden desencadenar transferencias externas? ¿Qué recursos utilizan credenciales de producción? ¿Qué grupos de usuarios tienen derechos de administración? ¿Qué acciones requieren una segunda aprobación? ¿Qué registros de auditoría muestran ejecución de consultas, vistas de página, inicios de sesión de usuarios, cambios de recursos y cambios de cuentas impulsados por soporte? ¿Qué sistemas descendentes pueden detectar y revertir acciones maliciosas?
La documentación de eventos registrados de Retool proporciona categorías, pero los clientes necesitan su propio modelo de riesgos en torno a cada aplicación.
Aquí es donde la automatización del software empresarial puede convertirse en un multiplicador de daños. La automatización reduce el trabajo manual al facilitar acciones de alto impacto. Esa es la propuesta de valor. También significa que el acceso comprometido puede ejecutar acciones de alto impacto rápidamente. Un canal de soporte que puede restablecer un correo electrónico o contraseña no solo está ayudando a un usuario. Puede estar habilitando el acceso a una superficie de automatización que puede llegar al dinero, los datos del cliente, el inventario o los registros regulados.
El diseño más seguro es hacer que las acciones irreversibles o de alto valor requieran confirmación independiente fuera del canal comprometido.
El paso de restauración de cuentas del incidente también importa. Retool dijo que restauró las cuentas afectadas a las direcciones de correo electrónico originales y revirtió las 27 tomas. La restauración cierra una capa del incidente. No prueba necesariamente que cada acción del lado del cliente intentada durante la ventana fuera inofensiva. Esa prueba depende de los registros de auditoría del cliente, el diseño de la aplicación, los permisos de recursos y la evidencia del sistema descendente.
El informe post-mortem de Retool reconoció que los clientes con aplicaciones seguras fueron efectivos para repeler el ataque, lo que implica que las salvaguardas a nivel de aplicación fueron importantes.
Los controles de supervisión humana deben diseñarse contra la ingeniería social
La lección de Retool sobre agregar una supervisión humana es útil pero incompleta a menos que el proceso humano esté endurecido. Una segunda persona puede evitar que la automatización ejecute silenciosamente una acción arriesgada. Pero una segunda persona también puede ser víctima de ingeniería social, apresurarse, ser evitada o se le puede pedir que apruebe una solicitud si el proceso carece de evidencia. El control debe especificar quién aprueba, qué evidencia verifican, qué canal utilizan, si la solicitud es fuera de banda, cómo se registra la decisión y cómo los clientes de alto riesgo pueden imponer sus propios requisitos.
En un flujo de trabajo de soporte, esto puede significar que cambiar el correo electrónico de un usuario cliente requiere confirmación a través de un dominio controlado por el administrador del cliente, no a través de la sesión solicitante. Los restablecimientos de contraseña para usuarios privilegiados pueden requerir la aprobación del administrador del cliente. Los restablecimientos de MFA pueden requerir reinscripción con clave de hardware, períodos de espera y notificación a los administradores existentes. Los empleados de soporte no deben pedir a los usuarios que lean OTP por voz o SMS.
El personal de TI no debe llamar a los empleados para recopilar códigos. Cualquier solicitud de compartir código debe tratarse como hostil por defecto. Las herramientas de soporte interno deben advertir y bloquear acciones que parezcan cadenas de toma de control.
Los proveedores de identidad pueden ayudar con las políticas, pero no pueden reemplazar completamente el diseño del flujo de trabajo. Okta, Google y otros proveedores pueden imponer autenticación más sólida, confianza en el dispositivo, políticas de sesión y registros. Los registros de auditoría de Google Cloud enhttps://cloud.google.com/logging/docs/auditmuestran el valor general de los registros de actividad administrativa en entornos cloud. Pero si se permite que un proceso de soporte sortee la identidad cambiando los registros de usuario, el proveedor de identidad solo puede ver el inicio de sesión descendente. El proveedor y el cliente también necesitan registros de procesos empresariales.
