En ciberseguridad, los ataques a la cadena de suministros son uno de los tipos de amenazas más peligrosos que existen. No lo son porque provoquen un mayor daño — sino porque es difícil protegerse frente a ellos por su propia naturaleza. Pero, ¿qué es un ataque a la cadena de suministros?
Y, ¿cómo puedes asegurarte de que tu organización no sea objetivo de uno de estos ataques? Aquí hablaremos de todos estos temas en detalle.
Definición de ataque a la cadena de suministros
Un ataque a la cadena de suministros es un ciberataque que tiene como objetivos a vendedores terceros cuyo software o servicios son parte clave de la cadena de suministros de la organización. Cuando hablamos de “cadena de suministros” hacemos referencia al grupo de personas, software, hardware, recursos y otras organizaciones implicadas en llevar un producto al mercado, desde la fase de diseño hasta su entrega.
Estos ataques se basan en el principio de que una cadena es tan fuerte como su eslabón más débil. En lugar de atacar a la organización principal tras un producto, los ataques a la cadena de suministros buscan componentes menos conocidos y por lo general menos protegidos de la organización. Esto ofrece a los ciberdelincuentes un punto de entrada a la organización a través de su elemento más débil.
Esto probablemente te parezca una vulnerabilidad muy amplia para muchas organizaciones. Desafortunadamente ese es uno de los motivos por lo que los ataques a la cadena de suministros son tan comunes y efectivos. Dado que las cadenas de suministros son largas y a veces es difícil hacer un seguimiento de todas las industrias, estos ataques amenazan directamente a un gran número de organizaciones. Cualquiera que use a un tercer vendedor — especialmente a nivel digital — está potencialmente en riesgo.
¿Cómo funcionan los ataques a la cadena de suministros?
En general, existen dos tipos de ataques a la cadena de suministros.
Los ataques a la cadena de suministros software son ciberataques donde los atacantes inyectan malware en una aplicación. El ataque se propaga cuantas más partes de la cadena de suministros utilicen la aplicación en cuestión.
Los ataques a la cadena de suministro hardware son ciberataques lanzados desde un componente instalado en un dispositivo físico, como una placa de circuito impreso de un ordenador. El ataque se propaga cuando el dispositivo infectado interactúa con otros dispositivos de la misma red o por internet.
De estos dos, los ataques a la cadena de suministros software son significativamente más comunes. El hecho de que los ataques software pueden hacerse de forma remota es una gran ventaja por los hackers, pero el factor más importante es que el software es siempre más vulnerable frente a brechas.
Esto se debe a que el software suele repetir código, lo que lleva a que muchas aplicaciones puedan ser atacadas de la misma forma si alguna de ellas tiene código poco seguro. Teniendo en cuenta que hoy en día de media el 75% del software viene de bibliotecas de código abierto y otras fuentes externas — si alguno de estos programas contiene código usado que posea alguna vulnerabilidad, la aplicación entera será vulnerable frente un ataque a la cadena de suministros.
Pero, ¿cómo se lleva a cabo un ataque a la cadena de suministros software? Te presentamos algunos pasos conocidos:
- Confusión de dependencias: Los actores maliciosos registran un software o código que se usa comúnmente en las aplicaciones (conocida como “dependencia”) como una actualización oficial con un nuevo número de versión. Dado que software está diseñado para ser vulnerable, cualquier aplicación que use este trozo de código podrá ser atacada por hackers.
- Comprometer las herramientas de desarrollo: Los hackers pueden acceder a las herramientas de desarrollo y alterarlas para introducir vulnerabilidades a cualquier software que se desarrolle usándolas. El software creado usando esta herramienta queda comprometido incluso antes de que finalice su producción.
- Certificados robados: Al explotar debilidades de los procesos criptográficos, los hackers falsifican o roban certificados digitales que sirven para verificar a usuarios a redes o páginas web seguras. Desde ese punto de entrada pueden infectar el sistema con malware o añadir código malicioso haciendo pensar a los demás que es oficial.
Estos son solo algunos ejemplos de cómo generan los hackers su punto de entrada. Pero lo que todos tienen en común es que ocurren en sistemas menos protegidos, y luego se propagan al resto de elementos de la red de la empresa.
Impacto de un ataque a la cadena de suministros
El daño exacto de un ataque a la cadena de suministros varía, pero por lo general son muy extensos. Recuerda que dada su naturaleza, este tipo de ataques ofrecen a los hackers acceso total a la red y recursos de la organización, así que no hay motivos para tener demasiadas esperanzas.
Malware
Lo hemos mencionado varias veces en este documento, y francamente, solo este tipo de software malicioso es ya una amenaza. Recuerda que el término “malware” es un amplio abanico de software infeccioso que incluye virus, spyware, bots, rootkits y ransomware. Cuando una organización sufre un ataque a la cadena de suministros, una o cualquiera de estas amenazas podrían aparecer después (siempre que no estuvieran ya instaladas cuando empezó el ataque).
Brechas en los datos
La información confidencial es la mina de oro para los atacantes. Cuando un ataque a la cadena de suministros tiene éxito, lo siguiente suele ser que los hackers roben toda la información personal que puedan conseguir — todo, desde identificaciones a credenciales bancarias pasando por secretos empresariales. Dado que estos ataques son especialmente difíciles de detectar, esto puede llegar a comprometer una excepcional cantidad de información.
