Principales amenazas en la cadena de suministro
Se puede definir cadena de suministro, dentro del contexto de la informática y la ciberseguridad, como aquella cadena formada por proveedores de servicios digitales externos a una compañía. Estos proveedores pueden ser, por ejemplo, proveedores de Internet o de software y hardware, que cualquier empresa contrata para llevar a cabo diferentes tareas o dar servicios a sus propios clientes.
Los ataques a las cadenas de suministro son en la actualidad los menos conocidos por el público general, pero suponen una de las principales amenazas a las que se enfrentan las compañías. Estos se centran principalmente en proveedores de software y fabricantes de hardware, en los que los atacantes buscan códigos inseguros, prácticas inseguras en infraestructuras o procedimientos de red inseguros que les permitan inyectar en la cadena componentes malintencionados. Estos ataques se producen cuando un ciberdelincuente, a través de la cadena de suministro o un proveedor de la empresa, es capaz de infiltrarse en ella y acceder a su infraestructura tecnológica.
El desarrollo de productos de software o hardware, en muchas ocasiones, depende de diferentes fabricantes, y es habitual que el cliente final de estos productos no sea consciente de la cantidad de actores involucrados en la fabricación del producto final, lo que supone un gran riesgo para su seguridad.
Debido al impacto que este tipo de ataques pueden llegar a tener, cada vez están más presentes en el foco de los ciberdelincuentes. Algunos de estos productos son utilizados por miles de clientes, y un atacante, capaz de vulnerar uno de estos proveedores, podría acceder a miles de víctimas. Estos ataques pueden ser muy complejos, lo que en muchas ocasiones dificulta su rastreo y puede causar daños graves y a gran escala. Son una forma muy eficaz para el robo de datos confidenciales, el acceso a entornos altamente sensibles y el control remoto sobre sistemas.
No existe un único tipo de ataque a la cadena de suministro, sino más bien una categoría de ataques con un objetivo común: aprovechar una vulnerabilidad en una solución posteriormente utilizada por otros. Los ataques se pueden categorizar en:
- Software comprometido, pudiendo ser el propio código de un componente de software o las herramientas usadas para el desarrollo del mismo.
- Hardware comprometido, disponiendo los atacantes de puertas traseras en el firmware del dispositivo o mediante la instalación de componentes maliciosos en el propio hardware.
- Malware preinstalado, instalando malware en dispositivos destinados al objetivo final que den acceso a redes internas o información sensible.
- Certificados robados, robando certificados de empresas para firmar su software con modificaciones maliciosas y hacerlo parecer legítimo.
Los ataques a la cadena de suministro mediante software se han convertido en una de las armas preferidas por los ciberdelincuentes, comprometiendo desarrollos software o aprovechando vulnerabilidades para atacar y acceder a la información y los entornos de los clientes a los que las empresas de desarrollo de software prestan el servicio. Para poder materializar un ataque mediante software, es necesario tan solo que una aplicación comprometida o un software específico envíe malware a través de la cadena. Estos ataques suelen estar dirigidos al código fuente de una aplicación y usar como punto de entrada las actualizaciones de software. Estos ataques son muy difíciles de rastrear, puesto que los ciberdelincuentes usan certificados robados para firmar el código y que este parezca legítimo.
Los ataques mediante hardware dependen de dispositivos físicos. En este caso, los ciberdelincuentes se centran en aquellos dispositivos que abren camino a través de toda su cadena de suministro para maximizar el alcance y el daño. Por ejemplo, podrían introducir en el diseño de un producto un chip espía que no estuviera previsto inicialmente.
Uno de los ataques más relevantes de los últimos años sucedió a finales de 2020. Solorigate fue un ataque de cadena de suministro de repercusión global que afectó a la empresa tecnológica SolarWinds. SolarWinds suministra software empresarial a compañías y Administraciones públicas de todo el mundo, como Microsoft, Intel, Orange, la NASA o el Parlamento Europeo. Los atacantes introdujeron el malware en el servidor de actualizaciones de software de Orion, plataforma de administración y supervisión de infraestructura de red distribuida de SolarWinds. Así, cada vez que una empresa consumidora de Orion actualizaba el software, el troyano se colaba en su sistema. Los atacantes pudieron acceder a la información de más de 18.000 empresas de los 33.000 clientes que la compañía tenía en todo el mundo. Este incidente puso en jaque los datos de miles de organizaciones.
SolarWinds no ha sido el único caso, entre los mas destacados se puede hacer mención al ataque sufrido por la empresa Kaseya, uno de los mayores ataques de ransomware conocidos hasta el momento, en el que se vieron afectadas entre 800 y 1.500 empresas a las que la compañía ofrecía servicios, concretamente el producto de monitorización remota y administración de software VSA. Los atacantes aprovecharon una vulnerabilidad 0day para ingresar en los sistemas que hacían uso de la aplicación y llevar a cabo el ataque. En el caso del ataque a Mimecast, el atacante comprometió un certificado digital que proporcionó a ciertos clientes para conectarse de forma segura a sus productos de Microsoft 365 Exchange. Estos son solo algunos de los cada vez mas frecuentes ataques a las cadenas de suministro.
La mayoría de las empresas trabajan con un listado amplio de proveedores, por lo que es de vital importancia tener en cuenta los riesgos de sus cadenas de suministro, protegerlas y asegurarse de que el compromiso con la seguridad de las empresas con las que trabajan es equivalente al de su propia empresa. Cualquier proveedor que dependa de terceros para fabricar un producto o proveer un servicio es vulnerable a este tipo de ataques.
Recuerda que puedes contactar con nosotros a través de la Línea de Ayuda en Ciberseguridad de INCIBE (017), los canales de mensajería instantánea de WhatsApp (900 116 117) y Telegram (@INCIBE017), o el formulario de contacto (seleccionando la opción de usuario de empresa o profesional) que encontrarás en nuestra web. Expertos en la materia resolverán cualquier conflicto online relacionado con el uso de la tecnología y los dispositivos conectados.