La guía de diseño seguro por defecto de CISA enhttps://www.cisa.gov/securebydesigny los principios seguros por defecto son relevantes aquí porque el producto más seguro debería hacer que las acciones de soporte peligrosas sean más difíciles por defecto. El Marco de Ciberseguridad de NIST enhttps://www.nist.gov/cyberframeworkproporciona la estructura identificar, proteger, detectar, responder y recuperar: identificar acciones de soporte de alto riesgo, protegerlas con aprobación y autenticación sólidas, detectar patrones de toma de control inusuales, responder bloqueando cuentas y revocando sesiones, y recuperar restaurando cuentas y validando la actividad descendente. Estas no son etiquetas de cumplimiento abstractas; se mapean directamente a la ruta del incidente de Retool.
La lección del canal de soporte también se aplica a TI interna. Los plazos de beneficios de empleados, problemas de nómina, migraciones de SSO y restablecimientos de dispositivos son temas de ataque predecibles. Las organizaciones deben preanunciar los patrones de soporte de migración, publicar canales de soporte verificados, prohibir solicitudes de códigos, capacitar a los empleados para finalizar llamadas inesperadas y requerir confirmación fuera de banda con ticket para acciones de identidad. Las preocupaciones sobre deepfakes hacen que la familiaridad de voz informal sea más débil como método de aseguramiento.
El informe post-mortem de Retool dijo que el atacante utilizó una voz familiar deepfake y conocimiento de procesos internos. Ya sea que un ataque futuro use audio deepfake o un impostor humano convincente, la defensa debe evitar confiar solo en la voz.
Las compras y la respuesta a incidentes deberían solicitar evidencia del flujo de trabajo
El incidente de Retool también cambia lo que la adquisición empresarial debe preguntar a los proveedores de herramientas internas y automatización. Un cuestionario de seguridad genérico puede preguntar si el proveedor admite SAML, MFA, SCIM, registros de auditoría y cifrado. Esas preguntas son útiles, pero no llegan al problema del flujo de trabajo de soporte. La pregunta más importante es si los empleados del proveedor pueden realizar acciones de cuenta que afecten al cliente, bajo qué condiciones, con qué aprobaciones y con qué registros visibles para el cliente.
Una plataforma puede tener SAML y MFA para los usuarios del cliente mientras aún expone a los clientes a acciones de soporte del lado del proveedor que cambian el control de la cuenta.
Por lo tanto, los compradores deben preguntar por el modelo de acción administrativa. ¿Puede el personal de soporte hacerse pasar por usuarios? ¿Pueden cambiar direcciones de correo electrónico? ¿Pueden restablecer contraseñas? ¿Pueden deshabilitar MFA? ¿Pueden ver secretos o credenciales de recursos? ¿Pueden desencadenar ejecuciones de aplicaciones? ¿Pueden acceder directamente a las aplicaciones del cliente? ¿Cuáles de esas acciones son imposibles, cuáles son posibles solo con la aprobación del cliente y cuáles son posibles durante el soporte de emergencia? El punto no es prohibir todas las acciones de soporte.
Los clientes empresariales a menudo quieren que los equipos de soporte solucionen problemas urgentes de cuentas. El punto es hacer que el poder de soporte sea explícito, registrado, vinculado a políticas y alineado con el riesgo del cliente.
Las mismas preguntas deben hacerse internamente por los clientes que usan Retool. Un administrador de Retool del cliente puede creer que el incidente del proveedor es remoto, pero el papel de la plataforma dentro del entorno del cliente determina el impacto. Si una aplicación Retool puede consultar una base de datos de producción con permisos amplios de escritura, entonces una cuenta Retool comprometida puede ser mucho más grave que un visor de paneles comprometido. Si la aplicación solo puede leer una vista de informes limitada, la misma toma de cuenta puede estar contenida.
Si un flujo de trabajo puede aprobar un retiro, emitir un reembolso, cambiar un registro de nómina o actualizar un campo de identidad del cliente, entonces la aprobación a nivel de aplicación y la detección de anomalías importan tanto como la seguridad del inicio de sesión.
La respuesta a incidentes también debe planificarse previamente. Los clientes deben saber cómo congelar usuarios de Retool, revocar sesiones, rotar credenciales de recursos, revisar registros de auditoría, deshabilitar aplicaciones de alto riesgo, notificar a los propietarios de negocios y verificar los sistemas descendentes. La documentación de Retool proporciona algunas herramientas de auditoría y gestión de usuarios, pero cada cliente debe mapearlas a sus propios recursos.