Costes monetarios
Definitivamente, un ataque a la cadena de suministros le costará dinero a cualquier organización infectada. Como hemos comentado anteriormente, estos ataques suelen ser un ransomware que se introduce en los sistemas de la empresa, lo que provocará pérdidas monetarias (y en grandes cantidades). Pero además de eso, el malware que proviene de un ataque a la cadena de suministros puede dejar el software o el hardware inoperativo, imposibilitando seguir trabajando con normalidad. Cualquier gestor te puede decir estos costes pueden ser iguales a una comisión dado el tiempo que dicha empresa se queda sin poder generar beneficios.
Ejemplos de un ataque a la cadena de suministros
Es fácil hablar en abstracto y decir que un ataque a la cadena de suministros puede tener consecuencias devastadoras. Pero no tenemos que limitarnos a pensar en casos hipotéticos.
Solo tenemos que echar un vistazo a los mayores ciberataques de la historia.
Target
A día de hoy, una de las fugas de información más importantes de los Estados Unidos, estos hacks acabaron con Target, una de las cadenas minoristas del país. De acuerdo al análisis del senado de EE.UU., los ataques comenzaron a finales de 2013 a través de una pequeña empresa de aires acondiciones con la que la cadena se había asociado. Este tercer vendedor estaba muy lejos de cumplir los estándares de ciberseguridad, y una vez que los hackers consiguieron acceso, al poco tiempo llegaron a los servidores principales del propio Target.
En este punto, los atacantes encontraron un cofre del tesoro lleno de información confidencial: la información personal de 70 millones de clientes se filtró a la red, incluyendo números de tarjetas y cuentas bancarias de 40 millones de usuarios.
Si el daño a la reputación de Target no fue ya suficiente, la empresa también perdió 202 millones de USD por gastos de explotación (tras el seguro), y después 153,9 millones de USD tras varios juicios de varias firmas.
NotPetya
Aunque el incidente de NotPetya de 2017 puede categorizarse como malware ruso, es importante tener en cuenta que este hack encontró su punto de apoyo en los ataques a la cadena de suministros. Este molesto ransomware fue capaz de desconectar bancos enteros e incluso plantas energéticas, pero el paciente cero de esta infección fue un objetivo mucho más humilde: MeDoc, un programa de contabilidad ucraniano muy conocido.
Al acceder a una puerta trasera en MeDoc, los hackers corrompieron el programa e insertaron malware en la última versión de NotPetya. Una vez se desplegó la nueva actualización, los usuarios de varias industrias fueron atacados, y duramente. Aunque el ataque principal fue dirigido a Ucrania, se propagó a usuarios de todo el mundo y llegó a generar pérdidas totales por valor de 10.000 millones de USD.
SolarWinds
Otra brecha que se atribuye a los hackers rusos, el hack de SolarWinds en 2020 resultó ser un ciberataque masivo que afectó a entidades muy importantes, incluyendo a Microsoft, Intel y muchas oficinas gubernamentales de EE.UU..
En este caso, de nuevo, el ataque se originó desde un tercer vendedor — el software de monitorización de red Orion de la desarrolladora SolaWinds. Los Hackers crearon una puerta trasera en Orion, y desde ahí inyectaron malware a las redes de más de 30,000 entidades públicas y privadas.
El ataque llamó la atención de muchos dada la gran cantidad de entidades de alto nivel que vieron sus datos comprometidos. Otro factor igualmente preocupante es el tiempo que tardaron en darse cuenta de que habían sido hackeados: 14 meses pasaron antes de que alguno de los afectados notara la brecha, demostrando de nuevo lo devastador que pueden ser los daños de un ataque a la cadena de suministros.
Evitar un ataque a la cadena de suministros
La medida más efectiva contra un ataque a la cadena de suministros es tener una poder saber con certeza que la ciberseguridad de tus partners es sólida. Esto conlleva hacer solo negocios con organizaciones que se toman la seguridad en serio — lo que haría descartar, por ejemplo, a vendedores que ignoren ataques como los que hemos comentado como falsos positivos durante las inspecciones.
En cuanto a la protección de tu propia organización, el paso más importante a tomar es minimizar el acceso a tu información más confidencial. Solo unas pocas personas deberán tener autorización para ver tu información financiera y personal, y debes usar estándares de seguridad zero-trust para que los usuarios deban identificarse cada vez que quieran acceder a esta información. A menor escala aplicar un sistema de encriptación y autenticación en dos pasos también es muy efectivo para mantener lejos a cualquier curioso.
Dado estos riesgos y muchos otros, Wildix se toma la seguridad muy en serio. Nuestra plataforma de comunicaciones ha sido creada con protecciones como parte integral de su arquitectura, ofreciendo una solución que combina encriptación, verificación usando certificados digitales y un entorno seguro gracias a su diseño que mantienen a los usuarios seguros sin necesidad de cortafuegos, SBCs o VPNs externos.
No importa como apliques tus protecciones en ciberseguridad, nunca olvides que tu política no debe quedarse solo dentro de tu organización. Como muestran los ataques a la cadena de suministros, la caída de un partner poco seguro puede ser tan devastador como dejar las puertas de tu organización completamente abiertas.
Para más consejos de marketing, ¡suscríbete para recibir nuestra revista gratis!