Una cadena de suministro es la combinación del ecosistema de recursos necesarios para diseñar, fabricar y distribuir un producto. En ciberseguridad, una cadena de suministro incluye hardware y software, almacenamiento en la nube o local y mecanismos de distribución.
Un ciberataque a la cadena de suministro, también conocido como ataque de cadena de valor o de terceros, es un tipo de amenaza que se dirige a los desarrolladores y proveedores de software o hardware, con el objetivo de acceder al código fuente, procesos de construcción o mecanismos de actualización, infectando sistemas o aplicaciones legítimas para distribuir malware.
A menudo, los atacantes consiguen su objetivo buscando vulnerabilidades y explotándolas para cambiar los códigos de origen y ocultar malware en los procesos de compilación y actualización.
En muchas ocasiones, los proveedores no son conscientes de que sus aplicaciones o actualizaciones están infectadas con malware cuando las lanzan al público, por lo que el número de víctimas potenciales de este ataque es muy elevado. Por ejemplo, si nos imaginamos una botella de agua mineral y que alguien introduzca un agente contaminante en su camino hacia el consumidor, toda la cadena de suministro quedará comprometida. Lo mismo ocurre cuando los atacantes introducen malware en un dispositivo como un router, un smartphone, o una actualización maliciosa de un software… El resultado es un producto final “contaminado” para miles de usuarios u organizaciones.
Aunque es difícil que una empresa tenga el control total de su cadena de suministro y pueda garantizar que sus productos o servicios no han sido atacados, sí que existen ciertas recomendaciones para minimizar el riesgo:
- Supervisar y revisar continuamente la estrategia de ciberseguridad: Vulnerabilidades y amenazas cambian y evolucionan de forma constante. Para prevenir un ataque a la cadena de suministro, las políticas de ciberseguridad de las organizaciones y de sus proveedores deben ser evaluadas y actualizadas continuamente.
- Evaluar los riesgos de terceros: Verificar que proveedores y colaboradores cumplan las normas y medidas de ciberseguridad.
- Mantener un ciclo profundo y continuo de gestión de riesgos y cumplimiento.
- Realizar un inventario de las herramientas privativas y de código abierto que se utilicen.
- Revisar las políticas de acceso a datos sensibles de la organización, para poder limitarlo a usuarios seleccionados para fines específicos.
- Limitar la capacidad de los usuarios para instalar software no autorizado.
- Incluir cláusulas de rescisión adecuadas en los contratos con los proveedores, que establezcan, por ejemplo, qué pasará con la información confidencial al finalizar el contrato con el proveedor.
- Realizar auditorías.
- Tomar precauciones adicionales con la seguridad de los dispositivos IoT, muy vulnerables a los ciberataques.
Un caso de ataque a la cadena de suministro a gran escala fue el que sufrió la aerolínea British Airways en 2018. Los ciberdelincuentes lograron robar datos bancarios de unos 380.000 pagos realizados por clientes, haciéndose con todos los datos de las tarjetas de crédito. Los atacantes modificaron el script (un tipo de programa) para robar los datos de la tarjeta en el momento del pago. La consecuencia fue una crisis de reputación para la compañía y un robo escandaloso para sus clientes.
2020 fue un año especialmente memorable en cuanto a ataques a la cadena de suministro. Uno de ellos destacó por su importancia, dirigido contra la empresa de software SolarWinds. Mediante la modificación maliciosa de un paquete de actualización de Orion, una de las herramientas de gestión de este fabricante, los atacantes obtuvieron acceso potencial a miles de organizaciones, incluyendo agencias del gobierno estadounidense e importantes proveedores de tecnología como Cisco, FireEye, Microsoft o Malwarebytes. Aunque se desconoce el impacto real del ataque, se estima que podría haber alcanzado a unas 20.000 organizaciones, con algunas implicaciones relevantes, como el acceso de los atacantes a código fuente de Microsoft. El impacto de un ataque de esta magnitud podría extenderse durante mucho tiempo sin el conocimiento de sus víctimas.
Además de la sustracción de información interna y externa, el daño a la reputación de la empresa es una de las consecuencias más graves de un ciberataque a la cadena de suministro. Si un usuario ve comprometida su privacidad o su dinero en la plataforma de una empresa, difícilmente volverá a confiar en esa plataforma y en esa organización.
La cadena de suministro es un ámbito al que urge prestar especial atención, ya que los ciberataques dirigidos a ella están en auge. En los próximos años es probable que siga aumentando no solo el número de ataques, sino también su alcance e impacto.