Una aplicación de operaciones cripto, un panel de administración de préstamos, una consola de soporte al cliente y un panel de administración de almacén necesitarán diferentes pasos de contención. La ruta de toma de cuentas descrita por Retool es un recordatorio de que el primer evento visible puede ser un inicio de sesión de apariencia ordinaria seguido de acciones legítimas de la aplicación.
Los proveedores también deben proporcionar a los clientes artefactos específicos del incidente que vayan más allá de un informe post-mortem narrativo. Los artefactos útiles incluyen identificadores de cuentas afectadas, marcas de tiempo precisas, acciones de soporte realizadas, direcciones IP y agentes de usuario cuando sea seguro divulgar, nombres de eventos de registro de auditoría, campos restaurados, acción requerida del cliente y limitaciones conocidas de la investigación. Parte de esa información debe manejarse de forma privada para evitar exponer detalles sensibles.
Pero sin ella, los clientes tienen que inferir si una cuenta restaurada significa que no ocurrió ninguna acción descendente. La carga de la prueba debe ajustarse al riesgo del flujo de trabajo.
La implicación para las compras no es que todo cliente deba autoalojar Retool. Es que la elección de implementación debe vincularse al poder de las aplicaciones que se están construyendo. Un panel interno de bajo riesgo puede encajar cómodamente en un servicio cloud gestionado. Una aplicación que puede mover fondos, administrar la identidad del cliente o modificar registros regulados puede justificar el autoalojamiento, claves retenidas por el cliente, restricciones de acceso del proveedor, retención de auditoría más sólida o límites contractuales de soporte.
El propio límite cloud versus on-premise de Retool en el incidente convierte esa elección arquitectónica en parte de la responsabilidad, no en un detalle de implementación.
Para los clientes regulados, la misma evidencia debe alimentar los registros de riesgo del proveedor y cumplimiento. Un informe SOC o resumen de seguridad puede mostrar controles básicos, pero la responsabilidad específica del incidente pregunta si el proveedor puede demostrar que la ingeniería social, la recuperación de MFA, las herramientas de soporte internas y la administración de cuentas de clientes fueron rediseñadas después de la falla. Un cliente no necesita cada captura de pantalla interna o nota forense.
Sí necesita suficiente evidencia para decidir si el canal de soporte aún puede cambiar el control del cliente sin que el cliente lo vea a tiempo.
Límites de evidencia e incógnitas
La evidencia pública respalda varias conclusiones claras. Retool reveló un incidente de spear-phishing e ingeniería social el 27 de agosto de 2023. Dijo que 27 clientes cloud fueron notificados el 29 de agosto sobre acceso no autorizado a cuentas. Dijo que las cuentas on-premise y gestionadas no fueron accedidas. Dijo que el atacante utilizó un señuelo SMS, un portal de identidad falso, una llamada telefónica, una voz familiar deepfake y un código MFA adicional. Dijo que el acceso a la cuenta de Google del empleado expuso códigos de autenticador sincronizados, lo que permitió el acceso a VPN y administración interna.
Dijo que el atacante cambió correos electrónicos, restableció contraseñas y exploró algunas aplicaciones Retool. Dijo que Retool revocó sesiones, bloqueó cuentas, notificó a los clientes, restauró cuentas y trabajó con las autoridades y una firma forense externa.
La evidencia pública no respalda afirmaciones más amplias sin calificación. No identifica a todos los clientes afectados en el propio informe de Retool. No prueba que todos los clientes cloud de Retool se vieran afectados. No muestra que se accediera a cuentas on-premise o gestionadas. No proporciona el informe forense completo. No prueba cada acción o pérdida descendente del cliente. No establece un hallazgo regulatorio contra Google, Okta o Retool. No muestra cada cambio de control interno que Retool implementó después del incidente. Esas incógnitas deben nombrarse en lugar de llenarse con especulación.
Hay importantes vacíos de evidencia para los compradores empresariales. ¿Retool eliminó las OTP basadas en códigos de todos los sistemas internos privilegiados? ¿Qué acciones de soporte ahora requieren un paso adicional respaldado por hardware o aprobación dual? ¿Pueden los clientes empresariales imponer políticas de aprobación de soporte personalizadas? ¿Qué eventos de registro de auditoría muestran acciones de soporte de Retool en entornos de clientes? ¿Cómo se evita que los ingenieros de soporte cambien los campos de correo electrónico o contraseña para clientes de alto riesgo sin confirmación retenida por el cliente?
¿Cómo se activan las notificaciones al cliente para cambios administrativos? ¿Cómo verifica Retool que las semillas de autenticador sincronizadas en la nube no se utilizan para el acceso interno privilegiado? La documentación pública solo responde parte de esto.
Los clientes también deben examinar su propio lado. ¿Sus aplicaciones Retool tenían flujos de aprobación para acciones irreversibles? ¿Los recursos de producción estaban expuestos a través de permisos amplios de Retool? ¿Los registros de auditoría capturaron la ejecución de consultas y los cambios de cuenta durante la ventana? ¿Los sistemas descendentes pudieron detectar acciones inusuales de sesiones legítimas de Retool? ¿Las credenciales de recursos tenían el menor privilegio? ¿Podría una toma de cuenta de usuario realizar transferencias, exportaciones de datos o actualizaciones privilegiadas sin confirmación independiente?
El incidente del proveedor es el desencadenante, pero el diseño de la aplicación del cliente determina gran parte del daño.
Por lo tanto, el estándar de evidencia más sólido es bilateral. Retool debería poder demostrar que las rutas de identidad y soporte interno se endurecieron después del incidente. Los clientes deberían poder demostrar que sus aplicaciones Retool no pueden convertir una toma de cuenta en daño operativo sin control. Google y la documentación del proveedor de identidad deberían ayudar a las organizaciones a comprender dónde se almacenan los factores de autenticación y si son verdaderamente independientes. El archivo de responsabilidad está incompleto si alguna parte trata la presencia de un aviso de MFA como el final del análisis.
Por qué esto sigue siendo importante en 2026
El incidente de Retool sigue siendo importante en 2026 porque las plataformas de automatización empresarial se están volviendo más centrales para las operaciones. Las plataformas de low-code y herramientas internas permiten a los equipos construir más rápido, conectar más sistemas y mover flujos de trabajo empresariales fuera de hojas de cálculo y scripts ad hoc. Eso es valioso. También significa que la gestión de cuentas, las herramientas de soporte y la recuperación de identidad pueden convertirse en planos de control para flujos de trabajo financieros, cripto, salud, logística, soporte y cumplimiento.
Un compromiso del canal de soporte puede convertirse en un compromiso del proceso empresarial.
El evento también demuestra que las funciones de conveniencia pueden cambiar silenciosamente los supuestos de seguridad. Los códigos de autenticador sincronizados en la nube ayudan a los usuarios a recuperarse de la pérdida del dispositivo y moverse entre teléfonos. También requieren que los administradores comprendan si el factor sigue siendo independiente de la cuenta que se está protegiendo. Las migraciones de SSO facilitan la gestión de la identidad. También crean ventanas de ataque cuando los empleados esperan avisos de identidad y mensajes de soporte. Las herramientas de soporte interno hacen que la ayuda al cliente sea más rápida.
También concentran acciones administrativas que necesitan controles más sólidos que el uso normal de la aplicación.
Para los proveedores, la lección duradera es diseñar el soporte como un entorno hostil. Los empleados de soporte no deberían poder anular las garantías de identidad casualmente. Los cambios de cuenta que afectan al cliente deben ser de alta fricción, registrados y visibles para los administradores del cliente. Las aplicaciones internas privilegiadas deben requerir autenticación resistente al phishing y prueba de sesión vinculada al dispositivo. Los flujos de recuperación deben asumir que los atacantes conocen el vocabulario interno y pueden imitar voces.
Los informes de incidentes orientados al cliente deben separar los hechos confirmados, la interpretación de la empresa y las incógnitas con suficiente precisión para que los clientes actúen.
Para los clientes, la lección es tratar a Retool y plataformas similares como software de producción, incluso cuando son construidos por equipos de operaciones en lugar de equipos de ingeniería tradicionales. Las aplicaciones que pueden mover dinero, cambiar registros de clientes, exponer datos regulados o desencadenar flujos de trabajo irreversibles necesitan diseño de roles, aprobaciones, registros de auditoría, privilegios mínimos de recursos y simulacros de recuperación. Los clientes deben saber si están utilizando implementación cloud, gestionada o autoalojada y qué significa eso para el acceso de soporte del proveedor.
Deben preguntar cómo se registran las acciones de soporte y si pueden requerir aprobación para cambios de cuenta.
Para los equipos de identidad, el incidente es un recordatorio de que el factor no es solo el aviso. El factor es el modelo de custodia detrás del aviso. Un TOTP mostrado en una aplicación, copiado en una cuenta en la nube, leído en una llamada telefónica o ingresado en un portal falso no es equivalente a un autenticador resistente al phishing respaldado por hardware. La arquitectura de MFA debe evaluarse por la ruta del atacante: ¿qué sucede si el usuario es víctima de phishing, se roba la sesión, se abusa del canal de recuperación o se suplanta el canal de soporte?
El hallazgo final de responsabilidad está basado en evidencia y acotado. Retool confirmó públicamente que un ataque de ingeniería social contribuyó al acceso no autorizado que afectó a 27 cuentas de clientes cloud y que no se accedió a cuentas on-premise o gestionadas. La evidencia pública no justifica alegar un compromiso de todos los clientes o de todas las implementaciones de Retool. La evidencia pública sí justifica tratar el incidente como una prueba de flujo de trabajo de soporte y responsabilidad de MFA.
El caso muestra que la confianza en la automatización empresarial depende no solo de las características de la aplicación, sino también de los procesos de soporte e identidad que pueden cambiar quién controla esas aplicaciones.
Registro de fuentes
- Informe post-mortem de Retool, "Cuando MFA no es realmente MFA":https://retool.com/blog/mfa-isnt-mfa
- Prácticas de seguridad de Retool:https://docs.retool.com/legal/security
- Implementaciones autoalojadas de Retool:https://docs.retool.com/self-hosted
- Guía de registros de auditoría de Retool:https://docs.retool.com/org-users/guides/monitoring/audit-logs
- Referencia de eventos registrados de Retool:https://docs.retool.com/org-users/reference/logged-events
- Guía de seguridad bien arquitecturada de Retool:https://docs.retool.com/education/coe/well-architected/security
- Endurecimiento de seguridad autoalojado de Retool:https://docs.retool.com/self-hosted/self-managed/concepts/best-practices/security-hardening
- Documentación de aprovisionamiento SCIM de Retool:https://docs.retool.com/sso/guides/scim-user-provisioning
- Blog de seguridad de Google sobre sincronización de Authenticator:https://security.googleblog.com/2023/04/google-authenticator-now-supports.html
- Ayuda de cuenta de Google, códigos de verificación de Google Authenticator:https://support.google.com/accounts/answer/1066447
- Documentación de autenticadores de Okta:https://help.okta.com/oie/en-us/content/topics/identity-engine/authenticators/about-authenticators.htm
- Documentación de políticas de autenticación de Okta:https://help.okta.com/oie/en-us/content/topics/identity-engine/policies/about-authentication-policies.htm
- Hoja informativa de CISA sobre MFA resistente al phishing:https://www.cisa.gov/sites/default/files/2023-01/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
- CISA Secure by Design:https://www.cisa.gov/securebydesign
- NIST SP 800-63B Guías de identidad digital:https://pages.nist.gov/800-63-4/sp800-63b.html
- Marco de Ciberseguridad de NIST:https://www.nist.gov/cyberframework
- Descripción general de FIDO2:https://fidoalliance.org/fido2/
- Descripción general de passkeys de FIDO Alliance:https://fidoalliance.org/passkeys/
- Descripción general de registros de auditoría de Google Cloud:https://cloud.google.com/logging/docs/audit
- Respuesta de Fireblocks al hack del proveedor Fortress Trust:https://www.fireblocks.com/blog/in-response-to-the-fortress-trust-hack-dated-september-12-2023
- Informe de CoinDesk sobre el contexto de Fortress Trust:https://www.coindesk.com/business/2023/09/13/phishing-attack-on-cloud-provider-with-fortune-203750644.html
- Cobertura de TechTarget sobre el incidente de vishing de Retool:https://www.techtarget.com/searchsecurity/news/366552136/Developer-platform-Retool-breached-in-vishing-attack

